親愛的讀者下午好,
我將告訴您我將 CA 從 Windows 2008R2 遷移到 Windows 2012 R2 時經歷的噩夢。 網路上有很多關於這方面的文章,應該沒有任何問題。
遺憾的是,我並不是真正的 Windows 管理員,我更像是 *nix 管理員,但 CA 遷移的任務已經確定 - 需要完成。
在剪輯下方,我將告訴你我是如何經歷這個過程並最終得到一個不太幸福的結局的。
那我們走吧...
初始數據:
源 - 帶根 CA 的 Windows 2008 R2
目標 - Windows 2012R2
我已經安裝了 Windows 2012R2 並進行了最低配置。
最初,行動計劃如下(縮短行動):
1) 製作備份 CA+私鑰並將其複製到兩台電腦的公共共享
2)從網域中刪除目標並變更IP
3)製作伺服器快照
4)修改來源IP
5)我們以管理員身分進入新的Windows 2012R2伺服器-將其輸入到具有相同名稱的網域並指派舊IP
6) 設定 Active Directory 憑證服務角色(CA、CA Web 註冊、NDES、線上回應程式)
7)我們表明這是企業CA
8) 從備份還原CA+私鑰
9) 幸福的結局
同意,沒有什麼複雜的。 我開始實施它。 事實上,沒有任何問題,一切都進展順利...服務啟動,證書模板出現,證書本身也出現。 總的來說,一切都很好。 於是我就去睡覺了。 早上沒有人抱怨 CA 的工作,因此我認為一切正常並繼續執行其他任務。 在解決這些問題的過程中,我需要一個證書。 我創建了一個 .csr 並點擊了鏈接 簽署並接收證書,但在此階段發生錯誤。 不幸的是,我沒有截圖,但它說用戶資訊不匹配和其他一些錯誤。 好吧,我們到了,我想。 我開始谷歌搜索,但不幸的是我沒有找到任何可以理解的東西。
晚上,我們決定刪除 CA Windows 2012R2 並安裝所有新內容,然後我犯了一個錯誤;我沒有選擇企業 CA,而是選擇了獨立 CA 選項(儘管我後來才知道我的錯誤)。 我再次執行了所有操作...一切都沒有錯誤 - 但是當我選擇證書模板資料夾時,我得到“未找到元素”,儘管如果我選擇“管理”,則模板就位。
我認為這個 CN=Certificate Templates 沒有足夠的權限,因此使用 ADSI Edit 我為 vm_ca$ 提供了 Read。 我重新啟動 CertSvc 並...結果:找不到元素。
然後我感到很難過,因為那是凌晨 2 點……CA 不工作。 我關閉 CA Windows 2012R2 並從快照還原 VM CA Windows 2008R2。 我正在將伺服器返回 AD(因為當我嘗試使用網域帳戶登入時,伺服器和 AD 之間的關係會發生錯誤)。
好吧,我想...現在一切都會好起來,但是唉...它仍然是相同的憑證範本 - 我找不到元素。 我會把一切都留到早上——因為早晨比晚上更明智。
早上我用谷歌搜尋並閱讀了各種文章 - 我決定在舊伺服器上重新安裝 CA,希望解決「未找到元素」問題並透過 Web 頒發憑證。
過程非常簡單:
1)刪除CA角色
2) 過載
3)等待刪除過程完成
4) 新增CA角色(指定CA、CA Web Enrollment、NDES、Online Responder)
5)我們表明我有一個企業CA並且我有一個私鑰
6)我們等待安裝完成並從我們一開始所做的備份中恢復所有內容。
7) 像往常一樣,一切都很順利——沒有錯誤,服務啟動了
我懷著一顆沉沉的心,點擊了證書模板——然後……我得到了一份清單——這已經是一個小小的勝利了。 剩下的就是檢查透過Web 頒發憑證的操作。 我點擊連結: 然後點擊請求證書,然後點擊高級證書請求...我指定 .csr 請求並收到現成的證書。 我呼出一口氣……可以恢復CA了。
結論:
1)一定要做好備份和快照
2) 記錄您的操作 - 這將幫助您恢復所有內容或更快找到錯誤
Ps 我必須再次嘗試從 Windows 2008R 到 Windows 2012R2 的 CA 遷移。
來源: www.habr.com