我有Active Directory 证书服务安装在Windows 2016 域控制器。我们计划Windows 2019实例来替换我们的 2016 年域控制器。我们已经一个安装了 ADCS 服务的 DC,具体来说它具有证书颁发机构角色并设置为企业 CA(非独立)。
最好的流程是什么将 AD CS 服务迁移到此新的 2019 服务器和停止托管 AD CS 的 2016 服务器? 根据这篇文章,这似乎是一个简单的备份,添加 ADCS 角色/功能并恢复一些数据,但也许我把事情过于简单了 -https://4sysops.com/archives/migrate-ad-certificate-services-to-a-new-server/。
我担心的是,我们已经用现有 CA 服务器签署的、正在使用的证书会怎样?如果 CA 暂时关闭,它们会继续运行和/或保持有效吗?分配给 CA 的名称与当前托管 AD CS 的服务器的主机名是分开的,因此 2019 年的服务器具有不同的主机名分配不应该是个问题,对吗?
如果有人曾经经历过这种情况或者有一些有用的建议/提示,我将不胜感激!
答案1
> the 2019 server having a different host name assigned shouldn't be an issue, correct?
不幸的是,这完全不正确。
将证书颁发机构移动到具有相同名称的新服务器是一个非常简单的过程,但它变得困难得多如果新服务器有不同的名称。
此外,绝对不建议在域控制器上托管证书颁发机构,最后但同样重要的一点是,您无法提升、降级或重命名托管 CA 的服务器;您真的应该借此机会在两个不同的服务器上分离这两个角色。
如何正确执行此操作:
- 安装具有新名称的新服务器并将其加入到域中。
- 将新服务器提升为域控制器;确保安装 DNS 并使其成为全局目录。
- 执行您的证书颁发机构的 CA 备份,包括根证书。
- 从旧服务器中删除 AD CS。
- 将所有 FSMO 角色移动到新服务器。
- 配置两台服务器和所有域成员计算机以使用新服务器作为其主 DNS(或交换两台服务器的 IP 地址)。
- 降级旧服务器。
- 从域中删除旧服务器(或者,如果您需要保留它一段时间,请重命名它以释放其名称)。
- 安装一个与旧服务器同名的额外的新服务器;将其加入到域中。
- 使用现有的根证书和相同的 CA 设置在新服务器上安装 AD CS。
- 在新服务器上恢复 CA 备份。
当然,还有一些额外的细节;但这是该过程的完整概述。
哦,别忘了添加另一个域控制器。你真的不应该只有其中一个。
重新阅读您的问题,您确实不清楚有多少个域控制器;如果您已经拥有多个域控制器,这将使事情变得容易一些。但您仍然必须回收服务器名称,并且只要服务器托管 CA,您就无法降级或重命名服务器;因此:
- 执行 CA 备份
- 删除 AD CS
- 降级服务器
- 删除(或重命名)服务器
- 添加同名的新服务器
- 安装 AD CS
- 恢复 CA 备份