Clever Geek Handbook

Windows 2008RからWindows 2012 R2への認証局(CA)の移行に失敗しました

こんにちは、読者の皆様!



CAをWindows 2008R2からWindows 2012 R2に移行する際に経験した悪夢について説明します。 インターネットにはこのテーマに関する記事がたくさんあり、問題はないはずです。



残念ながら、私は実際にはWindows管理者ではなく、* nix管理者以上ですが、CA移行タスクが設定されました-それを行う必要があります。



カットの下で、このプロセスをどのように経て、最終的には正確にHappyEndではなかったのかを説明します。



さあ行こう...



ソースデータ:

ソース -ルートCAを備えたWindows 2008 R2

ターゲット -Windows 2012R2



Windows 2012R2サーバーは既にインストールされており、最小限の設定が行われています。



当初、アクションプランは次のとおりでした(短縮アクション)。



  1. バックアップCA +秘密キーを作成し、両方のコンピューターの共通の領域にコピーします
  2. ドメインからターゲットを表示し、IPを変更します
  3. サーバーのスナップショットを作成する
  4. ソースのIPを変更します
  5. 管理者の下で新しいWindows 2012R2サーバーに移動します。同じ名前でドメインに入力し、古いIPを割り当てます
  6. Active Directory証明書サービス(CA、CA Web登録、NDES、オンラインレスポンダー)の役割を置きます
  7. これがエンタープライズCAであることを示します
  8. バックアップからCA +秘密キーを復元する
  9. ハッピーエンド


同意する、複雑なことは何もない。 そして、実装を開始しました。 実際、問題はなく、すべてが時計仕掛けのようになりました...サービスが開始され、証明書テンプレートが表示され、証明書自体が表示されました。 一般的に、すべてがOKです。 それで私は寝ました。 午前中、CAの作業について苦情はなかったので、すべてが機能していると思い、他のタスクを設定しました。 それらを解決する過程で、証明書が必要でした。 .csrを作成し、 vm_ca / certsvcリンクをクリックして署名し、証明書を受信すると、この時点でエラーが発生しました。 残念ながら、私はスクリーンショットを撮りませんでしたが、ユーザー情報の不一致やその他のエラーについて話しました。 まあ、彼らは航海した-私は思った。 私はグーグルを始めたが、残念ながら私は理解できるものを見つけられませんでした。



夕方、CA Windows 2012R2を削除してすべてを再度インストールすることにしましたが、エンタープライズCAの代わりにミスを犯しました。 すべての操作を再度実行しました...エラーなしですべてが完了しましたが、証明書テンプレートフォルダーを選択すると、エレメントが見つかりませんが、管理を選択するとテンプレートが配置されます。



このCN =証明書テンプレートには十分な権限がないと考えたため、ADSI Editを使用してvm_ca $の読み取りを指定しました。 CertSvcを再起動し、...結果:要素が見つかりません。



それから私は夜に2時間悲しかった…そしてCAは働かない。 CA Windows 2012R2をオフにして、スナップショットからVM CA Windows 2008R2を復元します。 サーバーをADに戻します(ドメインアカウントで入力しようとすると、サーバーとADの関係にエラーが発生するため)。



まあ、私は...すべてが今は大丈夫だと思うが、悲しいかな...それはまだ証明書テンプレートです-Element not foundが見つかります。 私は朝まですべてを残します-夕方の朝は賢明だからです。



午前中、あらゆる種類の記事を読んだ後、Googleでグーグル検索を行いました。ElementNot Foundの問題を解決し、Web経由で証明書を発行するために、古いサーバーにCAを再インストールすることにしました。



プロセスは非常に簡単です。



  1. CAの役割を果たします
  2. 過負荷です
  3. 削除プロセスが完了するのを待っています。
  4. CAの役割を追加します(CA、CA Web登録、NDES、オンラインレスポンダーを指定します)
  5. エンタープライズCAとプライベートキーがあることを示します
  6. インストールが完了し、最初に行ったバックアップからすべてを復元するのを待っています。
  7. いつものように、すべてが大丈夫です-エラーがなく、サービスが開始されました


心が沈むと、証明書テンプレートをクリックします-そして...私はリストを与えられました-これはすでに小さな勝利です。 Webを介して証明書を発行する操作を検証するために残っています。 リンクをたどります: vm_ca / certsvcをクリックし、[証明書の要求]をクリックし、次に証明書の要求を詳細設定します... .csr要求を指定し、証明書を準備します。 息を吐きます... CAの復元に成功しました。



結論:



  1. 必ずバックアップとスナップショットを作成してください
  2. アクションを文書化する-これにより、すべてを取り戻すか、エラーをすばやく見つけることができます


PS Windows 2008RからWindows 2012R2へのCAの移行を再度試行する必要があります。


More articles:


All Articles