Dober dan dragi bralec,
Povedal vam bom o nočni mori, ki sem jo preživel pri selitvi CA z Windows 2008R2 na Windows 2012 R2. Na internetu je veliko člankov o tem in ne bi smelo biti nobenih težav.
Na mojo žalost v resnici nisem skrbnik sistema Windows, sem bolj skrbnik *nix, vendar je bila naloga migracije CA postavljena - to je treba narediti.
Spodaj vam bom povedal, kako sem šel skozi ta proces in končal z ne ravno HappyEndom.
In tako gremo ...
Vir podatkov:
Vir - Windows 2008 R2 s korenskim CA
Tarča - Windows 2012R2
Windows 2012R2 sem že imel nameščen in minimalno konfiguriran.
Na začetku je bil akcijski načrt naslednji (skrajšani ukrepi):
1) Naredite varnostno kopijo CA+Private Key in jo kopirajte v skupno rabo za oba računalnika
2) Odstranite cilj iz domene in spremenite IP
3) Naredite posnetek strežnika
4) Spremenite IP na izvoru
5) Gremo na nov strežnik Windows 2012R2 kot skrbnik - vnesemo ga v domeno z istim imenom in dodelimo stari IP
6) Nastavite vlogo storitve potrdil Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) Označimo, da je to Enterprise CA
8) Obnovite CA+zasebni ključ iz varnostne kopije
9) Happy End
Strinjam se, nič ni zapleteno. In sem ga začel izvajati. Pravzaprav ni bilo nobenih težav in vse je šlo kot po maslu ... Storitev je stekla, pojavile so se Certificate Templates in potrdila sama. Na splošno je vse OK. Pa sem šla spat. Zjutraj ni bilo nobenih pritožb nad delom CA, zato sem domneval, da vse deluje in nadaljeval z drugimi nalogami. V procesu reševanja sem potreboval certifikat. Ustvaril sem .csr in sledil povezavi podpisati in prejeti potrdilo in na tej stopnji je prišlo do napake. Na žalost nisem posnel posnetka zaslona, vendar je pisalo neujemanje podatkov o uporabniku in nekaj drugih napak. No, tukaj smo, sem pomislil. Začel sem googlati, a žal nisem našel nič razumljivega.
Zvečer smo se odločili odstraniti CA Windows 2012R2 in namestiti vse na novo, potem pa sem naredil napako, namesto Enterprise CA sem izbral možnost Standalone CA (čeprav sem za svojo napako izvedel kasneje). Ponovno sem opravil vse operacije... vse je potekalo brez napak - ko pa izberem mapo Certificate Templates, dobim Element not found, čeprav če izberem Manage, potem so predloge na mestu.
Mislil sem, da ni dovolj pravic za to CN=Certificate Templates, zato sem z uporabo ADSI Edit dal Read za vm_ca$. Ponovno sem zagnal CertSvc in ... rezultat: Element ni bil najden.
Potem sem bil žalosten, ker je bila ura 2 zjutraj... in CA ni delala. Izklopim CA Windows 2012R2 in obnovim VM CA Windows 2008R2 iz posnetka. Vračam strežnik v AD (ker se ob poskusu prijave z domenskim računom pojavi napaka glede odnosa med strežnikom in AD).
No, mislim ... zdaj bo vse v redu, ampak žal ... še vedno so iste predloge potrdil - dobim Element ni najden. Vse bom pustil do jutra - kajti jutro je modrejše od večera.
Zjutraj sem googlal in bral razne članke - odločil sem se, da ponovno namestim CA na stari strežnik v upanju, da bom rešil problem Element Not Found in izdajanje certifikatov preko spleta.
Postopek je precej preprost:
1) Izbrišite vlogo CA
2) Preobremenitev
3) Počakajte, da se postopek odstranitve zaključi
4) Dodajte vlogo CA (določite CA, CA Web Enrollment, NDES, Online Responder)
5) Navedemo, da imam podjetje CA in imam zasebni ključ
6) Počakamo, da se namestitev zaključi in obnovimo vse iz varnostne kopije, ki smo jo naredili na samem začetku.
7) Kot ponavadi gre vse brez težav - brez napak in storitev se je začela
Z upadajočim srcem kliknem na Predloge potrdil - in ... Dobil sem seznam - to je že majhna zmaga. Ostaja še preverjanje delovanja izdaje potrdila prek spleta. Sledim povezavi: in klikneš na Request a Certificate in nato advanced certificate request... Specificiram .csr zahtevo in prejmem že pripravljen certifikat. Izdihnem ... CA je bilo mogoče obnoviti.
Sklepi:
1) Ne pozabite narediti varnostne kopije in posnetka
2) Dokumentirajte svoja dejanja – tako boste hitreje dobili vse nazaj ali našli napako
P. Spet moram poskusiti s selitvijo CA z Windows 2008R na Windows 2012R2.
Vir: www.habr.com