God eftermiddag kære læser,
Jeg vil fortælle dig om det mareridt, jeg gik gennem migrering af CA fra Windows 2008R2 til Windows 2012 R2. Der er mange artikler på internettet om dette, og der burde ikke have været nogen problemer.
Til min beklagelse er jeg ikke rigtig en Windows-administrator, jeg er mere en *nix-administrator, men opgaven med CA-migrering var sat - det skal gøres.
Under klippet vil jeg fortælle dig, hvordan jeg gik igennem denne proces og endte med en ikke-helt-happyEnd.
Og så lad os gå...
Indledende data:
Kilde - Windows 2008 R2 med Root CA
Mål - Windows 2012R2
Jeg havde allerede Windows 2012R2 installeret og minimalt konfigureret.
Indledningsvis var handlingsplanen som følger (forkortede handlinger):
1) Lav en sikkerhedskopi CA+privat nøgle og kopier den til en fælles share for begge computere
2) Fjern målet fra domænet og skift IP
3) Lav et øjebliksbillede af serveren
4) Skift IP ved kilden
5) Vi går til den nye Windows 2012R2-server som administrator - indtast den i domænet med samme navn og tildel den gamle IP
6) Indstil Active Directory Certificate Service-rollen (CA, CA Web Enrollment, NDES, Online Responder)
7) Vi angiver, at dette er Enterprise CA
8) Gendan CA+Privat Key fra backup
9) Happy End
Enig, der er ikke noget kompliceret. Og jeg begyndte at implementere det. Faktisk var der ingen problemer, og alt gik som smurt... Tjenesten startede, certifikatskabeloner dukkede op, og selve certifikaterne dukkede op. Generelt er alt OK. Så jeg gik i seng. Om morgenen var der ingen klager over CA's arbejde, og derfor gik jeg ud fra, at alt fungerede og gik videre til andre opgaver. I processen med at løse dem havde jeg brug for et certifikat. Jeg oprettede en .csr og fulgte linket for at underskrive og modtage et certifikat, og på dette tidspunkt opstod der en fejl. Desværre tog jeg ikke et skærmbillede, men det sagde, at brugeroplysningerne ikke stemmer overens og nogle andre fejl. Nå, her er vi, tænkte jeg. Jeg begyndte at google, men jeg fandt desværre ikke noget forståeligt.
Om aftenen besluttede vi at fjerne CA Windows 2012R2 og installere alt nyt, og så lavede jeg en fejl; i stedet for Enterprise CA valgte jeg muligheden Standalone CA (selvom jeg lærte om min fejl senere). Jeg lavede alle handlingerne igen... alt gik uden fejl - men når jeg vælger mappen Certifikatskabeloner, får jeg Element ikke fundet, selvom hvis jeg vælger Administrer, så er skabelonerne på plads.
Jeg troede, at der ikke var nok rettigheder til denne CN=Certificate Templates, så ved at bruge ADSI Edit gav jeg Read for vm_ca$. Jeg genstartede CertSvc og... resultat: Element blev ikke fundet.
Så blev jeg ked af det, fordi klokken var 2... og CA virkede ikke. Jeg slukker CA Windows 2012R2 og gendanner VM CA Windows 2008R2 fra snapshot. Jeg returnerer serveren til AD (fordi når jeg forsøger at logge på med en domænekonto, opstår der en fejl vedrørende forholdet mellem serveren og AD).
Nå, jeg tror... alt vil være OK nu, men desværre... det er stadig de samme certifikatskabeloner - jeg får Element ikke fundet. Jeg lader alt stå til morgenen - for morgenen er klogere end aftenen.
Om morgenen googlede jeg og læste forskellige artikler - jeg besluttede at geninstallere CA'en på den gamle server i håbet om at løse problemet med Element Not Found og udstede certifikater via nettet.
Processen er ret enkel:
1) Slet CA-rollen
2) Overbelastning
3) Vent på, at fjernelsesprocessen er fuldført
4) Tilføj CA-rollen (specificer CA, CA Web Enrollment, NDES, Online Responder)
5) Vi angiver, at jeg har en Enterprise CA, og jeg har en privat nøgle
6) Vi venter på, at installationen er fuldført og gendanner alt fra den sikkerhedskopi, som vi lavede i begyndelsen.
7) Som sædvanlig går alt med et brag - ingen fejl og servicen startede
Med et synkende hjerte klikker jeg på Certifikatskabeloner - og... jeg fik en liste - det er allerede en lille sejr. Det er tilbage at kontrollere driften af at udstede et certifikat via internettet. Jeg følger linket: og klik på Anmod om et certifikat og derefter avanceret certifikatanmodning... Jeg angiver .csr-anmodningen og modtager et færdigt certifikat. Jeg udånder... Det var muligt at genoprette CA.
Konklusioner:
1) Sørg for at lave en sikkerhedskopi og et øjebliksbillede
2) Dokumenter dine handlinger - dette vil hjælpe dig med at få alt tilbage eller finde fejlen hurtigere
Ps jeg er nødt til at prøve CA-migrering fra Windows 2008R til Windows 2012R2 igen.
Kilde: www.habr.com