İyi günler sevgili okuyucu,
CA'yı Windows 2008R2'den Windows 2012 R2'ye geçirirken yaşadığım kabusu size anlatacağım. İnternette bununla ilgili birçok makale var ve herhangi bir sorun olmaması gerekirdi.
Maalesef aslında bir Windows Yöneticisi değilim, daha çok bir *nix yöneticisiyim, ancak CA taşıma görevi belirlendi; bunun yapılması gerekiyor.
Kesimin altında size bu süreci nasıl geçirdiğimi ve pek de Mutlu Olmayan Bir Son ile sonuçlandığımı anlatacağım.
Hadi gidelim ...
Başlangıç verileri:
Kaynak - Kök CA'lı Windows 2008 R2
Hedef - Windows 2012R2
Zaten Windows 2012R2'yi yükledim ve minimum düzeyde yapılandırdım.
Başlangıçta eylem planı şu şekildeydi (kısaltılmış eylemler):
1) Yedek CA+Özel Anahtar oluşturun ve bunu her iki bilgisayar için ortak bir paylaşıma kopyalayın
2) Hedefi alan adından kaldırın ve IP'yi değiştirin
3) Sunucunun anlık görüntüsünü alın
4) Kaynaktaki IP'yi değiştirin
5) Yönetici olarak yeni Windows 2012R2 sunucusuna gidiyoruz - aynı adla etki alanına giriyoruz ve eski IP'yi atadık
6) Active Directory Sertifika Hizmeti rolünü ayarlayın (CA, CA Web Kaydı, NDES, Çevrimiçi Yanıtlayıcı)
7) Bunun Kurumsal CA olduğunu belirtiyoruz
8) CA+Private Key'i yedekten geri yükleyin
9) Mutlu Son
Katılıyorum, karmaşık bir şey yok. Ve uygulamaya başladım. Aslında hiçbir sorun olmadı ve her şey saat gibi ilerledi... Hizmet başladı, Sertifika Şablonları belirdi ve sertifikaların kendisi ortaya çıktı. Genel olarak her şey yolunda. Ben de yatmaya gittim. Sabah CA'nın çalışmasıyla ilgili herhangi bir şikayet yoktu ve bu nedenle her şeyin çalıştığını varsayarak diğer görevlere geçtim. Bunları çözme sürecinde bir sertifikaya ihtiyacım vardı. Bir .csr oluşturdum ve bağlantıyı takip ettim sertifikayı imzalayıp almak için ve bu aşamada bir hata oluştu. Maalesef ekran görüntüsü almadım ancak kullanıcı bilgilerinin uyumsuzluğu ve diğer bazı hatalar yazıyordu. İşte geldik, diye düşündüm. Google'da aramaya başladım ama ne yazık ki anlaşılır bir şey bulamadım.
Akşam CA Windows 2012R2'yi kaldırıp yeni olan her şeyi yüklemeye karar verdik ve sonra bir hata yaptım; Enterprise CA yerine Bağımsız CA seçeneğini seçtim (gerçi hatamı daha sonra öğrendim). Tüm işlemleri tekrar yaptım... her şey hatasız gitti - ancak Sertifika Şablonları klasörünü seçtiğimde Öğe bulunamadı mesajı alıyorum, ancak Yönet'i seçersem şablonlar yerinde oluyor.
Bu CN=Sertifika Şablonları için yeterli hakların olmadığını düşündüm, bu yüzden ADSI Düzenlemeyi kullanarak vm_ca$ için Okuma verdim. CertSvc'i yeniden başlattım ve... sonuç: Öğe bulunamadı.
Sonra üzüldüm çünkü saat sabahın ikisiydi... ve CA çalışmıyordu. CA Windows 2R2012'yi kapatıyorum ve VM CA Windows 2R2008'yi anlık görüntüden geri yüklüyorum. Sunucuyu AD'ye iade ediyorum (çünkü bir etki alanı hesabıyla oturum açmaya çalıştığımda sunucu ile AD arasındaki ilişkiyle ilgili bir hata oluşuyor).
Sanırım... artık her şey düzelecek, ama ne yazık ki... hâlâ aynı Sertifika Şablonları - Öğe bulunamadı hatası alıyorum. Her şeyi sabaha bırakacağım; çünkü sabah, akşamdan daha akıllıdır.
Sabah Google'da araştırdım ve çeşitli makaleler okudum - Öğe Bulunamadı sorununu çözme ve Web üzerinden sertifika verme umuduyla CA'yı eski sunucuya yeniden yüklemeye karar verdim.
İşlem oldukça basit:
1) CA rolünü silin
2) Aşırı yükleme
3) Kaldırma işleminin tamamlanmasını bekleyin
4) CA rolünü ekleyin (CA, CA Web Kaydı, NDES, Çevrimiçi Yanıtlayıcıyı belirtin)
5) Kurumsal CA'ya ve özel anahtarıma sahip olduğumu belirtiyoruz
6) Kurulumun tamamlanmasını ve en başta yaptığımız yedeklemeden her şeyi geri yüklemesini bekliyoruz.
7) Her zamanki gibi her şey hızla gidiyor - hata yok ve hizmet başladı
İçim acıyarak Sertifika Şablonları'na tıklıyorum - ve... Bana bir liste verildi - bu zaten küçük bir zafer. Web üzerinden sertifika verme işlemini kontrol etmeye devam ediyor. Bağlantıyı takip ediyorum: ve Sertifika İste'ye tıklıyorum ve ardından gelişmiş sertifika isteği... .csr isteğini belirtiyorum ve hazır bir sertifika alıyorum. Nefes veriyorum... CA'yı geri yüklemek mümkündü.
Sonuç:
1) Yedekleme ve anlık görüntü aldığınızdan emin olun.
2) Eylemlerinizi belgeleyin - bu, her şeyi geri almanıza veya hatayı daha hızlı bulmanıza yardımcı olacaktır
Not: CA geçişini Windows 2008R'den Windows 2012R2'ye tekrar denemem gerekiyor.
Kaynak: habr.com