Բարի լույս սիրելի ընթերցող,
Ես ձեզ կպատմեմ այն մղձավանջի մասին, որի միջով անցել եմ CA-ն Windows 2008R2-ից Windows 2012 R2 տեղափոխելով: Ինտերնետում այս մասին շատ հոդվածներ կան, և ոչ մի խնդիր չպետք է լինի:
Ի ափսոսանք, ես իրականում Windows-ի ադմին չեմ, ես ավելի շատ *nix-ի ադմին եմ, բայց CA միգրացիայի խնդիրը դրված էր. այն պետք է կատարվի:
Կտրվածքի տակ ես ձեզ կասեմ, թե ինչպես ես անցա այս գործընթացի միջով և ավարտեցի ոչ այնքան երջանիկ ավարտը:
Եվ այսպես, եկեք գնանք ...
Նախնական տվյալներ.
Աղբյուր - Windows 2008 R2 Root CA-ով
Թիրախ - Windows 2012R2
Ես արդեն ունեի Windows 2012R2 տեղադրված և նվազագույն կազմաձևված:
Սկզբում գործողությունների ծրագիրը հետևյալն էր (կարճացված գործողություններ).
1) Կրկնօրինակեք CA+Private բանալի և պատճենեք այն երկու համակարգիչների ընդհանուր բաժնետոմսում
2) Հեռացրեք թիրախը տիրույթից և փոխեք IP-ն
3) Կատարեք սերվերի լուսանկար
4) Փոխեք IP-ն սկզբնաղբյուրում
5) Մենք գնում ենք նոր Windows 2012R2 սերվեր որպես ադմինիստրատոր - մուտքագրեք այն նույն անունով տիրույթում և նշանակեք հին IP-ն
6) Սահմանեք Active Directory վկայագրի ծառայության դերը (CA, CA Web Enrollment, NDES, Online Responder)
7) Մենք նշում ենք, որ սա Enterprise CA-ն է
8) Վերականգնել CA+Private բանալին կրկնօրինակից
9) Happy End
Համաձայնեք, ոչ մի բարդ բան չկա։ Եվ ես սկսեցի այն իրականացնել։ Իրականում ոչ մի խնդիր չեղավ ու ամեն ինչ գնաց ժամացույցի պես... Ծառայությունը սկսվեց, հայտնվեցին Certificate Templates-ը և հայտնվեցին իրենք՝ վկայականները։ Ընդհանուր առմամբ, ամեն ինչ կարգին է: Այսպիսով, ես գնացի քնելու: Առավոտյան ՔԱ-ի աշխատանքից դժգոհություններ չկային, ուստի ես ենթադրեցի, որ ամեն ինչ աշխատում է, և անցա այլ գործերի։ Դրանք լուծելու ընթացքում ինձ վկայական էր պետք։ Ես ստեղծեցի .csr և հետևեցի հղմանը ստորագրել և ստանալ վկայական և այս փուլում սխալ է տեղի ունեցել. Ցավոք, ես սքրինշոթ չեմ արել, բայց այնտեղ գրված է, որ անհամապատասխանություն է օգտատիրոջ տեղեկատվությանը և որոշ այլ սխալներ: Դե, ահա մենք, մտածեցի ես։ Ես սկսեցի գուգլել, բայց, ցավոք, հասկանալի ոչինչ չգտա։
Երեկոյան մենք որոշեցինք հեռացնել CA Windows 2012R2-ը և տեղադրել ամեն նորը, և հետո ես սխալ թույլ տվեցի, Enterprise CA-ի փոխարեն ես ընտրեցի Standalone CA տարբերակը (չնայած իմ սխալի մասին ավելի ուշ իմացա): Ես նորից արեցի բոլոր գործողությունները... ամեն ինչ անցել է առանց սխալների, բայց երբ ընտրում եմ Certificate Templates պանակը, ստանում եմ Element not found, չնայած եթե ընտրում եմ Կառավարել, ապա կաղապարները տեղում են:
Ես մտածեցի, որ այս CN=Վկայագրի ձևանմուշների համար բավարար իրավունքներ չկան, ուստի, օգտագործելով ADSI Edit-ը, ես տվել եմ Read for vm_ca$: Ես վերագործարկեցի CertSvc-ն և... արդյունքը՝ տարրը չի գտնվել:
Հետո ես տխուր զգացի, որովհետև ժամը 2-ն էր... և CA-ն չէր աշխատում: Ես անջատում եմ CA Windows 2012R2-ը և վերականգնում եմ VM CA Windows 2008R2-ը snapshot-ից: Ես սերվերը վերադարձնում եմ AD (քանի որ երբ փորձում եմ մուտք գործել տիրույթի հաշիվ, սխալ է տեղի ունենում սերվերի և AD-ի միջև փոխհարաբերությունների հետ կապված):
Դե, ես կարծում եմ, որ հիմա ամեն ինչ լավ կլինի, բայց ավաղ... դա դեռ նույն վկայականի ձևանմուշներն են. ես ստանում եմ, որ տարրը չի գտնվել: Ես ամեն ինչ կթողնեմ մինչև առավոտ, քանի որ առավոտն ավելի իմաստուն է, քան երեկոն:
Առավոտյան ես գուգլեցի և կարդացի տարբեր հոդվածներ. որոշեցի նորից տեղադրել CA-ն հին սերվերի վրա՝ հույս ունենալով լուծել «Element Not Found» խնդիրը և սերտիֆիկատներ տրամադրել համացանցի միջոցով:
Գործընթացը բավականին պարզ է.
1) Ջնջել CA դերը
2) գերբեռնվածություն
3) Սպասեք հեռացման գործընթացի ավարտին
4) Ավելացրեք CA դերը (նշեք CA, CA Web Enrollment, NDES, Online Responder)
5) Մենք նշում ենք, որ ես ունեմ Enterprise CA և ունեմ մասնավոր բանալի
6) Մենք սպասում ենք տեղադրման ավարտին և վերականգնում ենք ամեն ինչ այն պահուստից, որը մենք արել ենք հենց սկզբում:
7) Ինչպես միշտ, ամեն ինչ անցնում է պայթյունով. ոչ մի սխալ, և ծառայությունը սկսվեց
Խորտակվող սրտով սեղմում եմ Վկայականների ձևանմուշները - և... Ինձ ցուցակ են տվել - սա արդեն փոքր հաղթանակ է: Մնում է ստուգել վեբի միջոցով վկայականի տրամադրման գործողությունը: Ես հետևում եմ հղմանը. և սեղմում ենք Request a Certificate և հետո Advanced Certificate հարցում... Ես նշում եմ .csr հարցումը և ստանում պատրաստի վկայական: Ես արտաշնչում եմ... Հնարավոր էր վերականգնել ԿԱ.
Եզրակացություններ:
1) Համոզվեք, որ պատրաստեք կրկնօրինակ և լուսանկար
2) Փաստաթղթավորեք ձեր գործողությունները. սա կօգնի ձեզ վերականգնել ամեն ինչ կամ ավելի արագ գտնել սխալը
Հ.Գ. Ես պետք է նորից փորձեմ CA միգրացիա Windows 2008R-ից Windows 2012R2:
Source: www.habr.com