God eftermiddag kära läsare,
Jag ska berätta om mardrömmen jag gick igenom när jag migrerade CA från Windows 2008R2 till Windows 2012 R2. Det finns många artiklar på internet om detta och det borde inte ha varit några problem.
Till min beklagande är jag inte riktigt en Windows-administratör, jag är mer en *nix-administratör, men uppgiften med CA-migrering var inställd - den måste göras.
Nedanför snittet ska jag berätta hur jag gick igenom den här processen och slutade med ett inte riktigt HappyEnd.
Och så gick vi...
Initial data:
Källa - Windows 2008 R2 med Root CA
Mål - Windows 2012R2
Jag hade redan Windows 2012R2 installerat och minimalt konfigurerat.
Till en början var handlingsplanen följande (förkortade åtgärder):
1) Gör en säkerhetskopia av CA+privat nyckel och kopiera den till en gemensam resurs för båda datorerna
2) Ta bort mål från domänen och ändra IP
3) Gör en ögonblicksbild av servern
4) Ändra IP vid källan
5) Vi går till den nya Windows 2012R2-servern som administratör - skriv in den i domänen med samma namn och tilldela den gamla IP-adressen
6) Ställ in Active Directory Certificate Service-rollen (CA, CA Web Enrollment, NDES, Online Responder)
7) Vi anger att detta är Enterprise CA
8) Återställ CA+Privat Key från backup
9) Happy End
Håller med, det är inget komplicerat. Och jag började implementera det. Det var faktiskt inga problem och allt gick som på räls... Tjänsten startade, certifikatmallar dök upp och själva certifikaten dök upp. I allmänhet är allt OK. Så jag gick och la mig. På morgonen kom det inga klagomål på CA:s arbete och därför antog jag att allt fungerade och gick vidare till andra uppgifter. I processen att lösa dem behövde jag ett certifikat. Jag skapade en .csr och följde länken att signera och ta emot ett certifikat och i detta skede uppstod ett fel. Tyvärr tog jag ingen skärmdump, men det stod att användarinformationen inte överensstämde och några andra fel. Nåväl, här är vi tänkte jag. Jag började googla, men hittade tyvärr inget begripligt.
På kvällen bestämde vi oss för att ta bort CA Windows 2012R2 och installera allt nytt, och då gjorde jag ett misstag; istället för Enterprise CA valde jag alternativet Fristående CA (även om jag fick reda på mitt misstag senare). Jag gjorde alla operationer igen... allt gick utan fel - men när jag väljer mappen Certificate Templates får jag Element not found, fast om jag väljer Manage så är mallarna på plats.
Jag trodde att det inte fanns tillräckligt med rättigheter för denna CN=Certificate Templates, så med ADSI Edit gav jag Read for vm_ca$. Jag startade om CertSvc och... resultat: Element hittades inte.
Sedan kände jag mig ledsen för klockan var två på natten... och CA fungerade inte. Jag stänger av CA Windows 2R2012 och återställer VM CA Windows 2R2008 från ögonblicksbild. Jag returnerar servern till AD (eftersom när jag försöker logga in med ett domänkonto uppstår ett fel angående relationen mellan servern och AD).
Tja, jag tror... allt kommer att ordna sig nu, men tyvärr... det är fortfarande samma certifikatmallar - jag får Element inte hittat. Jag lämnar allt till morgonen - för morgonen är klokare än kvällen.
På morgonen googlade jag och läste olika artiklar - jag bestämde mig för att installera om CA på den gamla servern i hopp om att lösa problemet med Element Not Found och utfärda certifikat via webben.
Processen är ganska enkel:
1) Ta bort CA-rollen
2) Överbelastning
3) Vänta tills borttagningsprocessen är klar
4) Lägg till CA-rollen (ange CA, CA Web Enrollment, NDES, Online Responder)
5) Vi anger att jag har en Enterprise CA och att jag har en privat nyckel
6) Vi väntar på att installationen ska slutföras och återställer allt från säkerhetskopian som vi gjorde i början.
7) Som vanligt går allt med en smäll - inga fel och tjänsten startade
Med ett sjunkande hjärta klickar jag på Certifikatmallar - och... Jag fick en lista - det här är redan en liten seger. Det återstår att kontrollera driften av att utfärda ett certifikat via webben. Jag följer länken: och klicka på Begär ett certifikat och sedan avancerad certifikatbegäran... Jag anger .csr-begäran och får ett färdigt certifikat. Jag andas ut... Det gick att återställa CA.
Slutsatser:
1) Se till att göra en säkerhetskopia och ögonblicksbild
2) Dokumentera dina handlingar - detta hjälper dig att få tillbaka allt eller hitta felet snabbare
Ps Jag måste prova CA-migrering från Windows 2008R till Windows 2012R2 igen.
Källa: will.com