Dobré popoludnie milý čitateľ,
Poviem vám o nočnej more, ktorou som prešiel migráciou CA z Windows 2008R2 na Windows 2012 R2. Na internete je o tom veľa článkov a nemali by byť žiadne problémy.
Na moje poľutovanie nie som v skutočnosti správcom systému Windows, som skôr správcom * nix, ale úloha migrácie CA bola stanovená - treba to urobiť.
Pod strihom vám poviem, ako som prešiel týmto procesom a skončil som s nie celkom šťastným koncom.
A tak poďme...
Počiatočné údaje:
Zdroj - Windows 2008 R2 s koreňovou CA
Cieľ - Windows 2012R2
Mal som už nainštalovaný a minimálne nakonfigurovaný Windows 2012R2.
Pôvodne bol akčný plán nasledovný (skrátené akcie):
1) Vytvorte záložnú CA+súkromný kľúč a skopírujte ho do spoločného zdieľania pre oba počítače
2) Odstráňte cieľ z domény a zmeňte IP
3) Vytvorte snímku servera
4) Zmeňte IP pri zdroji
5) Ideme na nový server Windows 2012R2 ako správca - zadajte ho do domény s rovnakým názvom a priraďte starú IP
6) Nastavte rolu Active Directory Certificate Service (CA, CA Web Enrollment, NDES, Online respondér)
7) Označujeme, že ide o Enterprise CA
8) Obnovte CA+Private Key zo zálohy
9) Šťastný koniec
Súhlasíte, nie je nič zložité. A začal som to realizovať. V podstate neboli žiadne problémy a všetko išlo ako po masle... Služba sa spustila, objavili sa Šablóny certifikátov a objavili sa samotné certifikáty. Vo všeobecnosti je všetko v poriadku. Išiel som teda do postele. Ráno neboli žiadne sťažnosti na prácu CA a preto som predpokladal, že všetko funguje a pristúpil som k ďalším úlohám. V procese ich riešenia som potreboval certifikát. Vytvoril som .csr a nasledoval odkaz podpísať a prijať certifikát av tomto štádiu došlo k chybe. Bohužiaľ som neurobil snímku obrazovky, ale bolo tam uvedené, že sa nezhodujú informácie o používateľovi a niektoré ďalšie chyby. Tak a sme tu, pomyslel som si. Začal som googliť, ale bohužiaľ som nenašiel nič zrozumiteľné.
Večer sme sa rozhodli odstrániť CA Windows 2012R2 a nainštalovať všetko nové a potom som urobil chybu, namiesto Enterprise CA som zvolil možnosť Samostatná CA (aj keď som sa o svojej chybe dozvedel až neskôr). Všetky operácie som urobil znova... všetko prebehlo bez chýb - ale keď vyberiem priečinok Šablóny certifikátov, zobrazí sa mi Element nenájdený, hoci ak vyberiem Spravovať, šablóny sú na svojom mieste.
Myslel som si, že pre tento CN=Certificate Templates nie je dostatok práv, tak som pomocou ADSI Edit dal Read for vm_ca$. Reštartoval som CertSvc a... výsledok: Element not found.
Potom som sa cítil smutný, pretože boli 2 hodiny ráno... a CA nefungovala. Vypnem CA Windows 2012R2 a obnovím VM CA Windows 2008R2 zo snímky. Vraciam server do AD (pretože keď sa pokúšam prihlásiť pomocou doménového účtu, vyskytne sa chyba týkajúca sa vzťahu medzi serverom a AD).
Myslím, že... už bude všetko v poriadku, ale bohužiaľ... stále sú to tie isté šablóny certifikátov - prvok sa mi nenašiel. Nechám všetko do rána - lebo ráno je múdrejšie ako večer.
Ráno som googlil a čítal rôzne články – rozhodol som sa preinštalovať CA na starý server v nádeji, že vyriešim problém Element Not Found a vystavím certifikáty cez web.
Postup je celkom jednoduchý:
1) Odstráňte rolu CA
2) Preťaženie
3) Počkajte na dokončenie procesu odstránenia
4) Pridajte rolu CA (uveďte CA, CA Web Enrollment, NDES, Online respondér)
5) Označujeme, že mám Enterprise CA a mám súkromný kľúč
6) Čakáme na dokončenie inštalácie a obnovíme všetko zo zálohy, ktorú sme urobili na úplnom začiatku.
7) Ako obvykle, všetko prebehlo s ranou – žiadne chyby a služba spustená
S klesajúcim srdcom kliknem na Šablóny certifikátov – a... dostal som zoznam – toto je už malé víťazstvo. Zostáva skontrolovať fungovanie vydávania certifikátu cez web. Sledujem odkaz: a kliknite na Vyžiadať certifikát a následne rozšírená žiadosť o certifikát... špecifikujem požiadavku .csr a dostanem hotový certifikát. Vydýchnem... CA bolo možné obnoviť.
Závery:
1) Nezabudnite si urobiť zálohu a snímku
2) Zdokumentujte svoje akcie – pomôže vám to získať všetko späť alebo rýchlejšie nájsť chybu
Ps Musím znova vyskúšať migráciu CA z Windows 2008R na Windows 2012R2.
Zdroj: hab.com