Geekly articles weekly

Fehler beim Migrieren der Zertifizierungsstelle (CA) von Windows 2008R zu Windows 2012 R2

Guten Tag, lieber Leser!

Ich werde Ihnen von meinem Albtraum erzählen, den ich bei der Migration von CA von Windows 2008R2 auf Windows 2012 R2 erlebt habe. Es gibt viele Artikel zu diesem Thema im Internet und es hätte keine Probleme geben dürfen.

Leider bin ich nicht wirklich ein Windows-Administrator, sondern mehr als ein * nix-Administrator, aber die CA-Migrationsaufgabe wurde festgelegt - sie muss ausgeführt werden.

Unter dem Schnitt werde ich Ihnen erzählen, wie ich diesen Prozess durchlaufen habe und am Ende nicht gerade HappyEnd erhalten habe.

Also lass uns gehen ...

Ausgangsdaten:
Quelle - Windows 2008 R2 mit Stammzertifizierungsstelle
Ziel - Windows 2012R2

Der Windows 2012R2-Server wurde bereits installiert und minimal konfiguriert.

Der Aktionsplan lautete zunächst wie folgt (verkürzte Maßnahmen):

  1. Wir erstellen Backup CA + Private Key und kopieren es für beide Computer in eine gemeinsame Sphäre
  2. Wir zeigen das Ziel aus der Domain an und ändern die IP
  3. Erstellen eines Server-Snapshots
  4. Ändern Sie die IP an der Quelle
  5. Wir gehen unter dem Administrator zum neuen Windows 2012R2-Server - geben ihn in die gleichnamige Domäne ein und weisen die alte IP zu
  6. Übernehmen Sie die Rolle des Active Directory-Zertifikatdienstes (CA, CA-Webregistrierung, NDES, Online-Responder).
  7. Wir weisen darauf hin, dass dies eine Unternehmenszertifizierungsstelle ist
  8. Wiederherstellen von CA + Private Key aus der Sicherung
  9. Happy End

Stimmen Sie gut zu, es gibt nichts Kompliziertes. Und ich habe mit der Implementierung begonnen. Tatsächlich gab es keine Probleme und alles lief wie am Schnürchen ... Der Service wurde gestartet, Zertifikatvorlagen wurden angezeigt und die Zertifikate selbst wurden angezeigt. Im Allgemeinen ist alles in Ordnung. Also ging ich schlafen. Am Morgen gab es keine Beschwerden über die Arbeit von CA, und so dachte ich, dass alles funktioniert, und machte mich an andere Aufgaben. Um sie zu lösen, brauchte ich ein Zertifikat. Ich habe .csr erstellt und auf den Link vm_ca / certsvc geklickt, um ein Zertifikat zu signieren und zu erhalten. Hier ist der Fehler aufgetreten. Leider habe ich keinen Screenshot gemacht, aber es ging um nicht übereinstimmende Benutzerinformationen und einige andere Fehler. Nun, sie sind gesegelt - dachte ich. Ich habe angefangen zu googeln, aber leider habe ich nichts Verständliches gefunden.

Am Abend haben wir beschlossen, CA Windows 2012R2 zu entfernen und alles erneut zu installieren, und einen Fehler gemacht. Anstelle von Enterprise CA habe ich die Option Standalone CA gewählt (ich habe bereits später von meinem Fehler erfahren). Ich habe alle Vorgänge erneut ausgeführt ... alles verlief fehlerfrei. Wenn ich jedoch den Ordner "Zertifikatvorlagen" auswähle, wird das Element nicht gefunden. Wenn ich jedoch "Verwalten" auswähle, sind die Vorlagen vorhanden.

Ich dachte, dass es nicht genügend Rechte für diese CN = -Zertifikatvorlagen gibt, also gab ich mit ADSI Edit Read für vm_ca $. CertSvc neu gestartet und ... Ergebnis: Element nicht gefunden.

Dann war ich 2 Stunden nachts traurig ... und CA funktioniert nicht. Deaktivieren Sie CA Windows 2012R2 und stellen Sie VM CA Windows 2008R2 aus dem Snapshot wieder her. Ich gebe den Server an AD zurück (da beim Versuch, unter das Domänenkonto einzutreten, ein Fehler in der Beziehung zwischen Server und AD auftritt).

Nun, ich denke ... alles wird jetzt in Ordnung sein, aber leider ... es sind immer noch Zertifikatvorlagen - ich bekomme Element nicht gefunden. Ich lasse alles bis zum Morgen - denn der Morgen des Abends ist klüger.

Am Morgen habe ich gegoogelt, nachdem ich alle Arten von Artikeln gelesen hatte. Ich entscheide mich, CA bereits auf dem alten Server neu zu installieren, in der Hoffnung, das Problem Element Not Found zu lösen und Zertifikate über das Web auszustellen.

Der Prozess ist ganz einfach:

  1. Wir feiern die Rolle von CA.
  2. Wir sind überladen
  3. Wir warten auf den Abschluss des Entfernungsprozesses.
  4. Fügen Sie die CA-Rolle hinzu (geben Sie CA, CA-Webregistrierung, NDES, Online-Responder an).
  5. Wir geben an, dass ich über eine Unternehmenszertifizierungsstelle und einen privaten Schlüssel verfüge
  6. Wir warten darauf, dass die Installation abgeschlossen ist, und stellen alles von der Sicherung wieder her, die wir zu Beginn durchgeführt haben.
  7. Wie immer geht alles mit einem Knall - keine Fehler und der Service gestartet

Mit sinkendem Herzen klicke ich auf Zertifikatvorlagen - und ... mir wurde eine Liste gegeben - dies ist bereits ein kleiner Sieg. Es bleibt zu überprüfen, ob ein Zertifikat über das Web ausgestellt wurde. Ich folge dem Link: vm_ca / certsvc und klicke auf Zertifikat anfordern und dann auf erweiterte Zertifikatanforderung ... Ich gebe die CSR-Anforderung an und bereite das Zertifikat vor. Ich gebe aus ... Es stellte sich heraus, CA wiederherzustellen.

Schlussfolgerungen:

  1. Stellen Sie sicher, dass Sie ein Backup und einen Snapshot erstellen
  2. Dokumentieren Sie Ihre Aktionen - dies hilft, alles zurückzubekommen oder den Fehler schneller zu finden

PS Ich muss die CA-Migration von Windows 2008R auf Windows 2012R2 noch einmal versuchen.

Source: https://habr.com/ru/post/de448402/

More articles:


All Articles