.png)
.png)
Handbuch für die Migration von Active Directory-Zertifikatdiensten
Letzte Aktualisierung: März 2011
Betrifft: Windows Server 2008 R2
Informationen zum Handbuch
Dieses Dokument enthält Anweisungen für die Migration einer Zertifizierungsstelle von einem Server unter Windows Server 2003, Windows Server 2003 R2 oder Windows Server 2008 zu einem Server unter Windows Server® 2008 R2.
 Tipp |
|---|
| Hier können Sie eine Kopie dieses Handbuchs herunterladen: http://go.microsoft.com/fwlink/?LinkId=116454. |
Zielgruppe
-
Administratoren oder IT-Ingenieure, die für die Planung und Ausführung der Zertifizierungsstellenmigration zu Windows Server 2008 R2 zuständig sind
-
Administratoren oder IT-Ingenieure, die für die tägliche Verwaltung und Problembehandlung von Netzwerken, Servern, Clientcomputern, Betriebssystemen oder Anwendungen zuständig sind
-
IT-Manager, die für die Netzwerk- und Serververwaltung verantwortlich sind
-
IT-Architekten, die für die Computerverwaltung und -sicherheit in einer Organisation zuständig sind
Unterstützte Migrationsszenarien
Dieses Handbuch enthält Anweisungen zum Migrieren eines vorhandenen Servers, auf dem die Active Directory®-Zertifikatdienste (AD CS) ausgeführt werden, zu einem Server unter Windows Server 2008 R2. Dieses Handbuch enthält keine Anweisungen für die Migration eines Quellservers, der mehrere Rollen ausführt. Wenn auf dem Server mehrere Rollen ausgeführt werden, sollten Sie anhand der Informationen in anderen Handbüchern für die Migration von Rollen ein benutzerdefiniertes Migrationsverfahren für die Serverumgebung entwickeln. Migrationshandbücher für weitere Rollen sind im Thema zum Migrieren von Serverrollen zu Windows Server 2008 R2 ("http://go.microsoft.com/fwlink/?LinkID=128554", möglicherweise in englischer Sprache) verfügbar.
 Hinweis |
|---|
| Dieses Handbuch kann verwendet werden, um eine Zertifizierungsstelle von einem Quellserver, der auch als Domänencontroller fungiert, zu einem Zielserver mit einem anderen Namen zu migrieren. Die Migration eines Domänencontrollers wird in diesem Handbuch jedoch nicht behandelt. Informationen zur Migration der Active Directory-Domänendienste (AD DS) finden Sie im Migrationshandbuch für Active Directory-Domänendienste und DNS-Server ("http://go.microsoft.com/fwlink/?LinkId=179357", möglicherweise in englischer Sprache). |
Unterstützte Betriebssysteme
Dieses Handbuch enthält Informationen für Migrationen von Quellservern mit den in der folgenden Tabelle aufgeführten Betriebssystemversionen und Service Packs. Bei allen in diesem Dokument beschriebenen Migrationen wird vorausgesetzt, dass auf dem Zielserver Windows Server 2008 R2 (vollständige Installation oder Server Core-Installation) auf x64-basierter Hardware ausgeführt wird.
| Prozessor des Quellservers | Betriebssystem des Quellservers | Betriebssystem des Zielservers | Prozessor des Zielservers |
|---|---|---|---|
|
x86- oder x64-basiert |
Windows Server 2003 mit Service Pack 2 |
Windows Server 2008 R2, Optionen für vollständige Installation und Server Core-Installation |
x64-basiert |
|
x86- oder x64-basiert |
Windows Server 2003 R2 |
Windows Server 2008 R2, Optionen für vollständige Installation und Server Core-Installation |
x64-basiert |
|
x86- oder x64-basiert |
Windows Server 2008 |
Windows Server 2008 R2, Optionen für vollständige Installation und Server Core-Installation |
x64-basiert |
|
x64-basiert |
Windows Server 2008 R2 |
Windows Server 2008 R2, Optionen für vollständige Installation und Server Core-Installation |
x64-basiert |
Nicht in diesem Handbuch enthaltene Informationen
-
Verfahren zum Aktualisieren auf Windows Server 2008 R2
-
Verfahren zum Migrieren zusätzlicher Serverrollen
-
Verfahren zum Migrieren zusätzlicher AD CS-Rollendienste
Im Allgemeinen ist eine Migration für die folgenden AD CS-Rollendienste nicht erforderlich. Stattdessen können Sie diese Rollendienste auf Computern unter Windows Server 2008 R2 anhand der Installationsverfahren für die Rollendienste installieren und konfigurieren. Informationen zu den Auswirkungen der Zertifizierungsstellenmigration auf andere AD CS-Rollendienste finden Sie unter Auswirkungen der Migration auf andere Computer im Unternehmen.
