مساء الخير عزيزي القارئ،
سأخبرك بالكابوس الذي مررت به أثناء ترحيل CA من Windows 2008R2 إلى Windows 2012 R2. هناك الكثير من المقالات على الإنترنت حول هذا الأمر ولا ينبغي أن تكون هناك أي مشاكل.
لسوء الحظ، أنا لست مسؤول Windows حقًا، أنا أكثر من مسؤول *nix، ولكن تم تعيين مهمة ترحيل CA - يجب القيام بها.
أسفل المقطع، سأخبرك كيف مررت بهذه العملية وانتهى بي الأمر بنهاية سعيدة تمامًا.
وهكذا ذهبنا ...
خلفية:
مصدر - نظام التشغيل Windows 2008 R2 مع Root CA
هدف - ويندوز 2012R2
لقد قمت بالفعل بتثبيت Windows 2012R2 وتم تكوينه إلى الحد الأدنى.
في البداية كانت خطة العمل كالتالي (الإجراءات المختصرة):
1) قم بإنشاء نسخة احتياطية من CA + مفتاح خاص وانسخه إلى مشاركة مشتركة لكلا الجهازين
2) إزالة الهدف من المجال وتغيير IP
3) قم بعمل لقطة للخادم
4) تغيير IP في المصدر
5) نذهب إلى خادم Windows 2012R2 الجديد كمسؤول - أدخله في المجال بنفس الاسم وقم بتعيين IP القديم
6) قم بتعيين دور خدمة شهادات Active Directory (CA، وتسجيل ويب CA، وNDES، والمستجيب عبر الإنترنت)
7) نشير إلى أن هذا هو Enterprise CA
8) استعادة CA + المفتاح الخاص من النسخة الاحتياطية
9) نهاية سعيدة
أوافق، لا يوجد شيء معقد. وبدأت في تنفيذه. في الواقع لم تكن هناك مشاكل وسار كل شيء كالساعة... بدأت الخدمة وظهرت قوالب الشهادات وظهرت الشهادات نفسها. بشكل عام، كل شيء على ما يرام. لذلك ذهبت إلى السرير. في الصباح لم تكن هناك شكاوى حول عمل CA، وبالتالي افترضت أن كل شيء كان يعمل وانتقلت إلى مهام أخرى. وفي عملية حلها، كنت بحاجة إلى شهادة. لقد قمت بإنشاء .csr واتبعت الرابط للتوقيع واستلام الشهادة وفي هذه المرحلة حدث خطأ. لسوء الحظ، لم ألتقط لقطة شاشة، لكنها أظهرت عدم تطابق معلومات المستخدم وبعض الأخطاء الأخرى. حسنًا، ها نحن هنا، اعتقدت. لقد بدأت بالبحث على Google، لكن لسوء الحظ لم أجد أي شيء واضح.
في المساء، قررنا إزالة CA Windows 2012R2 وتثبيت كل ما هو جديد، ثم ارتكبت خطأً؛ فبدلاً من Enterprise CA، قمت بتحديد خيار Standalone CA (على الرغم من أنني علمت بخطئي لاحقًا). لقد قمت بجميع العمليات مرة أخرى... كل شيء سار دون أخطاء - ولكن عندما قمت بتحديد مجلد قوالب الشهادات، لم يتم العثور على العنصر، على الرغم من أنني إذا قمت بتحديد إدارة، فستكون القوالب في مكانها الصحيح.
اعتقدت أنه لا توجد حقوق كافية لـ CN=قوالب الشهادات، لذلك باستخدام ADSI Edit قمت بالقراءة لـ vm_ca$. لقد قمت بإعادة تشغيل CertSvc و... النتيجة: لم يتم العثور على العنصر.
ثم شعرت بالحزن لأن الساعة كانت الثانية صباحًا... ولم يكن CA يعمل. أقوم بإيقاف تشغيل CA Windows 2R2012 واستعادة VM CA Windows 2R2008 من اللقطة. أقوم بإعادة الخادم إلى AD (لأنه عندما أحاول تسجيل الدخول باستخدام حساب مجال، يحدث خطأ فيما يتعلق بالعلاقة بين الخادم وAD).
حسنًا، أعتقد... أن كل شيء سيكون على ما يرام الآن، ولكن للأسف... لا تزال قوالب الشهادات هي نفسها - لم يتم العثور على العنصر. سأترك كل شيء حتى الصباح، فالصباح أحكم من المساء.
في الصباح، بحثت في Google وقرأت مقالات مختلفة - قررت إعادة تثبيت CA على الخادم القديم على أمل حل مشكلة "لم يتم العثور على العنصر" وإصدار الشهادات عبر الويب.
عملية بسيطة للغاية:
1) حذف دور CA
2) الزائد
3) انتظر حتى تكتمل عملية الإزالة
4) أضف دور CA (حدد CA، وتسجيل ويب CA، وNDES، والمستجيب عبر الإنترنت)
5) نشير إلى أن لدي مرجع مصدق للمؤسسة ولدي مفتاح خاص
6) ننتظر اكتمال التثبيت واستعادة كل شيء من النسخة الاحتياطية التي قمنا بها في البداية.
7) كالعادة، كل شيء يسير على ما يرام - لا توجد أخطاء وبدأت الخدمة
بقلب غارق، قمت بالنقر على "نماذج الشهادات" - و... لقد حصلت على قائمة - وهذا بالفعل انتصار صغير. يبقى التحقق من عملية إصدار الشهادة عبر الويب. أتبع الرابط: ثم اضغط على طلب شهادة ثم طلب شهادة متقدمة... أقوم بتحديد طلب .csr واحصل على شهادة جاهزة. أقوم بالزفير... كان من الممكن استعادة CA.
الاستنتاجات:
1) تأكد من عمل نسخة احتياطية ولقطة
2) قم بتوثيق أفعالك - سيساعدك هذا على استعادة كل شيء أو العثور على الخطأ بشكل أسرع
ملاحظة: لا بد لي من تجربة ترحيل CA من Windows 2008R إلى Windows 2012R2 مرة أخرى.
المصدر: www.habr.com