Добар дан драги читаоче,
Испричаћу вам о ноћној мори кроз коју сам прошао миграцијом ЦА са Виндовс 2008Р2 на Виндовс 2012 Р2. Постоји много чланака на интернету о томе и није требало бити никаквих проблема.
На моју жалост, нисам баш Виндовс администратор, више сам *ник администратор, али задатак миграције ЦА је постављен - то треба да се уради.
Испод реза ћу вам рећи како сам прошао кроз овај процес и завршио са не баш срећним крајем.
И тако смо отишли...
Почетни подаци:
Извор - Виндовс 2008 Р2 са Роот ЦА
Таргет - Виндовс 2012Р2
Већ сам имао инсталиран и минимално конфигурисан Виндовс 2012Р2.
У почетку, акциони план је био следећи (скраћене акције):
1) Направите резервни ЦА+приватни кључ и копирајте га у заједнички део за оба рачунара
2) Уклоните циљ са домена и промените ИП
3) Направите снимак сервера
4) Промените ИП на извору
5) Идемо на нови Виндовс 2012Р2 сервер као администратор - унесите га у домен са истим именом и доделите стари ИП
6) Подесите улогу сервиса сертификата Ацтиве Дирецтори (ЦА, ЦА Веб Енроллмент, НДЕС, Онлине Респондер)
7) Назначавамо да је ово Ентерприсе ЦА
8) Вратите ЦА+приватни кључ из резервне копије
9) Срећан крај
Слажем се, нема ништа компликовано. И почео сам да га спроводим. У ствари, није било никаквих проблема и све је ишло као сат... Сервис је почео, појавили су се шаблони сертификата и појавили се сами сертификати. Генерално, све је у реду. па сам отишао у кревет. Ујутро није било притужби на рад ЦА и зато сам претпоставио да све ради и прешао на друге послове. У процесу њиховог решавања био ми је потребан сертификат. Направио сам .цср и пратио везу да потпише и добије сертификат и у овој фази је дошло до грешке. Нажалост, нисам направио снимак екрана, али је писало да се подаци о кориснику не подударају и неке друге грешке. Па, ево нас, помислио сам. Почео сам да гуглам, али нажалост нисам нашао ништа разумљиво.
Већ увече смо одлучили да уклонимо ЦА Виндовс 2012Р2 и инсталирамо све ново, а онда сам направио грешку уместо Ентерприсе ЦА, изабрао сам опцију Стандалоне ЦА (иако сам касније сазнао за своју грешку). Поново сам урадио све операције... све је прошло без грешака - али када изаберем фасциклу Шаблони сертификата, добијам Елемент није пронађен, мада ако одаберем Управљај, онда су шаблони на месту.
Мислио сам да нема довољно права за овај ЦН=Цертифицате Темплатес, па сам користећи АДСИ Едит дао Реад за вм_ца$. Поново сам покренуо ЦертСвц и... резултат: Елемент није пронађен.
Тада сам се осећао тужно јер је било 2 ујутро... а ЦА није радила. Искључујем ЦА Виндовс 2012Р2 и враћам ВМ ЦА Виндовс 2008Р2 са снимка. Враћам сервер у АД (јер када покушам да се пријавим са доменским налогом, јавља се грешка у вези са односом између сервера и АД).
Па, мислим... сада ће све бити у реду, али авај... то су и даље исти шаблони сертификата - добијам да Елемент није пронађен. Оставићу све до јутра - јер је јутро мудрије од вечери.
Ујутро сам гуглао и читао разне чланке - одлучио сам да поново инсталирам ЦА на стари сервер у нади да ћу решити проблем Елемент Нот Фоунд и издати сертификате преко Веба.
Процес је прилично једноставан:
1) Избришите улогу ЦА
2) Преоптерећење
3) Сачекајте да се процес уклањања заврши
4) Додајте ЦА улогу (наведите ЦА, ЦА Веб Енроллмент, НДЕС, Онлине Респондер)
5) Назначавамо да имам Ентерприсе ЦА и да имам приватни кључ
6) Чекамо да се инсталација заврши и вратимо све из резервне копије коју смо направили на самом почетку.
7) Као и обично, све иде уз прасак - нема грешака и сервис је почео
Потонулог срца кликнем на Шаблоне сертификата - и... добио сам списак - ово је већ мала победа. Остаје да се провери рад издавања сертификата путем Веба. пратим везу: и кликнемо на Захтевај сертификат па напредни захтев за сертификат... Одређујем .цср захтев и добијам готов сертификат. Издахнем... Било је могуће вратити ЦА.
Закључци:
1) Обавезно направите резервну копију и снимак
2) Документујте своје радње - ово ће вам помоћи да све вратите или брже пронађете грешку
Пс. Морам поново да пробам ЦА миграцију са Виндовс 2008Р на Виндовс 2012Р2.
Извор: ввв.хабр.цом