Bona sera caru lettore,
Vi cuntaraghju di l'incubo chì aghju passatu a migrazione di CA da Windows 2008R2 à Windows 2012 R2. Ci sò assai articuli nantu à l'internet nantu à questu è ùn deve esse micca prublemi.
À u mo disgrazia, ùn sò micca veramente un amministratore di Windows, sò più un amministratore * nix, ma u compitu di a migrazione di CA hè stata stabilita - deve esse fattu.
Sottu à u tagliu, vi dicu cumu aghju passatu stu prucessu è hà finitu cun un HappyEnd micca abbastanza.
È allora andemu...
Dati iniziali:
Source - Windows 2008 R2 cù Root CA
Target - Windows 2012R2
Aghju digià stallatu Windows 2012R2 è cunfiguratu minimamente.
Inizialmente, u pianu d'azzione era u seguitu (azzioni accurtata):
1) Fate una copia di salvezza CA + Chjave Privata è copiate in una parte cumuna per i dui computer
2) Eliminate u target da u duminiu è cambiate l'IP
3) Fate una snapshot di u servitore
4) Cambia l'IP à a fonte
5) Andemu à u novu servitore Windows 2012R2 cum'è amministratore - entre in u duminiu cù u listessu nome è assignà a vechja IP.
6) Definite u rolu di u serviziu di certificatu di Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Indichemu chì questu hè Enterprise CA
8) Risturà CA + Private Key da a copia di salvezza
9) Happy End
Agree, ùn ci hè nunda cumplicatu. È aghju cuminciatu à implementà. In fatti, ùn ci era micca prublemi è tuttu hè andatu cum'è clockwork... U serviziu hà cuminciatu, i Modelli di Certificati apparsu è i certificati stessi apparsu. In generale, tuttu hè bè. Allora andò in lettu. In a matina ùn ci era micca lagnanza annantu à u travagliu di CA è per quessa aghju assumatu chì tuttu funzionava è prucede à altre attività. In u prucessu di risolviri, aghju bisognu di un certificatu. Aghju creatu un .csr è seguitu u ligame per firmà è riceve un certificatu è in questu stadiu hè accadutu un errore. Sfurtunatamente, ùn aghju micca pigliatu una screenshot, ma hà dettu chì l'infurmazioni di l'utilizatori ùn sò micca cuncordate è qualchì altru errore. Ebbè, quì simu, pensu. Aghju cuminciatu à google, ma sfurtunatamenti ùn aghju trovu nunda intelligibile.
A sera avemu decisu di caccià CA Windows 2012R2 è stallà tuttu novu, è dopu aghju fattu un sbagliu invece di Enterprise CA, aghju sceltu l'opzione CA Standalone (ma aghju amparatu u mo sbagliu dopu). Aghju fattu tutte l'operazioni di novu ... tuttu andò senza errori - ma quandu selezziunate u cartulare di i mudelli di certificatu, aghju Elementu micca truvatu, ancu s'ellu selezziunate Manage, allora i mudelli sò in u locu.
Pensu chì ùn ci era micca abbastanza diritti per questu CN = Templates di Certificatu, cusì usendu ADSI Edit aghju datu Read for vm_ca$. Aghju riavviatu CertSvc è ... risultatu: Elementu micca truvatu.
Allora mi sentu tristu perchè era 2 am... è CA ùn funzionava micca. Spegnu CA Windows 2012R2 è restaurà VM CA Windows 2008R2 da snapshot. Riturnà u servitore à l'AD (perchè quandu pruvate d'accede cù un contu di duminiu, aghju un errore nantu à a relazione trà u servitore è AD).
Ebbè, pensu ... tuttu sarà OK avà, ma alas ... hè sempre u listessu Certificate Templates - aghju Elementu micca trovu. Lascià tuttu finu à a matina - perchè a matina hè più sàvia chì a sera.
In a matina aghju googled è leghje diversi articuli - aghju decisu di reinstallà a CA in u vechju servitore in a speranza di risolve u prublema Element Not Found è emette certificati via Web.
U prucessu hè abbastanza sèmplice:
1) Sguassà u rolu di CA
2) Overload
3) Aspettate chì u prucessu di rimuzione finisci
4) Aghjunghjite u rolu di CA (specificà CA, CA Web Enrollment, NDES, Online Responder)
5) Indichemu chì aghju una Enterprise CA è aghju una chjave privata
6) Aspittemu a stallazione per compie è restaurà tuttu da a copia di salvezza chì avemu fattu à u principiu.
7) Cum'è di solitu, tuttu và cù un bang - senza errore è u serviziu hà cuminciatu
Cù un core affundendu, aghju cliccà nantu à i Modelli di Certificatu - è ... M'hà datu una lista - questu hè digià una piccula vittoria. Resta à verificà u funziunamentu di issuà un certificatu via u Web. Segu u ligame: è cliccate nant'à Request a Certificate and then advanced certificate request... I specify the .csr request and receive a ready-made certificate. I exhale... Era pussibule di risturà CA.
Conclusioni:
1) Assicuratevi di fà una copia di salvezza è snapshot
2) Documentate e vostre azzioni - questu vi aiuterà à ritruvà tuttu o truvà l'errore più veloce
Ps Aghju da pruvà a migrazione CA da Windows 2008R à Windows 2012R2 di novu.
Source: www.habr.com