สวัสดีตอนบ่ายผู้อ่านที่รัก
ฉันจะบอกคุณเกี่ยวกับฝันร้ายที่ฉันได้ทำในการย้าย CA จาก Windows 2008R2 ไปเป็น Windows 2012 R2 มีบทความมากมายบนอินเทอร์เน็ตเกี่ยวกับเรื่องนี้ และไม่น่าจะมีปัญหาใดๆ
น่าเสียดายที่ฉันไม่ใช่ผู้ดูแลระบบ Windows จริงๆ แต่เป็นผู้ดูแลระบบ *nix มากกว่า แต่งานการย้าย CA ถูกกำหนดไว้แล้ว - จำเป็นต้องทำให้เสร็จ
ด้านล่างสุด ฉันจะบอกคุณว่าฉันผ่านกระบวนการนี้มาได้อย่างไรและจบลงด้วยความสุขที่ไม่มากนัก
ไปกันเลย...
พื้นหลัง:
Источник - Windows 2008 R2 พร้อมรูท CA
เป้า - วินโดวส์ 2012R2
ฉันติดตั้ง Windows 2012R2 และกำหนดค่าขั้นต่ำไว้แล้ว
ในขั้นต้นแผนปฏิบัติการมีดังนี้ (การดำเนินการแบบย่อ):
1) สร้างคีย์สำรอง CA+ส่วนตัว และคัดลอกไปยังการแชร์ร่วมกันสำหรับคอมพิวเตอร์ทั้งสองเครื่อง
2) ลบเป้าหมายออกจากโดเมนและเปลี่ยน IP
3) สร้างภาพรวมของเซิร์ฟเวอร์
4) เปลี่ยน IP ที่ต้นทาง
5) ไปที่เซิร์ฟเวอร์ Windows 2012R2 ใหม่ในฐานะผู้ดูแลระบบ - ป้อนลงในโดเมนด้วยชื่อเดียวกันและกำหนด IP เก่า
6) ตั้งค่าบทบาทบริการใบรับรอง Active Directory (CA, CA Web Enrollment, NDES, Online Responder)
7) เราระบุว่านี่คือ Enterprise CA
8) กู้คืนรหัส CA + ส่วนตัวจากข้อมูลสำรอง
9) สุขสันต์เอนด์
เห็นด้วยไม่มีอะไรซับซ้อน และฉันก็เริ่มนำไปปฏิบัติ ที่จริงแล้วไม่มีปัญหาใดๆ และทุกอย่างดำเนินไปเหมือนเครื่องจักร... บริการเริ่มต้นขึ้น เทมเพลตใบรับรองปรากฏขึ้น และใบรับรองก็ปรากฏขึ้นเอง โดยทั่วไปแล้วทุกอย่างก็โอเค ฉันก็เลยไปนอน ในตอนเช้าไม่มีการร้องเรียนเกี่ยวกับงานของ CA ดังนั้นฉันจึงสันนิษฐานว่าทุกอย่างทำงานได้และไปทำงานอื่นต่อไป ในกระบวนการแก้ไข ฉันจำเป็นต้องมีใบรับรอง ฉันสร้าง .csr แล้วไปตามลิงก์ เพื่อลงนามและรับใบรับรองและในขั้นตอนนี้เกิดข้อผิดพลาด ขออภัย ฉันไม่ได้จับภาพหน้าจอ แต่แจ้งว่าข้อมูลผู้ใช้ไม่ตรงกันและข้อผิดพลาดอื่นๆ ฉันคิดว่าเราอยู่ที่นี่แล้ว ฉันเริ่มค้นหาใน Google แต่น่าเสียดายที่ฉันไม่พบสิ่งใดที่เข้าใจได้
