Добро попладне драг читател,
Ќе ви кажам за кошмарот низ кој поминав мигрирајќи CA од Windows 2008R2 на Windows 2012 R2. Има многу написи на интернет за ова и не требаше да има никакви проблеми.
На мое жалење, јас навистина не сум администратор на Windows, јас сум повеќе *nix администратор, но задачата за миграција на CA беше поставена - тоа треба да се заврши.
Под сечењето, ќе ви кажам како поминав низ овој процес и завршив со не баш среќен крај.
И така да одиме...
Основна линија:
Извор - Windows 2008 R2 со Root CA
Цел - Windows 2012R2
Веќе имав инсталирано и минимално конфигуриран Windows 2012R2.
Првично, акциониот план беше како што следува (скратени акции):
1) Направете резервен CA+Приватен клуч и копирајте го на заеднички дел за двата компјутера
2) Отстранете ја целта од доменот и сменете ја IP адресата
3) Направете слика од серверот
4) Променете ја IP адресата на изворот
5) Одиме на новиот сервер Windows 2012R2 како администратор - внесете го во доменот со исто име и доделете ја старата IP адреса
6) Поставете ја улогата на услугата за сертификати Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Посочуваме дека ова е Enterprise CA
8) Вратете го CA+Private Key од резервната копија
9) Среќен крај
Се согласувам, нема ништо комплицирано. И почнав да го спроведувам. Всушност, немаше никакви проблеми и се одеше како часовник... Сервисот започна, се појавија шаблони за сертификати и се појавија самите сертификати. Во принцип, сè е во ред. Па отидов во кревет. Утрото немаше поплаки за работата на CA и затоа претпоставив дека се работи и продолжив со други задачи. Во процесот на нивно решавање ми требаше сертификат. Направив .csr и ја следев врската да потпише и да добие сертификат и во оваа фаза настанала грешка. За жал, не направив скриншот, но пишуваше дека не се совпаѓаат корисничките информации и некои други грешки. Па, тука сме, си помислив. Почнав да гуглам, но за жал не најдов ништо разбирливо.
Вечерта решивме да го отстраниме CA Windows 2012R2 и да инсталираме сè ново, а потоа направив грешка наместо Enterprise CA, ја избрав опцијата самостоен CA (иако подоцна дознав за мојата грешка). Повторно ги направив сите операции... се помина без грешки - но кога ќе ја одберам папката Certificate Templates, добивам Element not found, иако ако одберам Manage, тогаш шаблоните се на своето место.
Мислев дека нема доволно права за овој CN=Шаблони за сертификати, па користејќи го ADSI Edit дадов Read за vm_ca$. Го рестартирав CertSvc и... резултат: Елементот не е пронајден.
Тогаш се чувствував тажно бидејќи беше 2 часот по полноќ... и CA не работеше. Го исклучувам CA Windows 2012R2 и го враќам VM CA Windows 2008R2 од слика. Го враќам серверот во АД (бидејќи кога се обидувам да се логирам со сметка на домен, добивам грешка за врската помеѓу серверот и АД).
Па, мислам... сè ќе биде во ред сега, но за жал... сè уште се истите Шаблони за сертификати - добивам дека елементот не е пронајден. Ќе оставам сè до утрото - зашто утрото е помудро од вечерта.
Утрото пребарував и читав разни написи - решив повторно да го инсталирам CA на стариот сервер со надеж дека ќе го решам проблемот со Element Not Found и ќе издавам сертификати преку Интернет.
Процесот е прилично едноставен:
1) Избришете ја улогата CA
2) Преоптоварување
3) Почекајте да заврши процесот на отстранување
4) Додајте ја улогата CA (наведете CA, CA Web Enrollment, NDES, Online Responder)
5) Посочуваме дека имам CA на Enterprise и имам приватен клуч
6) Чекаме да заврши инсталацијата и да вратиме сè од резервната копија што ја направивме на самиот почеток.
7) Како и обично, сè оди со тресок - нема грешки и услугата започна
Со срце што тоне, кликнувам на Шаблони за сертификати - и... Ми дадоа список - ова е веќе мала победа. Останува да се провери работата за издавање сертификат преку Интернет. Ја следам врската: и кликнуваме на Request a Certificate и потоа напредно барање за сертификат... Го одредувам барањето .csr и добивам готов сертификат. Издишувам... Беше можно да се врати CA.
Заклучоци:
1) Не заборавајте да направите резервна копија и слика
2) Документирајте ги вашите постапки - ова ќе ви помогне да вратите сè или побрзо да ја пронајдете грешката
Ps Морам повторно да пробам CA миграција од Windows 2008R на Windows 2012R2.
Извор: www.habr.com