Ви є тут

Миграция Active Directory 2003 в Active Directory 2008 R2. 4 Миграция службы Certificate

Active Directory 2008 R2

Будем мигрировать службу сертификатов, как всегда, руководствуясь инструкциями от Майкрософт (Руководство по миграции служб сертификатов Active Directory). Этот процесс будет сопровождаться удалением центра сертификации и переименованием старого/нового серверов. По этому планировать работы желательно в нерабочее время.

Резервное копирование ЦС

Нам нужно сделать резервную копию базы данных и закрытого ключа. Для этого, на исходном сервере выполним:

Certutil.exe –backupdb <каталог_архивации>
Certutil.exe –backupkey <каталог_архивации>

После завершения резервного копирования нужно остановить службу сертификатов

net stop certsvc

Теперь выполним резервное копирование параметров реестра:

reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration <выходной_файл.reg>

Также нам нужно скопировать файл %SystemRoot%\CAPolicy.inf, если он нестандартный. В моем случае, я этого файла вообще не нашел.

Удаление ЦС

Важно после завершения резервного копирования ЦС и до начала установки ЦС на сервер назначения удалить службу роли ЦС с исходного сервера.

При этом база и корневой сертификат не удаляются. Поэтому переустановка службы роли ЦС на исходный сервер позволяет восстановить исходный ЦС, если при миграции произошел сбой и требуется откат.

Переименование исходного сервера

После удаления роли ЦС станет доступно переименование исходного сервера. Это и надо выполнить. Переименование контроллеров домена подробно описано на офсайте. Переименование контроллера домена с использованием средства Netdom возможно, только если домен работает в режиме Windows Server 2003

netdom computername текущее_имя_компьютера /add:новое_имя_компьютера
netdom computername текущее_имя_компьютера /makeprimary:новое_имя_компьютера

Перезагрузка

netdom computername новое_имя_компьютера /remove:старое_имя_компьютера

Переименование сервера назначения

Теперь серверу назначения нужно дать имя, какое было у исходного сервера. Переименовываем также как и исходный сервер.

Восстановление ЦС

Копируем резервные копии и установим службу сертификатов на сервер назначения:

При установке службы ЦС нужно импортировать корневой сертификат.

Теперь остановим службу и восстановим БД:

net stop certsvc
certutil.exe -f -restoredb <каталог_архивации_базы_данных_ЦС>

И импортируем параметры реестра:

reg import <резервная_копия_параметров_реестра.reg> 

После импорта нужно проверить значения параметров реестра. Параметру DBSessionCount установить шестнадцатеричное значение 64. Также нужно проверить правильность расположения файлов БД и журнала, это параметры DBDirectory, DBLogDirectory, DBSystemDirectory, DBTempDirectory. Все это касается ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.

На этом восстановление службы сертификатов завершено и нужно запустить службу:

net start certsvc

Решение проблем

После миграции ЦС возникла проблема с авторизацией Wi-Fi пользователей через Network Policy Server. Удалось решить проблему удалением всех сертификатов на сервере и запросом новых. После этого все заработало.

Додати коментар

Filtered HTML

  • Адреси сторінок і електронної пошти атоматично перетворюються у посилання.
  • Дозволені теги HTML: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Рядки та параграфи відокремлюються автоматично.

Plain text

  • HTML теґи не відображаються
  • Рядки та параграфи відокремлюються автоматично.
By submitting this form, you accept the Mollom privacy policy.

Вхід

Powered by Rublin team