ในช่วงเย็น เราตัดสินใจลบ CA Windows 2012R2 ออก และติดตั้งทุกอย่างใหม่ จากนั้นฉันก็ทำผิดพลาด แทนที่จะเลือก Enterprise CA ฉันเลือกตัวเลือก CA แบบสแตนด์อโลน (แม้ว่าฉันจะได้เรียนรู้เกี่ยวกับข้อผิดพลาดของฉันในภายหลังก็ตาม) ฉันดำเนินการทั้งหมดอีกครั้ง... ทุกอย่างดำเนินไปโดยไม่มีข้อผิดพลาด แต่เมื่อฉันเลือกโฟลเดอร์เทมเพลตใบรับรอง ฉันพบว่าไม่พบองค์ประกอบ แม้ว่าฉันเลือกจัดการ เทมเพลตก็จะยังคงอยู่
ฉันคิดว่าสิทธิ์ไม่เพียงพอสำหรับเทมเพลต CN=Certificate นี้ ดังนั้นการใช้ ADSI Edit ฉันจึงให้ Read สำหรับ vm_ca$ ฉันรีสตาร์ท CertSvc และ... ผลลัพธ์: ไม่พบองค์ประกอบ
จากนั้นฉันก็รู้สึกเศร้าเพราะเป็นเวลาตี 2... และแคลิฟอร์เนียไม่ทำงาน ฉันปิด CA Windows 2012R2 และกู้คืน VM CA Windows 2008R2 จากสแน็ปช็อต ฉันกำลังส่งคืนเซิร์ฟเวอร์ไปที่ AD (เพราะเมื่อฉันพยายามเข้าสู่ระบบด้วยบัญชีโดเมน เกิดข้อผิดพลาดเกี่ยวกับความสัมพันธ์ระหว่างเซิร์ฟเวอร์และ AD)
ฉันคิดว่า... ตอนนี้ทุกอย่างจะเรียบร้อยดี แต่น่าเสียดาย... มันยังคงเป็นเทมเพลตใบรับรองเดียวกัน - ฉันพบว่าไม่พบองค์ประกอบ ฉันจะทิ้งทุกสิ่งไว้จนถึงเช้า - เพราะเช้าฉลาดกว่าเย็น
ในตอนเช้าฉันค้นหาใน Google และอ่านบทความต่างๆ - ฉันตัดสินใจติดตั้ง CA ใหม่บนเซิร์ฟเวอร์เก่าโดยหวังว่าจะแก้ไขปัญหา Element Not Found และออกใบรับรองผ่านทางเว็บ
กระบวนการนี้ค่อนข้างง่าย:
1) ลบบทบาท CA
2) โอเวอร์โหลด
3) รอให้กระบวนการลบเสร็จสิ้น
4) เพิ่มบทบาท CA (ระบุ CA, CA Web Enrollment, NDES, Online Responder)
5) เราระบุว่าฉันมี Enterprise CA และฉันมีรหัสส่วนตัว
6) เรารอให้การติดตั้งเสร็จสิ้นและกู้คืนทุกอย่างจากข้อมูลสำรองที่เราทำตั้งแต่เริ่มต้น
7) ตามปกติทุกอย่างดำเนินไปด้วยดี - ไม่มีข้อผิดพลาดและการบริการก็เริ่มต้นขึ้น
ด้วยใจที่จมดิ่ง ฉันคลิกที่เทมเพลตใบรับรอง - และ... ฉันได้รับรายชื่อ - นี่เป็นชัยชนะเล็กๆ น้อยๆ อยู่แล้ว ยังคงตรวจสอบการดำเนินการออกใบรับรองผ่านทางเว็บ ฉันไปตามลิงค์: แล้วคลิก Request a Certificate จากนั้นคลิก Advanced Certificate Request... ฉันระบุคำขอ .csr และรับใบรับรองสำเร็จรูป ฉันหายใจออก... สามารถกู้คืน CA ได้
สรุป:
1) อย่าลืมสำรองข้อมูลและสแน็ปช็อต
2) บันทึกการกระทำของคุณ - สิ่งนี้จะช่วยให้คุณได้รับทุกสิ่งกลับคืนหรือค้นหาข้อผิดพลาดได้เร็วขึ้น
ปล ฉันต้องลองย้าย CA จาก Windows 2008R ไปเป็น Windows 2012R2 อีกครั้ง
ที่มา: will.com