Góðan daginn kæri lesandi,
Ég skal segja þér frá martröðinni sem ég gekk í gegnum að flytja CA úr Windows 2008R2 yfir í Windows 2012 R2. Það eru fullt af greinum á netinu um þetta og það ætti ekki að hafa verið nein vandamál.
Mér til eftirsjá er ég í raun ekki Windows stjórnandi, ég er meira *nix stjórnandi, en verkefni CA flutnings var stillt - það þarf að gera.
Fyrir neðan klippuna skal ég segja þér hvernig ég fór í gegnum þetta ferli og endaði með ekki-alveg-HappyEnd.
Og svo skulum við fara...
Upphafleg gögn:
Source - Windows 2008 R2 með rót CA
Таргет - Windows 2012R2
Ég var þegar með Windows 2012R2 uppsett og lágmarkstillt.
Upphaflega var aðgerðaáætlunin eftirfarandi (styttar aðgerðir):
1) Búðu til öryggisafrit CA+Private Key og afritaðu hann á sameiginlegan hlut fyrir báðar tölvur
2) Fjarlægðu miða af léninu og breyttu IP
3) Gerðu skyndimynd af þjóninum
4) Breyttu IP við upprunann
5) Við förum á nýja Windows 2012R2 netþjóninn sem stjórnandi - sláðu hann inn á lénið með sama nafni og úthlutaðu gamla IP
6) Stilltu hlutverk Active Directory vottorðsþjónustunnar (CA, CA Web Enrollment, NDES, Online Responder)
7) Við gefum til kynna að þetta sé Enterprise CA
8) Endurheimtu CA+Private Key úr öryggisafriti
9) Hamingjusamur endir
Sammála, það er ekkert flókið. Og ég byrjaði að innleiða það. Reyndar voru engin vandamál og allt gekk eins og í sögu... Þjónustan fór af stað, Certificate Templates birtust og skírteinin sjálf birtust. Almennt séð er allt í lagi. Svo ég fór að sofa. Um morguninn var ekkert kvartað yfir starfi CA og því gerði ég ráð fyrir að allt væri að virka og fór í önnur verkefni. Í því ferli að leysa þau þurfti ég vottorð. Ég bjó til .csr og fylgdi hlekknum að undirrita og taka á móti vottorði og á þessu stigi kom upp villa. Því miður tók ég ekki skjáskot, en það sagði að notendaupplýsingar passa ekki saman og nokkrar aðrar villur. Jæja, hér erum við, hugsaði ég. Ég byrjaði að googla, en því miður fann ég ekkert skiljanlegt.
Um kvöldið ákváðum við að fjarlægja CA Windows 2012R2 og setja upp allt nýtt, og þá gerði ég mistök; í stað Enterprise CA valdi ég Standalone CA valmöguleikann (þó ég hafi lært um mistök mín síðar). Ég gerði allar aðgerðir aftur... allt gekk án villna - en þegar ég vel Certificate Templates möppuna fæ ég Element not found, þó ef ég velji Manage þá eru sniðmátin komin á sinn stað.
Ég hélt að það væru ekki næg réttindi fyrir þetta CN=Certificate Templates, svo með því að nota ADSI Edit gaf ég Read fyrir vm_ca$. Ég endurræsti CertSvc og... niðurstaða: Eining fannst ekki.
Svo var mér leiðinlegt því klukkan var 2:2012... og CA virkaði ekki. Ég slökkva á CA Windows 2R2008 og endurheimta VM CA Windows 2RXNUMX úr skyndimynd. Ég er að skila þjóninum til AD (vegna þess að þegar ég reyni að skrá mig inn með lénsreikningi fæ ég villu um sambandið milli þjónsins og AD).
Jæja, ég held... allt verði í lagi núna, en því miður... þetta eru ennþá sömu vottorðssniðmátið - ég fæ Element ekki fundið. Ég læt allt eftir til morguns - því morgunninn er vitrari en kvöldið.
Um morguninn googlaði ég og las ýmsar greinar - ég ákvað að setja CA aftur upp á gamla netþjóninn í von um að leysa Element Not Found vandamálið og gefa út vottorð í gegnum vefinn.
Процесс довольно простой:
1) Eyða CA hlutverkinu
2) Ofhleðsla
3) Bíddu eftir að flutningsferlinu lýkur
4) Bættu við CA hlutverkinu (tilgreindu CA, CA Web Enrollment, NDES, Online Responder)
5) Við gefum til kynna að ég sé með Enterprise CA og ég sé með einkalykil
6) Við bíðum eftir að uppsetningunni ljúki og endurheimtum allt frá öryggisafritinu sem við gerðum í upphafi.
7) Eins og venjulega gengur allt með látum - engar villur og þjónustan hafin
Með sökkvandi hjarta smelli ég á Certificate Templates - og... ég fékk lista - þetta er nú þegar lítill sigur. Það er eftir að athuga virkni útgáfu vottorðs í gegnum vefinn. Ég fylgi hlekknum: og smelltu á Request a Certificate og svo advanced certificate request... Ég tilgreini .csr beiðnina og fæ tilbúið vottorð. Ég anda frá mér... Það var hægt að endurheimta CA.
Ályktanir:
1) Vertu viss um að taka öryggisafrit og skyndimynd
2) Skráðu aðgerðir þínar - þetta mun hjálpa þér að fá allt til baka eða finna villuna hraðar
Ps ég verð að prófa CA flutning frá Windows 2008R til Windows 2012R2 aftur.
Heimild: www.habr.com