Goedemiddag beste lezer,
Ik zal je vertellen over de nachtmerrie die ik heb meegemaakt bij het migreren van CA van Windows 2008R2 naar Windows 2012 R2. Er zijn veel artikelen op internet hierover en er zouden geen problemen moeten zijn.
Tot mijn spijt ben ik niet echt een Windows-beheerder, ik ben meer een *nix-beheerder, maar de taak van CA-migratie was vastgelegd: het moet worden gedaan.
Hieronder vertel ik je hoe ik dit proces heb doorlopen en uiteindelijk met een niet helemaal HappyEnd ben beland.
En zo gingen we...
Initiële data:
Bron - Windows 2008 R2 met root-CA
Doel - Windows 2012R2
Ik had Windows 2012R2 al geïnstalleerd en minimaal geconfigureerd.
Aanvankelijk zag het actieplan er als volgt uit (verkorte acties):
1) Maak een back-up CA+privésleutel en kopieer deze naar een gemeenschappelijke share voor beide computers
2) Verwijder het doel uit het domein en wijzig het IP-adres
3) Maak een momentopname van de server
4) Wijzig het IP-adres bij de bron
5) We gaan als beheerder naar de nieuwe Windows 2012R2-server - voer deze in het domein met dezelfde naam in en wijs het oude IP-adres toe
6) Stel de Active Directory Certificate Service-rol in (CA, CA Web Enrollment, NDES, Online Responder)
7) Wij geven aan dat dit Enterprise CA is
8) Herstel CA+privésleutel vanaf een back-up
9) Gelukkig einde
Mee eens, er is niets ingewikkelds. En ik begon het te implementeren. In feite waren er geen problemen en verliep alles op rolletjes... De service startte, certificaatsjablonen verschenen en de certificaten zelf verschenen. Over het algemeen is alles in orde. Dus ging ik naar bed. In de ochtend waren er geen klachten over het werk van CA en daarom ging ik ervan uit dat alles werkte en ging ik verder met andere taken. Tijdens het oplossen ervan had ik een certificaat nodig. Ik heb een .csr gemaakt en de link gevolgd om een certificaat te ondertekenen en te ontvangen en in dit stadium is er een fout opgetreden. Helaas heb ik geen screenshot gemaakt, maar er stond dat de gebruikersinformatie niet overeenkwam en enkele andere fouten. Nou, hier zijn we dan, dacht ik. Ik begon te googlen, maar kon helaas niets begrijpelijks vinden.
'S Avonds besloten we CA Windows 2012R2 te verwijderen en alles nieuw te installeren, en toen maakte ik een fout; in plaats van Enterprise CA selecteerde ik de Standalone CA-optie (hoewel ik later over mijn fout hoorde). Ik heb alle bewerkingen opnieuw uitgevoerd... alles verliep zonder fouten - maar wanneer ik de map Certificaatsjablonen selecteer, krijg ik Element niet gevonden, maar als ik Beheren selecteer, zijn de sjablonen aanwezig.
Ik dacht dat er niet genoeg rechten waren voor deze CN=Certificaatsjablonen, dus met behulp van ADSI Edit gaf ik Read voor vm_ca$. Ik heb CertSvc opnieuw opgestart en... resultaat: Element niet gevonden.
Toen voelde ik me verdrietig omdat het 2 uur 's nachts was... en CA werkte niet. Ik schakel CA Windows 2012R2 uit en herstel VM CA Windows 2008R2 vanaf een momentopname. Ik stuur de server terug naar AD (omdat wanneer ik probeer in te loggen met een domeinaccount, er een fout optreedt met betrekking tot de relatie tussen de server en AD).
Nou, ik denk... alles komt nu goed, maar helaas... het zijn nog steeds dezelfde certificaatsjablonen - ik krijg Element niet gevonden. Ik laat alles tot de ochtend staan, want de ochtend is wijzer dan de avond.
'S Morgens heb ik gegoogeld en verschillende artikelen gelezen - ik besloot de CA opnieuw te installeren op de oude server in de hoop het Element Not Found-probleem op te lossen en certificaten via internet uit te geven.
Het proces is vrij eenvoudig:
1) Verwijder de CA-rol
2) Overbelasting
3) Wacht tot het verwijderingsproces is voltooid
4) Voeg de CA-rol toe (specificeer CA, CA Web Enrollment, NDES, Online Responder)
5) Wij geven aan dat ik een Enterprise CA heb en een private sleutel heb
6) We wachten tot de installatie is voltooid en herstellen alles vanaf de back-up die we helemaal aan het begin hebben gemaakt.
7) Zoals gewoonlijk gaat alles met een knal - geen fouten en de service is gestart
Met een zinkend hart klik ik op Certificaatsjablonen - en... ik kreeg een lijst - dit is al een kleine overwinning. Het blijft nodig om de werking van het uitgeven van een certificaat via internet te controleren. Ik volg de link: en klik op Certificaat aanvragen en vervolgens op geavanceerd certificaatverzoek... Ik specificeer het .csr-verzoek en ontvang een kant-en-klaar certificaat. Ik adem uit... Het was mogelijk om CA te herstellen.
Conclusies:
1) Zorg ervoor dat u een back-up en momentopname maakt
2) Documenteer uw acties - dit zal u helpen alles terug te krijgen of de fout sneller te vinden
Ps Ik moet CA-migratie van Windows 2008R naar Windows 2012R2 opnieuw proberen.
Bron: www.habr.com