如果安装了证书服务,为什么不能将服务器提升为域控制器?

如果安装了证书服务,为什么不能将服务器提升为域控制器?

当我尝试将服务器提升为域控制器时,在 Windows Server 2012 中出现此错误:

域控制器升级的先决条件验证失败。证书服务器已安装。

答案1

当您拥有颁发机构证书角色时,它会使用来自现有域控制器的“密钥”,并且您需要在规划 CA 本身时选择几个配置决策,如果您将其提升为 DC,它将获得该域控制器的独立密钥,因此服务器上之前配置的所有“密钥”都将更改,而这对于 CA 来说是不允许的。因此,基本上,当您在服务器上安装 CA 角色以保持一致性时,这是不允许的。

如果您想要提升为成员服务器,则需要在将服务器提升为域控制器之前完全卸载授权证书角色。

主要的问题是您按照错误的顺序执行了此操作,您首先将服务器提升为域控制器,然后安装 CA 服务,并且在配置中,它会询问您是否要创建 CA 场或者它是否是第一台服务器(称为 CA 的根)。

总之,在您删除 CA 服务之前,您将无法将服务器提升为 DC。如果这样做,则由此 CA 签名的所有证书都需要重新密钥并在服务器上重新安装证书(如有必要)。

相关内容