プロホスト > ブログ > 行政 > Windows 2008R から Windows 2012 R2 への認証局 (CA) の移行が失敗する

Windows 2008R から Windows 2012 R2 への認証局 (CA) の移行が失敗する

親愛なる読者の皆さん、こんにちは。
CA を Windows 2008R2 から Windows 2012 R2 に移行する際に経験した悪夢についてお話します。 これについてはインターネット上にたくさんの記事があり、問題はないはずです。

残念ながら、私は実際には Windows 管理者ではなく、どちらかというと *nix 管理者ですが、CA 移行のタスクは設定されており、実行する必要があります。

このカットの下では、私がこのプロセスをどのように経て、完全にハッピーエンドとは言えない結末に至ったかを説明します。

そして、行きましょう...
背景:
ソース - ルート CA を備えた Windows 2008 R2
目標 - Windows 2012R2

すでに Windows 2012R2 がインストールされており、最小限の構成が行われていました。

当初の行動計画は次のとおりでした(アクションの短縮版)。
1) バックアップ CA + 秘密キーを作成し、それを両方のコンピュータの共通共有にコピーします。
2) ドメインからターゲットを削除し、IP を変更します。
3) サーバーのスナップショットを作成します。
4) 送信元のIPを変更する
5) 管理者として新しい Windows 2012R2 サーバーにアクセスします。同じ名前でドメインに入り、古い IP を割り当てます。
6) Active Directory 証明書サービスの役割 (CA、CA Web 登録、NDES、オンライン レスポンダー) を設定します。
7) これがエンタープライズ CA であることを示します
8) バックアップから CA+秘密キーを復元する
9) ハッピーエンド

同意します。複雑なことは何もありません。 そしてそれを実行し始めました。 実際、何の問題もなく、すべてが時計のように進みました。サービスが開始され、証明書テンプレートが表示され、証明書自体が表示されました。 一般的には、すべて問題ありません。 それで私は寝ました。 午前中はCAの仕事に不満はなかったので、大丈夫だと思って他の業務に進みました。 それらを解決する過程で、証明書が必要になりました。 .csr を作成し、リンクをたどりました vm_ca/certsvc証明書に署名して受信しようとしましたが、この段階でエラーが発生しました。 残念ながらスクリーンショットを撮っていませんでしたが、ユーザー情報の不一致やその他のエラーが表示されました。 さて、ここまで来た、と私は思いました。 グーグルで調べ始めましたが、残念ながらわかりやすいものは見つかりませんでした。

夕方、CA Windows 2012R2 を削除して、すべてを新しいものにインストールすることにしましたが、私は間違いを犯しました。エンタープライズ CA の代わりに、スタンドアロン CA オプションを選択してしまいました (後で間違いに気づきましたが)。 すべての操作を再度実行しました...すべてエラーは発生しませんでしたが、証明書テンプレート フォルダーを選択すると、「要素が見つかりません」というメッセージが表示されます。ただし、「管理」を選択すると、テンプレートは配置されます。
この CN=Certificate Templates には十分な権限がないと考えたので、ADSI Edit を使用して vm_ca$ に Read を与えました。 CertSvc を再起動しました。結果: 要素が見つかりません。
そして、午前2時だったので悲しい思いをしました...CAは働いていませんでした。 CA Windows 2012R2 をオフにし、スナップショットから VM CA Windows 2008R2 を復元します。 サーバーをADに戻しています(ドメインアカウントでログインしようとするとサーバーとADの関係でエラーが発生するため)。
まあ、これですべてがうまくいくと思いますが、残念ながら、証明書テンプレートはまだ同じです。「要素が見つかりません」というメッセージが表示されます。 朝まですべてを残しておきます - 朝は夜よりも賢明だからです。
朝、Google で検索してさまざまな記事を読みました。要素が見つからない問題を解決し、Web 経由で証明書を発行できることを期待して、古いサーバーに CA を再インストールすることにしました。

プロセスは非常に簡単です。
1) CA ロールを削除します。
2) 過負荷
3) 削除プロセスが完了するまで待ちます
4) CA ロールを追加します (CA、CA Web Enrollment、NDES、オンライン レスポンダーを指定します)。
5) 私はエンタープライズ CA を持っており、秘密鍵を持っていることを示します
6) インストールが完了するのを待ち、最初に作成したバックアップからすべてを復元します。
7) いつものように、すべてが順調に進みます - エラーはなく、サービスが開始されました

落ち込む心で [証明書テンプレート] をクリックすると...リストが表示されました。これはすでに小さな勝利です。 Web 経由で証明書を発行する動作を確認する必要があります。 私はリンクをたどります: vm_ca/certsvc 次に、「証明書の要求」をクリックし、次に「高度な証明書要求...」をクリックします。.csr 要求を指定して、既製の証明書を受け取ります。 息を吐きます…CAを回復することができました。

結論:
1) 必ずバックアップとスナップショットを作成してください
2) アクションを文書化します - これにより、すべてを元に戻したり、エラーをより早く見つけたりすることができます。

追伸、Windows 2008R から Windows 2012R2 への CA 移行を再度試行する必要があります。

出所: habr.com

コメントを追加します