Добрий день, шановний читачу,
Я розповім Вам про свій кошмар, який я пережив мігруючи CA з Windows 2008R2 на Windows 2012 R2. В інеті дуже багато статей із цього приводу і жодних проблем не мало бути.
На жаль - я не особливо Windows Admin, я більше *nix адмін, але була поставлена задача міграції CA - її потрібно зробити.
Під катом я розповім, як я пройшов цей процес і отримав не зовсім HappyEnd зрештою.
І так поїхали.
Вихідні дані:
Джерело - Windows 2008 R2 з Root CA
Таргет - Windows 2012R2
Сервер Windows 2012R2 у мене вже був встановлений і мінімально налаштований.
Спочатку план дій був такий (укорочені дії):
1) Робимо Backup CA+Private Key і копіюємо його на загальну кулю для обох комп'ютерів
2) Виводимо target з домену та міняємо IP
3) Робимо snapshot сервера
4) Змінюємо IP на джерелі
5) Заходимо на новий сервер Windows 2012R2 під адміном - вводимо його в домен з таким же ім'ям і призначаємо старий IP
6) Ставимо роль Active Directory Certificate Service (CA, CA Web Enrollment, NDES, Online Responder)
7) Вказуємо, що це Enterprise CA
8) Відновлюємо CA+Private Key з бекапу
9) Happy End
Погодьтеся, ну нічого складного немає. І я розпочав реалізацію. Насправді ніяких проблем не було і все пройшло, як по маслу… Сервіс стартанув, Certificate Templates з'явилися і сертифікати з'явилися. Взагалі все ОК. Тож я пішов спати. Вранці жодних скарг на роботу CA не надходило і тому я вважав, що все працює, і приступив до інших завдань. У процесі їхнього вирішення мені знадобився сертифікат. Я створив .csr і пішов за посиланням , щоб підписати та отримати сертифікат і ось на цьому етапі сталася помилка. На жаль, скріншот я не зробив, але там говорилося про mismatch user information і ще якісь помилки. Ну ось і перепливли - подумалося мені. Почав гуглити, але на жаль нічого виразного не знайшов.
Вже ввечері вирішили видалити CA Windows 2012R2 і поставити все по новій і тут припустився помилки, замість Enterprise CA я вибраний варіант Standalone CA (про свою помилку правда я вже дізнався пізніше). Виконав усі операції знову… все пройшло без помилок – але при виборі папки Certificate Templates – я отримую Element not found, хоча якщо вибрати Manage – то templates на місці.
Я подумав, що не вистачає прав для цієї CN=Certificate Templates, тому за допомогою ADSI Edit дав Read для vm_ca$. Перезапустив CertSvc і результат: Element not found.
Тут мені занудилося бо на годині 2 ночі… та CA не працює. Вимикаю CA Windows 2012R2 та відновлюю VM CA Windows 2008R2 із snapshot. Повертаю сервер в AD (бо при спробі входу під доменному обліку виходить помилка взаємин між сервером і AD).
Ну думаю… все тепер буде ОК, але на жаль… так само Certificate Templates — я отримую Element not found. Залишу все до ранку, бо ранок вечора мудріший.
Вранці погуглил, почитавши різні статті — наважуюсь на переустановку CA вже на старому сервері, сподіваючись вирішити проблему Element Not Found і видачу сертифікатів через Web.
Процес досить простий:
1) Вдаєм роль CA
2) Перевантажуємося
3) Чекаємо на завершення процесу видалення
4) Додаємо роль CA (вказаємо CA, CA Web Enrollment, NDES, Online Responder)
5) Вказуємо, що у мене Enterprise CA і маю приватний ключ
6) Чекаємо на завершення установки і відновлюємо все з бекапу, який ми робили на самому початку.
7) Як завжди, все проходить на ура - без помилок і сервіс стартанув
Із завмиранням серця на клацаю на Certificate Templates – і… мені видався список – це вже маленька перемога. Залишається перевірити роботу сертифіката через Інтернет. Проходжу за посиланням: і натискаю на Request a Certificate і далі advanced certificate request… вказую .csr запит і отримую готовий сертифікат. Видихаю… Відновити CA вдалося.
Висновки:
1) Обов'язково робіть бекап та snapshot
2) Документуйте свої дії - це допоможе повернути все назад або знайти помилку швидше
Ps Мені ж доведеться знову спробувати міграцію CA з Windows 2008R на Windows 2012R2.
Джерело: habr.com