Buenas tardes querido lector,
Les contaré la pesadilla que pasé al migrar CA de Windows 2008R2 a Windows 2012 R2. Hay muchos artículos en Internet sobre esto y no debería haber habido ningún problema.
Lamentablemente, no soy realmente un administrador de Windows, soy más un administrador de *nix, pero la tarea de migración de CA ya estaba establecida; es necesario hacerlo.
Debajo del corte, les contaré cómo pasé por este proceso y terminé con un final no del todo feliz.
Y entonces vamos ...
Antecedentes:
fuente - Windows 2008 R2 con CA raíz
Objetivo -Windows 2012R2
Ya tenía Windows 2012R2 instalado y mínimamente configurado.
Inicialmente, el plan de acción era el siguiente (acciones abreviadas):
1) Haga una copia de seguridad de CA+clave privada y cópiela en un recurso compartido común para ambas computadoras
2) Eliminar el objetivo del dominio y cambiar la IP
3) Hacer una instantánea del servidor.
4) Cambiar la IP en la fuente
5) Vamos al nuevo servidor Windows 2012R2 como administrador: lo ingresamos en el dominio con el mismo nombre y le asignamos la IP anterior.
6) Establezca la función del Servicio de certificados de Active Directory (CA, CA Web Enrollment, NDES, Respondedor en línea)
7) Indicamos que se trata de Enterprise CA
8) Restaurar CA+Clave privada desde la copia de seguridad
9) Final Feliz
De acuerdo, no hay nada complicado. Y comencé a implementarlo. De hecho, no hubo problemas y todo transcurrió como un reloj... El servicio se inició, aparecieron las Plantillas de Certificados y aparecieron los propios certificados. En general todo está bien. Entonces me fui a la cama. Por la mañana no hubo quejas sobre el trabajo de CA y por eso supuse que todo estaba funcionando y procedí a otras tareas. En el proceso de resolverlos, necesitaba un certificado. Creé un .csr y seguí el enlace. para firmar y recibir un certificado y en esta etapa ocurrió un error. Desafortunadamente, no tomé una captura de pantalla, pero decía que la información del usuario no coincide y algunos otros errores. Bueno, aquí estamos, pensé. Empecé a buscar en Google, pero lamentablemente no encontré nada inteligible.
Por la noche decidimos eliminar CA Windows 2012R2 e instalar todo nuevo, y luego cometí un error; en lugar de Enterprise CA, seleccioné la opción Standalone CA (aunque me enteré de mi error más tarde). Hice todas las operaciones nuevamente... todo salió sin errores, pero cuando selecciono la carpeta Plantillas de certificado, aparece Elemento no encontrado, aunque si selecciono Administrar, entonces las plantillas están en su lugar.
Pensé que no había suficientes derechos para este CN=Plantillas de certificado, así que usando ADSI Edit le di Leer para vm_ca$. Reinicié CertSvc y... resultado: Elemento no encontrado.
Luego me sentí triste porque eran las 2 am... y CA no estaba funcionando. Apago CA Windows 2012R2 y restauro VM CA Windows 2008R2 desde una instantánea. Estoy devolviendo el servidor a AD (porque cuando intento iniciar sesión con una cuenta de dominio, ocurre un error con respecto a la relación entre el servidor y AD).
Bueno, creo... todo estará bien ahora, pero, por desgracia... siguen siendo las mismas plantillas de certificado: aparece Elemento no encontrado. Lo dejaré todo para la mañana, porque la mañana es más sabia que la tarde.
Por la mañana busqué en Google y leí varios artículos; decidí reinstalar la CA en el servidor anterior con la esperanza de resolver el problema del Elemento no encontrado y emitir certificados a través de la Web.
El proceso es bastante simple:
1) Eliminar el rol de CA
2) Sobrecarga
3) Espere a que se complete el proceso de eliminación.
4) Agregue la función de CA (especifique CA, Inscripción web de CA, NDES, Respondedor en línea)
5) Indicamos que tengo una CA Empresarial y tengo una clave privada
6) Esperamos a que se complete la instalación y restauramos todo desde la copia de seguridad que hicimos al principio.
7) Como de costumbre, todo va bien: no hubo errores y el servicio se inició
Con el corazón hundido, hago clic en Plantillas de certificado y... me dieron una lista; esto ya es una pequeña victoria. Queda por comprobar el funcionamiento de la emisión de un certificado vía Web. Sigo el enlace: y haga clic en Solicitar un certificado y luego solicitud de certificado avanzada... Especifico la solicitud .csr y recibo un certificado listo para usar. Exhalo... Fue posible restaurar CA.
Conclusiones:
1) Asegúrese de hacer una copia de seguridad y una instantánea
2) Documente sus acciones: esto le ayudará a recuperar todo o a encontrar el error más rápido
PD: Tengo que intentar nuevamente la migración de CA de Windows 2008R a Windows 2012R2.
Fuente: habr.com