在具有证书服务的 Windows 2003 上进行就地升级

Question

这里有几点需要考虑。

证书服务不应在域控制器上运行。
2008 R2 仅适用于 x64。如果您的 2003 服务器是 x86，则没有就地升级路径： http://technet.microsoft.com/en-us/library/dd979563(v=ws.10).aspx
~~不支持就地升级域控制器。在就地升级服务器之前，应先卸载目录服务。~~
证书服务能服务器上的操作系统已经升级到位。

因此，假设您的 2003 是 x64，您可以做一些事情。

~~安装新的 DC。降级当前 DC。~~安装操作系统并按照此链接了解如何升级 AD CS：http://technet.microsoft.com/en-us/library/cc742388(v=ws.10).aspx
将 CA 配置备份并恢复到新服务器（上述链接中也有概述）。从域控制器中删除 AD CS。将 AD CS 迁移到的服务器就位。
根据最佳实践，在新服务器上建立新的 PKI，并在脱机根和 AD CS 上运行投入的未安装任何其他角色的服务器。撤销当前颁发的证书。从旧 CA 卸载 AD CS。从新 PKI 重新颁发证书。

编辑：正如 Ryan 指出的那样 - 放置 DC是支持。我 100% 肯定以前并非如此，但现在似乎如此，这让事情变得稍微容易一些。我仍然建议将证书服务从您的 DC 中迁移出来。

Answer 1

这里有几点需要考虑。

证书服务不应在域控制器上运行。
2008 R2 仅适用于 x64。如果您的 2003 服务器是 x86，则没有就地升级路径： http://technet.microsoft.com/en-us/library/dd979563(v=ws.10).aspx
~~不支持就地升级域控制器。在就地升级服务器之前，应先卸载目录服务。~~
证书服务能服务器上的操作系统已经升级到位。

因此，假设您的 2003 是 x64，您可以做一些事情。

~~安装新的 DC。降级当前 DC。~~安装操作系统并按照此链接了解如何升级 AD CS：http://technet.microsoft.com/en-us/library/cc742388(v=ws.10).aspx
将 CA 配置备份并恢复到新服务器（上述链接中也有概述）。从域控制器中删除 AD CS。将 AD CS 迁移到的服务器就位。
根据最佳实践，在新服务器上建立新的 PKI，并在脱机根和 AD CS 上运行投入的未安装任何其他角色的服务器。撤销当前颁发的证书。从旧 CA 卸载 AD CS。从新 PKI 重新颁发证书。

编辑：正如 Ryan 指出的那样 - 放置 DC是支持。我 100% 肯定以前并非如此，但现在似乎如此，这让事情变得稍微容易一些。我仍然建议将证书服务从您的 DC 中迁移出来。

相关内容