-
Zertifizierungsstelle für Webregistrierung ("http://go.microsoft.com/fwlink/?LinkId=179360", möglicherweise in englischer Sprache)
-
Online-Responder ("http://go.microsoft.com/fwlink/?LinkId=143098", möglicherweise in englischer Sprache)
-
Registrierung für Netzwerkgeräte ("http://go.microsoft.com/fwlink/?LinkId=179362", möglicherweise in englischer Sprache)
-
Zertifikatregistrierungs-Webdienste ("http://go.microsoft.com/fwlink/?LinkId=179363", möglicherweise in englischer Sprache)
Übersicht über die Zertifizierungsstellenmigration
Vorbereiten der Migration
Migrieren der Zertifizierungsstelle
-
Sichern der Datenbank der Zertifizierungsstelle und des privaten Schlüssels
-
Sichern der Registrierungseinstellungen der Zertifizierungsstelle
-
Sichern von "CAPolicy.inf"
-
Entfernen des Zertifizierungsstellen-Rollendiensts vom Quellserver
-
Entfernen des Quellservers aus der Domäne
-
Hinzufügen des Zielservers zur Domäne
-
Hinzufügen des Zertifizierungsstellen-Rollendiensts zum Zielserver
-
Wiederherstellen der Datenbank und Konfiguration der Zertifizierungsstelle auf dem Zielserver
-
Gewähren von Berechtigungen für AIA- und CDP-Container
-
Zusätzliche Verfahren für Failover-Clusterunterstützung (optional)
Überprüfen der Migration
Aufgaben nach der Migration
Auswirkungen der Migration
Auswirkungen der Migration auf den Quellserver
Die in diesem Handbuch beschriebenen Verfahren für die Zertifizierungsstellenmigration beinhalten das Außerbetriebsetzen des Quellservers, nachdem die Migration abgeschlossen und die Funktion der Zertifizierungsstelle auf dem Zielserver überprüft wurde. Wenn der Quellserver nicht außer Betrieb gesetzt wird, müssen für den Quellserver und den Zielserver unterschiedliche Namen verwendet werden. Wenn sich die Namen von Zielserver und Quellserver unterscheiden, sind zusätzliche Schritte erforderlich, um die Zertifizierungsstellenkonfiguration auf dem Zielserver zu aktualisieren.
Auswirkungen der Migration auf andere Computer im Unternehmen
Während der Migration kann die Zertifizierungsstelle keine Zertifikate ausstellen oder Zertifikatsperrlisten veröffentlichen.
Um sicherzustellen, dass die Sperrstatusüberprüfung während der Zertifizierungsstellenmigration von Domänenmitgliedern ausgeführt werden kann, muss eine Zertifikatsperrliste veröffentlicht werden, die länger als die geplante Dauer der Migration gültig ist.
Da die Erweiterungen des Stelleninformationszugriffs und die Zertifikatsperrlisten-Verteilungspunkterweiterungen von zuvor ausgestellten Zertifikaten möglicherweise auf den Namen der Quellzertifizierungsstelle verweisen, müssen Sie entweder weiterhin Zertifizierungsstellenzertifikate und Zertifikatsperrlisten am gleichen Speicherort veröffentlichen oder eine Umleitungslösung bereitstellen. Ein Beispiel zum Konfigurieren der IIS-Umleitung finden Sie im Thema zum Umleiten von Websites in IIS 6.0 ("http://go.microsoft.com/fwlink/?LinkID=179366", möglicherweise in englischer Sprache).
Erforderliche Berechtigungen zum Durchführen der Migration
Um eine Unternehmenszertifizierungsstelle oder eine eigenständige Zertifizierungsstelle auf einem Domänenmitgliedscomputer zu installieren, müssen Sie ein Mitglied der Gruppe "Organisations-Admins" oder "Domänen-Admins" in der Domäne sein. Um eine eigenständige Zertifizierungsstelle auf einem Server zu installieren, der kein Domänenmitglied ist, müssen Sie ein Mitglied der lokalen Gruppe "Administratoren" sein. Für das Entfernen des Zertifizierungsstellen-Rollendiensts vom Quellserver gelten die gleichen Anforderungen bezüglich der Gruppenmitgliedschaft wie für die Installation.
Geschätzte Dauer
Im einfachsten Fall nimmt die Zertifizierungsstellenmigration in der Regel ein bis zwei Stunden in Anspruch. Die tatsächliche Dauer der Zertifizierungsstellenmigration hängt von der Anzahl von Zertifizierungsstellen und der Größe der Datenbanken der Zertifizierungsstellen ab.
