Goeiemiddei bêste lêzer,
Ik sil jo fertelle oer de nachtmerje dy't ik gie troch it migrearjen fan CA fan Windows 2008R2 nei Windows 2012 R2. D'r binne in protte artikels oer dit op it ynternet en d'r soene gjin problemen wêze moatte.
Ta myn spyt bin ik net echt in Windows Admin, ik bin mear in *nix admin, mar de taak fan CA-migraasje waard ynsteld - it moat dien wurde.
Under de besuniging sil ik jo fertelle hoe't ik troch dit proses gie en einige mei in net-hiel-HappyEnd.
En sa litte wy gean ...
Earste gegevens:
Boarne - Windows 2008 R2 mei Root CA
Doel - Windows 2012R2
Ik hie al Windows 2012R2 ynstalleare en minimaal konfigureare.
Yn it earstoan wie it aksjeplan as folget (ferkoarte aksjes):
1) Meitsje in Reservekopy CA + Privee kaai en kopiearje it nei in mienskiplik oandiel foar beide kompjûters
2) Doel fuortsmite fan it domein en feroarje IP
3) Meitsje in momintopname fan de tsjinner
4) Feroarje de IP by de boarne
5) Wy geane nei de nije Windows 2012R2-tsjinner as behearder - fier it yn it domein mei deselde namme en jou de âlde IP
6) Stel de Active Directory Certificate Service-rol yn (CA, CA Web Enrollment, NDES, Online Responder)
7) Wy jouwe oan dat dit Enterprise CA is
8) Weromsette CA + Privee kaai fan reservekopy
9) Lokkich ein
Iens, der is neat yngewikkeld. En ik begon it te ymplementearjen. Eins wiene d'r gjin problemen en alles gie as in klok ... De tsjinst begon, Certificate Templates ferskynden en de sertifikaten sels ferskynden. Yn 't algemien is alles OK. Dat ik gie op bêd. Moarns wiene der gjin klachten oer it wurk fan CA en dêrom gong ik der fan út dat alles wurke en gie oer nei oare taken. Yn it proses om se op te lossen, hie ik in sertifikaat nedich. Ik makke in .csr en folge de keppeling om in sertifikaat te ûndertekenjen en te ûntfangen en op dit stadium is der in flater bard. Spitigernôch, ik naam gjin skermprint, mar it sei mismatch brûkersynformaasje en guon oare flaters. No, hjir binne wy, tocht ik. Ik begûn te googelen, mar ik fûn spitigernôch neat begrypliks.
Jûns hawwe wy besletten CA Windows 2012R2 te ferwiderjen en alles nij te ynstallearjen, en doe makke ik in flater; ynstee fan Enterprise CA, haw ik de Standalone CA-opsje selektearre (hoewol't ik letter oer myn flater learde). Ik haw alle operaasjes wer dien ... alles gie sûnder flaters - mar as ik de map Certificate Templates selektearje, krij ik Elemint net fûn, hoewol as ik Behear selektearje, dan binne de sjabloanen yn plak.
Ik tocht dat d'r net genôch rjochten wiene foar dizze CN=Sertifikaat-sjabloanen, dus mei ADSI-bewurking joech ik Read foar vm_ca$. Ik haw CertSvc opnij starte en ... resultaat: Elemint net fûn.
Doe fielde ik my fertrietlik, om't it 2 oere wie ... en CA wurke net. Ik útsette CA Windows 2012R2 en weromsette VM CA Windows 2008R2 út momintopname. Ik jou de tsjinner werom nei AD (omdat as ik besykje yn te loggen mei in domein akkount, komt der in flater foar oangeande de relaasje tusken de tsjinner en AD).
No, ik tink ... alles sil no goed wêze, mar helaas ... it is noch altyd deselde sertifikaatsjabloanen - ik krij Element net fûn. Ik sil alles litte oant de moarn - want de moarn is wizer as de jûn.
Moarns googlede ik en lies ferskate artikels - ik besleat de CA opnij te ynstallearjen op 'e âlde tsjinner yn' e hoop om it probleem fan Element Not Found op te lossen en sertifikaten út te jaan fia it web.
It proses is frij simpel:
1) Wiskje de CA-rol
2) Overload
3) Wachtsje oant it ferwideringsproses foltôge is
4) Foegje de CA-rol ta (spesifisearje CA, CA Web Enrollment, NDES, Online Responder)
5) Wy jouwe oan dat ik haw in Enterprise CA en ik haw in privee kaai
6) Wy wachtsje oant de ynstallaasje foltôge is en alles weromsette fan 'e reservekopy dy't wy oan it begjin makke hawwe.
7) Lykas gewoanlik giet alles mei in klap - gjin flaters en de tsjinst begon
Mei in sinkend hert klik ik op Certificate Templates - en... ik krige in list - dit is al in lytse oerwinning. It bliuwt om de wurking fan it útjaan fan in sertifikaat fia it web te kontrolearjen. Ik folgje de link: en klikje op In sertifikaat oanfreegje en dan avansearre sertifikaatfersyk... Ik spesifisearje it .csr-fersyk en krij in klear sertifikaat. Ik útadem ... It wie mooglik om te herstellen CA.
Konklúzjes:
1) Wês wis dat jo in reservekopy en momintopname meitsje
2) Dokumintearje jo aksjes - dit sil jo helpe om alles werom te krijen of de flater rapper te finen
Ps ik moat besykje CA migraasje fan Windows 2008R nei Windows 2012R2 wer.
Boarne: www.habr.com