我想要将运行证书的 2 个 Windows 2003 服务器域控制器就地升级到 Windows 2008 R2。这样做可行吗?有人尝试过吗?之后我需要对证书服务做些什么吗?
感谢您的帮助。
答案1
这里有几点需要考虑。
证书服务不应在域控制器上运行。
2008 R2 仅适用于 x64。如果您的 2003 服务器是 x86,则没有就地升级路径: http://technet.microsoft.com/en-us/library/dd979563(v=ws.10).aspx
不支持就地升级域控制器。在就地升级服务器之前,应先卸载目录服务。证书服务能服务器上的操作系统已经升级到位。
因此,假设您的 2003 是 x64,您可以做一些事情。
安装新的 DC。降级当前 DC。安装操作系统并按照此链接了解如何升级 AD CS:http://technet.microsoft.com/en-us/library/cc742388(v=ws.10).aspx将 CA 配置备份并恢复到新服务器(上述链接中也有概述)。从域控制器中删除 AD CS。将 AD CS 迁移到的服务器就位。
根据最佳实践,在新服务器上建立新的 PKI,并在脱机根和 AD CS 上运行投入的未安装任何其他角色的服务器。撤销当前颁发的证书。从旧 CA 卸载 AD CS。从新 PKI 重新颁发证书。
编辑:正如 Ryan 指出的那样 - 放置 DC是支持。我 100% 肯定以前并非如此,但现在似乎如此,这让事情变得稍微容易一些。我仍然建议将证书服务从您的 DC 中迁移出来。