具有 GC、CA、WSUS 复制的服务器已超过墓碑期

我需要做什么才能安全地从我们的域中删除服务器？

您必须删除活动目录对象并清理元数据。如果您的域控制器运行的是 Windows 2008R2 或更高版本，则第二步（元数据）会自动完成。

更多信息 ：https://technet.microsoft.com/en-us/library/Cc816907%28v=WS.10%29.aspx

我需要做什么才能将现有的 CA 替换为新的？

这是最棘手的部分，但由于您确实可以访问服务器，所以没有什么重大障碍。

您可以在 Microsoft 网站上找到各种程序，例如这里或者也许最好这个

我是否只能在不同的服务器上安装 WSUS 并将我们的客户端指向它，或者是否需要执行其他操作来删除旧版本？

是的，这里没有什么技巧，只需更改您的 GPO 以指向新服务器。

我需要做什么才能从该服务器上删除全局目录？（它不是域中唯一的 GC）

这是第一点的一部分。

是否存在我应该问但遗漏了的问题？

我现在什么都想不到。

您应该问自己一个问题，为什么 TSL 是 60 天。自 Windows Server 2003 SP1/Windows Server 2003 R2 SP2 以来已经 180 天了（大约八年）。您应该将其更改为 180 天。这一事件是 Microsoft 将其增加到 180 天的原因之一。另一个原因是任何早于 TSL 的 AD 备份都会失效。

确定森林的墓碑寿命
https://technet.microsoft.com/en-us/library/cc784932%28v=ws.10%29.aspx

AD DS：此林中的结果备份生存期应等于或大于 180 天
https://technet.microsoft.com/en-us/library/dd723674%28v=ws.10%29.aspx

首先是CA

备份和移动 CA 完整指南请点击此处将 CA 从 2003 迁移至 2012但高层次的步骤如下

1）备份当前 CA
可以通过访问 CA 控制台并使用备份选项来完成，确保在被要求时备份私钥以及数据库和日志）

2）备份 CA 注册表设置
导出以下密钥HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

3) 从 Windows Server 2003 中卸载 CA 服务
从控制面板中添加删除程序 Windows 组件

4) 清理域中的 CA 信息。
使用站点和服务删除对失败 CA 的引用微软支持页面

5) 安装 Windows Server 2012 R2 证书服务
使用角色向导执行此操作，包括 Web 注册角色

6）配置 AD CS
从已安装的角色中选择 AD CS，然后选择配置，选择企业 CA、ROOT CA，重要的是使用现有的私钥（这些在不同的屏幕上）从之前创建的备份中导入私钥

7）恢复CA
与备份步骤相同，但恢复时，请按照提示恢复私有CA、数据库和日志

8）恢复注册表信息从上面导入注册表备份

9）补发证书模板
证书模板列表点击相应的证书模板

---

其次是 WSUS

这可以移动或全新安装。这里最重要的是使用新服务器信息更新您的组策略Technet 指南

---

第三域控制器

如果您仍然需要此服务器作为域控制器，则需要执行以下操作。

1) 在断开网络连接的情况下重新打开服务器并运行 dcpromo /forceremoval

2) 将该服务器的所有 FSMO 角色转移到另一台服务器上MS 支持页面

3）从活动域控制器进行元数据清理Technet 上的元数据清理

4）删除与原始服务器相关的所有 DNS 条目

5）重命名服务器（不是严格要求的，但如果您在清理过程中遗漏了任何内容，这将为您省去旧引用的问题）

6）晋升回DC