Καλησπέρα αγαπητέ αναγνώστη,
Θα σας πω για τον εφιάλτη που πέρασα με τη μετεγκατάσταση CA από τα Windows 2008R2 στα Windows 2012 R2. Υπάρχουν πολλά άρθρα στο διαδίκτυο σχετικά με αυτό και δεν θα έπρεπε να υπάρχουν προβλήματα.
Δυστυχώς, δεν είμαι πραγματικά διαχειριστής των Windows, είμαι περισσότερο διαχειριστής *nix, αλλά η αποστολή της μετεγκατάστασης CA έχει τεθεί - πρέπει να γίνει.
Κάτω από την περικοπή, θα σας πω πώς πέρασα από αυτήν τη διαδικασία και κατέληξα σε ένα όχι και πολύ-HappyEnd.
Και έτσι πήγαμε...
Δεδομένα προέλευσης:
Πηγή - Windows 2008 R2 με Root CA
Στόχος - Windows 2012R2
Είχα ήδη εγκατεστημένα και ελάχιστα διαμορφωμένα τα Windows 2012R2.
Αρχικά, το σχέδιο δράσης είχε ως εξής (συντομευμένες δράσεις):
1) Δημιουργήστε ένα Backup CA+Private Key και αντιγράψτε το σε ένα κοινό κοινόχρηστο στοιχείο και για τους δύο υπολογιστές
2) Αφαιρέστε τον στόχο από τον τομέα και αλλάξτε IP
3) Δημιουργήστε ένα στιγμιότυπο του διακομιστή
4) Αλλάξτε την IP στην πηγή
5) Πηγαίνουμε στον νέο διακομιστή Windows 2012R2 ως διαχειριστής - εισάγουμε στον τομέα με το ίδιο όνομα και εκχωρούμε την παλιά IP
6) Ορίστε τον ρόλο υπηρεσίας πιστοποιητικού Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Υποδεικνύουμε ότι πρόκειται για ΑΠ Enterprise
8) Επαναφέρετε το CA+Private Key από το αντίγραφο ασφαλείας
9) Happy End
Συμφωνώ, δεν υπάρχει τίποτα περίπλοκο. Και άρχισα να το εφαρμόζω. Πράγματι, δεν υπήρχαν προβλήματα και όλα πήγαν ρολόι... Ξεκίνησε η υπηρεσία, εμφανίστηκαν Πρότυπα πιστοποιητικών και εμφανίστηκαν τα ίδια τα πιστοποιητικά. Σε γενικές γραμμές, όλα είναι εντάξει. Πήγα λοιπόν για ύπνο. Το πρωί δεν υπήρξαν παράπονα για τη δουλειά της CA και επομένως υπέθεσα ότι όλα λειτουργούσαν και προχώρησα σε άλλες εργασίες. Στη διαδικασία επίλυσής τους χρειαζόμουν ένα πιστοποιητικό. Δημιούργησα ένα .csr και ακολούθησα τον σύνδεσμο να υπογράψει και να λάβει πιστοποιητικό και σε αυτό το στάδιο παρουσιάστηκε σφάλμα. Δυστυχώς, δεν έβγαλα στιγμιότυπο οθόνης, αλλά έλεγε αναντιστοιχία πληροφοριών χρήστη και κάποια άλλα σφάλματα. Λοιπόν, εδώ είμαστε, σκέφτηκα. Άρχισα να γκουγκλάρω, αλλά δυστυχώς δεν βρήκα κάτι κατανοητό.
Το βράδυ αποφασίσαμε να αφαιρέσουμε την CA Windows 2012R2 και να εγκαταστήσουμε όλα τα νέα, και μετά έκανα ένα λάθος· αντί για Enterprise CA, επέλεξα την επιλογή Standalone CA (αν και έμαθα για το λάθος μου αργότερα). Έκανα όλες τις λειτουργίες ξανά... όλα πήγαν χωρίς σφάλματα - αλλά όταν επιλέγω το φάκελο Πρότυπα πιστοποιητικού, εμφανίζεται το στοιχείο που δεν βρέθηκε, αν και αν επιλέξω Διαχείριση, τότε τα πρότυπα είναι στη θέση τους.
