Dzień dobry, drogi czytelniku,
Opowiem Wam o koszmarze, jaki przeżyłem przy migracji CA z Windows 2008R2 do Windows 2012 R2. W internecie jest mnóstwo artykułów na ten temat i nie powinno być żadnych problemów.
Żałuję, że tak naprawdę nie jestem administratorem Windowsa, jestem raczej administratorem *nix, ale zadanie migracji CA zostało postawione - trzeba to zrobić.
Poniżej opowiem Ci, jak przeszedłem przez ten proces i skończyłem z niezbyt szczęśliwym zakończeniem.
I tak poszliśmy...
Linia bazowa:
źródło - Windows 2008 R2 z głównym CA
Cel -Windows 2012R2
Miałem już zainstalowany i minimalnie skonfigurowany system Windows 2012R2.
Początkowo plan działania był następujący (działania skrócone):
1) Utwórz kopię zapasową klucza prywatnego CA+ i skopiuj go do wspólnego udziału dla obu komputerów
2) Usuń cel z domeny i zmień adres IP
3) Zrób migawkę serwera
4) Zmień adres IP u źródła
5) Wchodzimy na nowy serwer Windows 2012R2 jako administrator - wpisujemy go do domeny o tej samej nazwie i przydzielamy stary adres IP
6) Ustaw rolę usługi certyfikatów Active Directory (CA, rejestracja w sieci CA, NDES, obiekt odpowiadający online)
7) Wskazujemy, że jest to Enterprise CA
8) Przywróć klucz prywatny CA+z kopii zapasowej
9) Szczęśliwy koniec
Zgadzam się, nie ma nic skomplikowanego. I zacząłem to realizować. Właściwie nie było żadnych problemów i wszystko szło jak w zegarku... Usługa ruszyła, pojawiły się Szablony Certyfikatów i same certyfikaty. Generalnie wszystko jest OK. Więc poszedłem do łóżka. Rano nie było żadnych skarg na pracę CA, więc założyłem, że wszystko działa i zabrałem się za inne zadania. W procesie ich rozwiązywania potrzebowałem certyfikatu. Utworzyłem plik .csr i skorzystałem z linku do podpisania i otrzymania certyfikatu i na tym etapie wystąpił błąd. Niestety nie zrobiłem zrzutu ekranu, ale wyświetlał się komunikat o niezgodności danych użytkownika i kilku innych błędach. No cóż, jesteśmy na miejscu, pomyślałem. Zacząłem googlować, ale niestety nie znalazłem nic zrozumiałego.
Wieczorem postanowiliśmy usunąć CA Windows 2012R2 i zainstalować wszystko od nowa i wtedy popełniłem błąd, zamiast Enterprise CA wybrałem opcję Standalone CA (choć o swoim błędzie dowiedziałem się później). Wykonałem wszystkie operacje jeszcze raz... wszystko przebiegło bez błędów, ale kiedy wybiorę folder Szablony certyfikatów, wyskakuje komunikat: Element nie został znaleziony, chociaż jeśli wybiorę Zarządzaj, szablony są na swoim miejscu.
Myślałem, że nie ma wystarczających uprawnień dla tego CN=Certificate Templates, więc używając ADSI Edit dałem Read dla vm_ca$. Uruchomiłem ponownie CertSvc i... wynik: Nie znaleziono elementu.
Potem zrobiło mi się smutno, bo była druga w nocy... i CA nie działało. Wyłączam CA Windows 2R2012 i przywracam VM CA Windows 2R2008 z migawki. Zwracam serwer do AD (ponieważ przy próbie zalogowania się na konto domeny pojawia się błąd dotyczący relacji pomiędzy serwerem a AD).
No cóż, myślę... wszystko będzie teraz w porządku, ale niestety... to wciąż te same Szablony Certyfikatów - wyskakuje mi komunikat: Element nie został znaleziony. Zostawię wszystko do rana - bo poranek jest mądrzejszy niż wieczór.
Rano googlowałem i czytałem różne artykuły - zdecydowałem się na ponowną instalację urzędu certyfikacji na starym serwerze w nadziei rozwiązania problemu Nie znaleziono elementu i wystawienia certyfikatów przez WWW.
Proces jest dość prosty:
1) Usuń rolę urzędu certyfikacji
2) Przeciążenie
3) Poczekaj na zakończenie procesu usuwania
4) Dodaj rolę urzędu certyfikacji (określ urząd certyfikacji, rejestrację w sieci Web urzędu certyfikacji, usługę NDES, obiekt odpowiadający w trybie online)
5) Wskazujemy, że mam Enterprise CA i mam klucz prywatny
6) Czekamy na zakończenie instalacji i przywrócenie wszystkiego z kopii zapasowej, którą zrobiliśmy na samym początku.
7) Jak zwykle wszystko śmiga z przytupem - żadnych błędów i usługa wystartowała
Z bólem serca klikam w Szablony Certyfikatów – i… dostałem listę – to już małe zwycięstwo. Pozostaje sprawdzić działanie wystawienia certyfikatu przez WWW. Podążam za linkiem: i klikam opcję Zażądaj certyfikatu, a następnie zaawansowane żądanie certyfikatu... Podaję żądanie .csr i otrzymuję gotowy certyfikat. Wydech... Udało się przywrócić CA.
Wnioski:
1) Pamiętaj o utworzeniu kopii zapasowej i migawki
2) Udokumentuj swoje działania - pomoże to odzyskać wszystko lub szybciej znaleźć błąd
Ps. Muszę ponownie spróbować migracji urzędu certyfikacji z systemu Windows 2008R do systemu Windows 2012R2.
Źródło: www.habr.com