فشل ترحيل شهادة المرجع المصدق (CA) من Windows 2008R إلى Windows 2012 R2

مساء الخير ، عزيزي القارئ!

سأخبركم عن كابوسي الذي مررت به أثناء ترحيل المرجع المصدق من Windows 2008R2 إلى Windows 2012 R2. هناك الكثير من المقالات حول هذا الموضوع في الإنترنت ولا ينبغي أن تكون هناك أي مشاكل.

لسوء الحظ ، أنا لست مسؤول Windows فعلاً ، فأنا أكثر من مسؤول * لا شيء ، ولكن تم تعيين مهمة ترحيل المرجع المصدق (CA) - يجب القيام به.

تحت القصاصة ، سوف أخبرك كيف مررت بهذه العملية ولم أتلقَ HappyEnd في النهاية.

لذلك دعونا نذهب ...

مصدر البيانات:
المصدر - ويندوز 2008 R2 مع الجذر CA
الهدف - ويندوز 2012R2

تم تثبيت خادم Windows 2012R2 بالفعل وتهيئته الحد الأدنى.

في البداية ، كانت خطة العمل على النحو التالي (الإجراءات المختصرة):

1. نصنع Backup CA + Private Key ونسخه إلى مجال مشترك لكلا الجهازين
2. نعرض الهدف من المجال وتغيير IP
3. جعل لقطة الخادم
4. تغيير IP على المصدر
5. نذهب إلى خادم Windows 2012R2 الجديد تحت المسؤول - أدخله في المجال بنفس الاسم وقم بتعيين IP القديم
6. ضع دور خدمة Active Directory Certificate (CA ، CA Web Web Enmentment ، NDES ، Online Responder)
7. نشير إلى أن هذا هو CA Enterprise
8. استعادة CA + مفتاح خاص من النسخة الاحتياطية
9. نهاية سعيدة

توافق جيدًا ، لا يوجد شيء معقد. وبدأت التنفيذ. في الواقع ، لم تكن هناك مشاكل وكل شيء سار كالساعة ... بدأت الخدمة وظهرت قوالب الشهادات وظهرت الشهادات نفسها. بشكل عام ، كل شيء على ما يرام. لذلك ذهبت للنوم. في الصباح ، لم تكن هناك شكاوى حول عمل CA ، ولذا اعتقدت أن كل شيء كان يعمل ، وتعيين مهام أخرى. في عملية حلها ، كنت بحاجة إلى شهادة. لقد أنشأت .csr ونقرت على الرابط vm_ca / certsvc للتوقيع واستلام شهادة ، وهذا هو المكان الذي حدث فيه الخطأ. لسوء الحظ ، لم ألتقط لقطة شاشة ، لكنها تحدثت عن عدم تطابق معلومات المستخدم وبعض الأخطاء الأخرى. حسنا ، أبحرت - اعتقدت. بدأت في google ، لكن لسوء الحظ لم أجد أي شيء واضح.

في المساء ، قررنا إزالة CA Windows 2012R2 وتثبيت كل شيء مرة أخرى وارتكبنا خطأً ، بدلاً من Enterprise CA ، اخترت خيار CA المستقل (تعلمت بالفعل عن خطأي لاحقًا). لقد قمت بكل العمليات مرة أخرى ... كل شيء سار دون أخطاء - ولكن عندما قمت بتحديد مجلد "قوالب الشهادات" ، لم أحصل على عنصر Element ، على الرغم من أنه إذا قمت بتحديد "إدارة" ، فستكون القوالب في مكانها الصحيح.

اعتقدت أنه لا توجد حقوق كافية لهذا CN = قوالب الشهادات ، لذلك باستخدام ADSI Edit أعطيت قراءة لـ vm_ca $. تمت إعادة تشغيل CertSvc و ... النتيجة: لم يتم العثور على العنصر.

ثم كنت حزينًا لمدة ساعتين في الليل ... ولا يعمل CA. قم بإيقاف تشغيل CA Windows 2012R2 واستعادة VM CA Windows 2008R2 من اللقطة. أرجع الخادم إلى م (لأنه عندما أحاول الدخول ضمن حساب المجال ، يحدث خطأ في العلاقة بين الخادم وم).

حسنًا ، أعتقد ... أن كل شيء سيكون على ما يرام الآن ، ولكن للأسف ... لا يزال قوالب الشهادات - أحصل على عنصر غير موجود. سأترك كل شيء حتى الصباح - لأن صباح المساء أكثر حكمة.

في الصباح ، غوغل ، بعد قراءة جميع أنواع المقالات - قررت إعادة تثبيت المرجع المصدق (CA) بالفعل على الخادم القديم على أمل حل مشكلة عدم العثور على العنصر وإصدار الشهادات عبر الويب.

العملية بسيطة للغاية:

1. نحتفل بدور CA
2. نحن مثقلة
3. نحن في انتظار اكتمال عملية الإزالة.
4. أضف دور CA (حدد CA ، CA Web Web Enmentment ، NDES ، Online Responder)
5. نشير إلى أن لدي Enterprise CA ولدي مفتاح خاص
6. نحن في انتظار انتهاء التثبيت واستعادة كل شيء من النسخة الاحتياطية التي قمنا بها في البداية.
7. كالعادة ، كل شيء يذهب مع اثارة ضجة - لا توجد أخطاء وبدأت الخدمة

بقلب غارق ، أقوم بالنقر فوق "شهادات القوالب" - و ... حصلت على قائمة - هذا بالفعل نصر صغير. يبقى التحقق من تشغيل إصدار الشهادة عبر الويب. أتبع الرابط: vm_ca / certsvc وانقر فوق "طلب شهادة" ثم طلب الشهادة المتقدم ... أحدد طلب .csr وأعد الشهادة. أنا أعطيه ... اتضح لاستعادة CA

الاستنتاجات:

1. تأكد من النسخ الاحتياطي واللقطه
2. قم بتوثيق تصرفاتك - سيساعد ذلك في استعادة كل شيء أو العثور على الخطأ بشكل أسرع

ملاحظة: لا يزال يتعين عليّ إعادة محاولة ترحيل المرجع المصدق (CA) من Windows 2008R إلى Windows 2012R2.