Νόμιζα ότι δεν υπήρχαν αρκετά δικαιώματα για αυτό το CN=Πρότυπα πιστοποιητικού, οπότε χρησιμοποιώντας το ADSI Edit έδωσα το Read για vm_ca$. Έκανα επανεκκίνηση του CertSvc και... αποτέλεσμα: Το στοιχείο δεν βρέθηκε.
Τότε ένιωσα λυπημένος γιατί ήταν 2 τα ξημερώματα... και η CA δεν λειτουργούσε. Απενεργοποιώ το CA Windows 2012R2 και επαναφέρω το VM CA Windows 2008R2 από το στιγμιότυπο. Επιστρέφω τον διακομιστή στο AD (γιατί όταν προσπαθώ να συνδεθώ με λογαριασμό τομέα, παρουσιάζεται ένα σφάλμα σχετικά με τη σχέση μεταξύ διακομιστή και AD).
Λοιπόν, νομίζω... όλα θα είναι εντάξει τώρα, αλλά δυστυχώς... εξακολουθούν να είναι τα ίδια Πρότυπα Πιστοποιητικού - Μου φαίνεται ότι το στοιχείο δεν βρέθηκε. Θα τα αφήσω όλα μέχρι το πρωί - γιατί το πρωί είναι πιο σοφό από το βράδυ.
Το πρωί έψαξα στο google και διάβασα διάφορα άρθρα - αποφάσισα να εγκαταστήσω ξανά την ΑΠ στον παλιό διακομιστή με την ελπίδα να λύσω το πρόβλημα του στοιχείου που δεν βρέθηκε και να εκδόσω πιστοποιητικά μέσω του Ιστού.
Η διαδικασία είναι αρκετά απλή:
1) Διαγράψτε τον ρόλο ΑΠ
2) Υπερφόρτωση
3) Περιμένετε να ολοκληρωθεί η διαδικασία αφαίρεσης
4) Προσθέστε το ρόλο CA (καθορίστε CA, CA Web Enrollment, NDES, Online Responder)
5) Υποδεικνύουμε ότι έχω ΑΠ Enterprise και έχω ιδιωτικό κλειδί
6) Περιμένουμε να ολοκληρωθεί η εγκατάσταση και επαναφέρουμε τα πάντα από το αντίγραφο ασφαλείας που κάναμε στην αρχή.
7) Ως συνήθως, όλα πάνε καλά - χωρίς σφάλματα και η υπηρεσία ξεκίνησε
Με μια καρδιά που βουλιάζει, κάνω κλικ στα Πρότυπα Πιστοποιητικών - και... Μου δόθηκε μια λίστα - αυτή είναι ήδη μια μικρή νίκη. Απομένει να ελέγξουμε τη λειτουργία έκδοσης πιστοποιητικού μέσω του Web. Ακολουθώ τον σύνδεσμο: και πατάω στο Request a Certificate και μετά στο advanced certificate request... Καθορίζω το αίτημα .csr και λαμβάνω ένα έτοιμο πιστοποιητικό. Εκπνέω... Ήταν δυνατή η επαναφορά του CA.
Συμπεράσματα:
1) Φροντίστε να δημιουργήσετε ένα αντίγραφο ασφαλείας και ένα στιγμιότυπο
2) Τεκμηριώστε τις ενέργειές σας - αυτό θα σας βοηθήσει να ανακτήσετε τα πάντα ή να βρείτε το σφάλμα πιο γρήγορα
Υ. Πρέπει να δοκιμάσω ξανά τη μετεγκατάσταση CA από τα Windows 2008R στα Windows 2012R2.
Πηγή: www.habr.com