在具有证书服务的 Windows 2003 上进行就地升级

在具有证书服务的 Windows 2003 上进行就地升级

我想要将运行证书的 2 个 Windows 2003 服务器域控制器就地升级到 Windows 2008 R2。这样做可行吗?有人尝试过吗?之后我需要对证书服务做些什么吗?

感谢您的帮助。

答案1

这里有几点需要考虑。

  1. 证书服务不应在域控制器上运行。

  2. 2008 R2 仅适用于 x64。如果您的 2003 服务器是 x86,则没有就地升级路径: http://technet.microsoft.com/en-us/library/dd979563(v=ws.10).aspx

  3. 不支持就地升级域控制器。在就地升级服务器之前,应先卸载目录服务。

  4. 证书服务服务器上的操作系统已经升级到位。


因此,假设您的 2003 是 x64,您可以做一些事情。

  1. 安装新的 DC。降级当前 DC。安装操作系统并按照此链接了解如何升级 AD CS:http://technet.microsoft.com/en-us/library/cc742388(v=ws.10).aspx

  2. 将 CA 配置备份并恢复到新服务器(上述链接中也有概述)。从域控制器中删除 AD CS。将 AD CS 迁移到的服务器就位。

  3. 根据最佳实践,在新服务器上建立新的 PKI,并在脱机根和 AD CS 上运行投入的未安装任何其他角色的服务器。撤销当前颁发的证书。从旧 CA 卸载 AD CS。从新 PKI 重新颁发证书。


编辑:正如 Ryan 指出的那样 - 放置 DC支持。我 100% 肯定以前并非如此,但现在似乎如此,这让事情变得稍微容易一些。我仍然建议将证书服务从您的 DC 中迁移出来。

相关内容