尊敬的客户,您好!
感谢您在我们的TechNet论坛发帖。
根据我们的描述,我们的CA应该是企业CA。
请问这台单独的安装windows server 2016的服务器是域成员服务器吗?如果是的话,我们可以参考以下步骤:
我们无法将CA数据库直接从Server 2008迁移到Server 2016,因为JET数据库引擎在两个版本之间发生了很大的变化,如果我们恢复备份,则在启动时会出现JET版本错误并且CA将无法启动。
但如果我们再增加一步,我们就能成功完成上述任务。
此附加步骤是首先将数据库备份还原到Server 2012 R2 CA,然后再从那里备份数据库。 此新备份现在可以还原到Server 2016 CA。
将CA迁移到新主机的注意事项:
1. 迁移CA时,目标计算机的计算机名称可能与源计算机的计算机名称不同,但CA名称必须保持不变。
2. 默认情况下,Active Directory证书服务(AD CS)配置有证书吊销列表(CRL)分发点扩展,其中包括路径中的CA计算机主机名。 这意味着CA在迁移之前颁发的任何证书都可能包含包含旧主机名的证书验证路径。 迁移后,这些路径可能不再有效。 为避免吊销检查错误,必须将新CA配置为将CRL发布到旧(迁移前)路径以及新路径。
3. 在安装过程中,您必须选择使用CA的现有证书和私钥,而不是创建新的CA证书和密钥。
步骤一: 备份CA数据:
1. 备份Windows Server证书颁发机构数据库及其配置和私钥:开始->管理工具->证书颁发机构->右键单击服务器节点->所有任务->备份CA。
2. 备份CA注册表设置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc,右键单击“配置”键,然后单击“导出”。
3. 备份CAPolicy.inf: 如果源CA使用自定义CAPolicy.inf文件,则应将该文件复制到与源CA备份文件相同的位置。
CAPolicy.inf文件位于%SystemRoot%目录中,该目录通常为C:\ Windows。
步骤二:从Windows Server 2008 R2卸载CA服务角色。
步骤三:将目标服务器2012 R2加入域。
步骤四:安装Windows Server 2012 R2证书服务。
步骤五:配置CA(在安装过程中,您必须选择使用CA的现有证书和私钥,而不是创建新的CA证书和密钥)。
步骤六:
1. 恢复我们创建的CA备份:右键单击服务器节点>所有任务>还原CA。
2. 恢复注册表信息(在将注册表设置从源CA导入目标CA之前,请先备份目标CA上的注册表)。
步骤七: 重发证书模板:打开证书颁发机构管理单元,右键单击证书模板文件夹->新建->要重新颁发的证书模板。
步骤八: 测试CA。
对于更详细的步骤和注意事项,我们可以参考以下文档:
Step-By-Step: Migrating The Active Directory Certificate Service From Windows Server 2003 to 2012 R2
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
