Bună ziua, dragă cititor,
Vă voi spune despre coșmarul prin care am trecut prin migrarea CA de la Windows 2008R2 la Windows 2012 R2. Există o mulțime de articole pe internet despre asta și nu ar fi trebuit să existe probleme.
Spre regretul meu, nu sunt cu adevărat un administrator Windows, sunt mai mult un administrator *nix, dar sarcina de migrare a CA a fost stabilită - trebuie făcută.
Mai jos, vă voi spune cum am trecut prin acest proces și am ajuns la un HappyEnd nu tocmai fericit.
Și deci hai să mergem...
Date inițiale:
Sursă - Windows 2008 R2 cu Root CA
Ţintă - Windows 2012R2
Aveam deja Windows 2012R2 instalat și configurat minim.
Inițial, planul de acțiune a fost următorul (acțiuni prescurtate):
1) Faceți o copie de rezervă CA+Cheie privată și copiați-o într-o partajare comună pentru ambele computere
2) Eliminați ținta din domeniu și schimbați IP-ul
3) Faceți un instantaneu al serverului
4) Schimbați IP-ul la sursă
5) Accesați noul server Windows 2012R2 ca administrator - introduceți-l într-un domeniu cu același nume și atribuiți vechiul IP
6) Setați rolul Serviciului de certificat Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Indicăm că acesta este Enterprise CA
8) Restaurați CA+Cheie privată din backup
9) Happy End
De acord, nu este nimic complicat. Și am început să-l implementez. De fapt, nu au fost probleme și totul a mers ca un ceas... A început serviciul, au apărut șabloane de certificate și au apărut certificatele în sine. În general, totul este OK. Așa că m-am dus la culcare. Dimineața nu au existat plângeri cu privire la activitatea CA și, prin urmare, am presupus că totul funcționează și am trecut la alte sarcini. În procesul de rezolvare a acestora, aveam nevoie de un certificat. Am creat un .csr și am urmat linkul pentru a semna și a primi un certificat și în această etapă a apărut o eroare. Din păcate, nu am făcut o captură de ecran, dar spunea că informațiile despre utilizator nu se potrivesc și alte erori. Ei bine, iată-ne, m-am gândit. Am început să caut pe google, dar, din păcate, nu am găsit nimic inteligibil.
Seara am decis să eliminăm CA Windows 2012R2 și să instalăm totul nou, iar apoi am făcut o greșeală în loc de Enterprise CA, am selectat opțiunea Standalone CA (deși am aflat despre greșeala mea mai târziu). Am făcut din nou toate operațiunile... totul a mers fără erori - dar când selectez folderul Certificate Templates, primesc Element not found, deși dacă selectez Manage, atunci șabloanele sunt la locul lor.
Am crezut că nu sunt suficiente drepturi pentru acest CN=Șabloane de certificat, așa că folosind ADSI Edit am dat Read pentru vm_ca$. Am repornit CertSvc și... rezultat: Element nu a fost găsit.
Apoi m-am simțit trist pentru că era 2 dimineața... și CA nu funcționa. Opresc CA Windows 2012R2 și refac VM CA Windows 2008R2 din instantaneu. Retur serverul la AD (pentru ca atunci cand incerc sa ma logez cu un cont de domeniu apare o eroare in ceea ce priveste relatia dintre server si AD).
Ei bine, cred că... totul va fi în regulă acum, dar din păcate... sunt în continuare aceleași șabloane de certificat - primesc Element negăsit. Voi lăsa totul până dimineață - căci dimineața este mai înțeleaptă decât seara.
Dimineața am căutat pe google și am citit diverse articole - am decis să reinstalez CA pe vechiul server în speranța de a rezolva problema Element Not Found și de a emite certificate prin Web.
Procesul este destul de simplu:
1) Ștergeți rolul CA
2) Supraîncărcare
3) Așteptați finalizarea procesului de eliminare
4) Adăugați rolul CA (specificați CA, CA Web Enrollment, NDES, Online Responder)
5) Indicăm că am un CA Enterprise și am o cheie privată
6) Așteptăm finalizarea instalării și restaurăm totul din backup-ul pe care l-am făcut la început.
7) Ca de obicei, totul merge cu un bang - fără erori și serviciul a început
Cu inima năucită, dau clic pe Șabloane de certificat - și... mi s-a dat o listă - aceasta este deja o mică victorie. Rămâne de verificat funcționarea emiterii unui certificat prin Web. Urmaresc linkul: și faceți clic pe Solicitare un certificat și apoi cerere avansată de certificat... Specific cererea .csr și primesc un certificat gata făcut. Expirez... A fost posibil să restabilim CA.
Concluzii:
1) Asigurați-vă că faceți o copie de rezervă și un instantaneu
2) Documentați-vă acțiunile - acest lucru vă va ajuta să recuperați totul sau să găsiți eroarea mai rapid
Ps. Trebuie să încerc din nou migrarea CA de la Windows 2008R la Windows 2012R2.
Sursa: www.habr.com