none
AD CS由windows server 2008R2迁移到windows server 2016 RRS feed

  • 问题

  • 目前我们计划进行域控升级,由2008R2迁移升级到2016,主域控安装了CA证书颁发机构,想在升级前先将CA证书迁移到一台单独的安装windows server 2016的服务器上,请问能否迁移,都需要做哪些操作?
    2019年5月24日 7:54

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我们的描述,我们的CA应该是企业CA。

    请问这台单独的安装windows server 2016的服务器是域成员服务器吗?如果是的话,我们可以参考以下步骤:

    我们无法将CA数据库直接从Server 2008迁移到Server 2016,因为JET数据库引擎在两个版本之间发生了很大的变化,如果我们恢复备份,则在启动时会出现JET版本错误并且CA将无法启动。

    但如果我们再增加一步,我们就能成功完成上述任务。
    此附加步骤是首先将数据库备份还原到Server 2012 R2 CA,然后再从那里备份数据库。 此新备份现在可以还原到Server 2016 CA。

    将CA迁移到新主机的注意事项:

    1. 迁移CA时,目标计算机的计算机名称可能与源计算机的计算机名称不同,但CA名称必须保持不变。

    2. 默认情况下,Active Directory证书服务(AD CS)配置有证书吊销列表(CRL)分发点扩展,其中包括路径中的CA计算机主机名。 这意味着CA在迁移之前颁发的任何证书都可能包含包含旧主机名的证书验证路径。 迁移后,这些路径可能不再有效。 为避免吊销检查错误,必须将新CA配置为将CRL发布到旧(迁移前)路径以及新路径。

    3. 在安装过程中,您必须选择使用CA的现有证书和私钥,而不是创建新的CA证书和密钥。


    步骤一: 备份CA数据:
    1. 备份Windows Server证书颁发机构数据库及其配置和私钥:开始->管理工具->证书颁发机构->右键单击服务器节点->所有任务->备份CA。
    2. 备份CA注册表设置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc,右键单击“配置”键,然后单击“导出”。
    3. 备份CAPolicy.inf: 如果源CA使用自定义CAPolicy.inf文件,则应将该文件复制到与源CA备份文件相同的位置。
    CAPolicy.inf文件位于%SystemRoot%目录中,该目录通常为C:\ Windows。

    步骤二:从Windows Server 2008 R2卸载CA服务角色。
    步骤三:将目标服务器2012 R2加入域。
    步骤四:安装Windows Server 2012 R2证书服务。
    步骤五:配置CA(在安装过程中,您必须选择使用CA的现有证书和私钥,而不是创建新的CA证书和密钥)。
    步骤六:
    1. 恢复我们创建的CA备份:右键单击服务器节点>所有任务>还原CA。
    2. 恢复注册表信息(在将注册表设置从源CA导入目标CA之前,请先备份目标CA上的注册表)。
    步骤七: 重发证书模板:打开证书颁发机构管理单元,右键单击证书模板文件夹->新建->要重新颁发的证书模板。
    步骤八: 测试CA。


    对于更详细的步骤和注意事项,我们可以参考以下文档:

    Step-By-Step: Migrating The Active Directory Certificate Service From Windows Server 2003 to 2012 R2

    Performing the Upgrade or Migration
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc742388(v=ws.10)


    提示:以上的每一个小步骤都包含很多操作,请先在测试环境中测试,以免我们在生产环境中遇到问题,可以更好地解决。如果在测试环境中没有任何问题后,我们再在生产环境中操作。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年5月27日 9:36
    版主
  • 尊敬的客户,您好!
    首先,祝愿您今天有个好心情。
    其次,关于您在帖子中提到的问题有更新吗?或者还需要我为您提供什么帮助吗?
    最后,感谢您的理解和支持,祝愿您工作愉快!
     


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年5月29日 4:23
    版主
  • 尊敬的客户,您好!
    请问我们是否尝试以上的建议了呢?您的反馈对于进一步的研究非常有用。 如果您有不清楚的地方,请随时告诉我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年5月31日 7:29
    版主
  • 非常感谢,我准备在测试环境按照您给的方法进行一下测试
    2019年6月11日 6:42
  • 尊敬的客户,您好!

    感谢您的回复。很高兴提供的信息对您有用。如果我的回复对您有帮助,我们可以把它标记为答案。以便有类似问题的人可以查询到问题的方案。

    祝您工作生活愉快!




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月14日 3:00
    版主
  • 非常好,我收藏了!
    2019年6月14日 3:03