背景故事
很久以前,一位 MSP:
- 最初,设置 Windows SBS 2003,它可能是 DC 和根 CA。
- 大概是很久以后,将 Windows Server 2008 R2 设置为 DC 并停用 Windows SBS 2003,但似乎没有彻底完成工作,因为计算机帐户仍然存在,只有域功能级别被提升了,等等,而且显然根 CA 没有迁移。
很久以后,我们接管了 IT 支持,并将 Windows Server 2016 设置为第二个附加 DC。
问题
在 Windows Server 2008 R2 DC 上,LDAPS 连接失败<0x51>并出现错误81,根据 MMC | 似乎是因为Certificates (Local Computer):
- 它没有安装 AD CS 颁发的证书。
- 它没有安装 AD 的根 CA 证书(虽然安装了根 CA 证书,但仅在预先存在的服务器上,并且由 颁发给
<organisation name> CA,而不是标准的<NetBIOS domain name>-<CA hostname>-CA)。
问题)
我们如何替换已退役的 Windows SBS 2003 根 CA?
如果我将 Windows Server 2016 升级为企业证书颁发机构,当前证书会怎样?它们会继续工作吗?因为 AD 的旧根 CA 证书仍安装在每台计算机上(理论上)?
答案1
我这样做了,没有任何问题。