如何正确迁移Active证书服务
我在Windows 2016域控制器上安装了Active证书服务。我们计划拆分Windows2019实例,以取代2016年域控制器。我们有一个安装了ADCS服务的DC,特别是它具有证书颁发机构的角色,并且被设置为Enterprise (而不是独立的)。
将AD CS服务迁移到这个新的2019年服务器并使承载AD CS的2016年服务器退役的最佳过程是什么?根据本文,它似乎是一个简单的备份,添加了ADCS角色/特性并恢复了一些数据,但也许我过于简化了一些事情-- https://4sysops.com/archives/migrate-ad-certificate-services-to-a-new-server/。
我担心的是,我们已经与现有CA服务器签署并正在积极使用的证书会发生什么情况?如果CA关闭,它们会继续运行和/或继续有效,尽管是暂时的吗?分配给CA的名称与当前承载AD CS的服务器的主机名是分开的,因此2019年的服务器分配了不同的主机名,对吗?
如果有人曾经经历过这样的事情,或者有一些有用的建议/建议,我会非常感激的!
回答 1
Server Fault用户
发布于 2022-02-03 20:59:37
> the 2019 server having a different host name assigned shouldn't be an issue, correct?不幸的是,这是不正确的。
将证书颁发机构移动到同名的新服务器是一个非常简单的过程,但是如果新服务器有不同的名称,则会变得更加困难。
此外,绝对不建议在域控制器上托管证书颁发机构,最后但并非最不重要的是,您不能提升、降级或重命名承载CA的服务器;您确实应该借此机会将这两个角色分离到两个不同的服务器上。
如何正确地做到这一点:
- 安装具有新名称的新服务器,并将其连接到域。
- 将新服务器提升到域控制器;确保安装DNS并使其成为全局目录。
- 执行证书颁发机构的CA备份,包括根证书。
- 从旧服务器中删除AD CS。
- 将所有FSMO角色移动到新服务器。
- 将服务器和所有域成员计算机配置为使用新服务器作为主DNS (或交换两个服务器的IP地址)。
- 降级旧服务器。
- 从域中删除旧服务器(或者,如果需要将其保留一段时间,请重命名它以释放其名称)。
- 安装与旧服务器同名的额外新服务器;将其连接到域。
- 使用现有根证书和相同的CA设置在新服务器上安装AD CS。
- 在新服务器上还原CA备份。
当然,还有几个额外的细节;但这是整个过程的全部大纲。
哦,别忘了添加另一个域控制器。你真的不应该只有一个。
重读你的问题,还不清楚你有多少域控制器;如果你已经有了一个以上的控制器,这将使事情变得更容易一些。但是,您仍然必须回收服务器名称,并且您不能降级或重命名服务器,只要它承载一个CA;因此:
- 执行CA备份
- 删除AD CS
- 降级服务器
- 删除(或重命名)服务器
- 添加同名的新服务器
- 安装AD CS
- 恢复CA备份
https://serverfault.com/questions/1092600
复制相似问题
腾讯云开发者
