Goeie middag liewe leser,
Ek sal jou vertel van my nagmerrie dat ek ervaar het om CA van Windows 2008R2 na Windows 2012 R2 te migreer. Daar is baie artikels hieroor op die internet en daar moes nie enige probleme gewees het nie.
Tot my spyt - ek is nie regtig 'n Windows Admin nie, ek is meer * nix admin, maar die taak om CA te migreer is gestel - dit moet gedoen word.
Onder die snit sal ek jou vertel hoe ek deur hierdie proses gegaan het en op die ou end 'n nie heeltemal HappyEnd gekry het nie.
En so het ons gegaan...
Aanvanklike gegewens:
Bron - Windows 2008 R2 met Root CA
Teiken – Windows 2012R2
Ek het reeds 'n Windows 2012R2-bediener geïnstalleer en minimaal gekonfigureer.
Aanvanklik was die aksieplan soos volg (verkorte aksies):
1) Maak 'n Rugsteun CA + Privaat Sleutel en kopieer dit na 'n gedeelde deel vir beide rekenaars
2) Ons lei teiken van die domein af en verander die IP
3) Maak 'n momentopname van die bediener
4) Verander die IP op die bron
5) Ons gaan na die nuwe Windows 2012R2-bediener onder die administrateur - ons voer dit in die domein in met dieselfde naam en ken die ou IP toe
6) Installeer die rol van Active Directory Certificate Service (CA, CA Web Enrollment, NDES, Online Responder)
7) Spesifiseer dat dit 'n Enterprise CA is
8) Herstel CA + Privaat Sleutel vanaf rugsteun
9) Gelukkige einde
Stem saam, daar is niks ingewikkeld nie. En ek het begin implementeer. Trouens, daar was geen probleme nie en alles het soos klokslag verloop ... Die diens het begin, sertifikaatsjablone het verskyn en die sertifikate self het verskyn. Oor die algemeen is alles in orde. So ek het gaan slaap. Die oggend was daar geen klagtes oor die werk van CA nie, so ek het aangeneem dat alles werk, en na ander take oorgegaan. In die proses om dit op te los, het ek 'n sertifikaat nodig gehad. Ek het 'n .csr geskep en die skakel gevolg om 'n sertifikaat te teken en te ontvang, en op hierdie stadium het 'n fout voorgekom. Ongelukkig het ek nie 'n skermskoot geneem nie, maar dit het gesê dat dit nie ooreenstem met gebruikersinligting en 'n paar ander foute nie. Wel, hier is ons, het ek gedink. Ek het begin google, maar ek het ongelukkig niks verstaanbaar gekry nie.
Die aand het ons besluit om CA Windows 2012R2 te verwyder en alles op 'n nuwe een te sit, en toe maak ek 'n fout, in plaas van Enterprise CA, het ek die Standalone CA opsie gekies (alhoewel ek reeds later van my fout uitgevind het). Ek het al die bewerkings weer gedoen ... alles het sonder foute verloop - maar wanneer ek die Certificate Templates-lêergids kies, kry ek Element not found, alhoewel as ek Bestuur kies, dan is die templates in plek.
Ek het gedink dat daar nie genoeg regte vir hierdie CN=Certificate Templates is nie, so met die hulp van ADSI Edit het ek Read vir vm_ca$ gegee. Herbegin CertSvc en... resultaat: Element nie gevind nie.
Toe voel ek hartseer, want om 2:2012 ... en CA werk nie. Skakel CA Windows 2R2008 af en herstel CA Windows 2RXNUMX VM vanaf momentopname. Ek stuur die bediener terug na AD (want wanneer ek probeer aanteken onder 'n domeinrekening, vind 'n fout plaas in die verhouding tussen die bediener en AD).
Wel, ek dink ... alles sal nou reg wees, maar helaas ... steeds dieselfde sertifikaatsjablone - ek kry Element nie gevind nie. Ek sal alles tot die môre laat – want die môre is wyser as die aand.
Ek het die oggend gegoogle, nadat ek allerhande artikels gelees het - ek besluit om CA reeds op die ou bediener te installeer in die hoop om die Element Not Found probleem op te los en sertifikate via die Web uit te reik.
Die proses is redelik eenvoudig:
1) Vee die CA-rol uit
2) Herlaai
3) Ons wag vir die voltooiing van die verwyderingsproses
4) Voeg die CA-rol by (spesifiseer CA, CA Web Inskrywing, NDES, Online Responder)
5) Ons dui aan dat ek 'n Enterprise CA het en ek het 'n private sleutel
6) Ons wag dat die installasie voltooi en alles herstel vanaf die rugsteun wat ons heel aan die begin gedoen het.
7) Soos gewoonlik gaan alles met 'n knal - geen foute nie en die diens het begin
Met ingehoue asem klik ek op Certificate Templates - en ... ek het 'n lysie gekry - dit is reeds 'n klein oorwinning. Dit bly om die werking van die uitreiking van 'n sertifikaat via die web na te gaan. Ek volg die skakel: en klik op Versoek 'n sertifikaat en dan gevorderde sertifikaatversoek ... spesifiseer die .csr-versoek en kry 'n klaargemaakte sertifikaat. Ek asem uit ... Dit het geblyk om CA te herstel.
Gevolgtrekkings:
1) Maak seker dat u 'n rugsteun en 'n momentopname maak
2) Dokumenteer jou aksies - dit sal jou help om alles terug te kry of 'n fout vinniger te vind
Ps ek moet probeer om CA weer van Windows 2008R na Windows 2012R2 te migreer.
Bron: will.com