Exporter (0) Imprimer
Développer tout

Migration des services de certificats Active Directory (AD CS) : tâches de post-migration

Mis à jour: août 2009

S'applique à: Windows Server 2008 R2

Les étapes de post-migration peuvent être exécutées une fois la migration effectuée et le fonctionnement de l'autorité de certification de destination vérifié.

Si les étapes de vérification ont échoué, passez en revue la section Résolution des problèmes de cette rubrique.

Mise à niveau des modèles de certificats dans les services de domaine Active Directory (AD DS)

Passez en revue les étapes de post-migration ci-dessous et n'exécutez que celles qui sont pertinentes pour votre environnement et votre scénario de migration.

Les modèles de certificats par défaut supplémentaires suivants sont inclus dans les autorités de certification d'entreprise exécutées sur Windows Server 2008 R2 et Windows Server 2008, mais pas dans Windows Server 2003 :

  • Signature de réponse OCSP

  • Authentification Kerberos

Ces modèles de certificats ne sont pas indispensables au fonctionnement de l'autorité de certification. Les certificats Signature de réponse OCSP sont requis si vous déployez le service de rôle Répondeur en ligne.

Si vous avez besoin de ces modèles de certificats supplémentaires, effectuez la procédure suivante.

Pour mettre à niveau des modèles de certificats dans AD DS à l'aide du composant logiciel enfichable Modèles de certificats

  1. Ouvrez une session sur le serveur de destination en tant que membre du groupe Administrateurs de l'entreprise.

  2. Ouvrez le composant logiciel enfichable Modèles de certificats. Celui-ci ajoute automatiquement les modèles de certificats par défaut à AD DS.

Récupération de certificats après le changement de nom d'un hôte

Si le nom du serveur de destination est différent du nom du serveur source, vous devrez peut-être récupérer manuellement les certificats qui ont été émis par l'autorité de certification source et n'ont pas été récupérés avant la migration.

Effectuez cette procédure sur l'ordinateur qui a été utilisé pour envoyer la demande de certificat à l'autorité de certification source.

Pour récupérer un certificat à l'aide de Certreq.exe

  1. Ouvrez une fenêtre d'invite de commandes.

  2. Tapez certreq –retrieve -config "<NomServeurDestination\NomAutoritéCert>" <IDDemande> <SortieRéponseCertificat> et appuyez sur ENTRÉE.

  3. Tapez certreq –accept <SortieRéponseCertificat> et appuyez sur ENTRÉE.

 

Option Description Exemple

-config

L'option –config est suivie d'une chaîne qui spécifie un nom d'hôte et le nom de l'autorité de certification sous la forme NomHôte\NomAutoritéCert.

Certreq.exe –submit –config Serveur1\CA1 C:\FichierDemande.txt C:\FichierRéponse.cer

NomServeurDestination

Nom d'hôte du serveur de destination.

NomAutoritéCert

Nom de l'autorité de certification migrée.

EntréeDemandeCertificat

Chemin d'accès et nom du fichier contenant la demande de certificat créée à l'aide de la procédure « Créer une demande de certificat personnalisée ».

SortieRéponseCertificat

Chemin d'accès et nom du fichier recevant de l'autorité de certification le certificat émis. Si la demande de certificat est en attente, le fichier contient un message de l'autorité de certification qui indique l'état et l'ID de la demande. L'ID de la demande permet de récupérer le certificat une fois qu'il a été émis par un gestionnaire de certificats ou par l'administrateur de l'autorité de certification.

IDDemande

Valeur ID de la demande retournée par une autorité de certification en réponse à une demande de certificat. La valeur ID de la demande figure dans la sortie de la commande et est écrite dans le fichier SortieRéponseCertificat.

Restauration des services de certificats Active Directory (AD CS) sur le serveur source en cas d'échec de la migration

Si vous avez supprimé le service de rôle Autorité de certification du serveur source en suivant la procédure Suppression du service de rôle Autorité de certification sur le serveur source, vous pouvez restaurer l'autorité de certification source en réinstallant le service de rôle Autorité de certification sur le serveur source. Il est important de supprimer le service de rôle Autorité de certification du serveur de destination avant de réinstaller le service de rôle Autorité de certification sur le serveur source.

Si vous n'avez pas supprimé le service de rôle Autorité de certification du serveur source, ne le supprimez pas du serveur de destination. Arrêtez simplement l'autorité de certification de destination et démarrez l'autorité de certification source.

Les procédures de restauration peuvent être effectuées en moins d'une heure.

Pour supprimer le service de rôle Autorité de certification du serveur de destination, utilisez l'Assistant Suppression de rôle du Gestionnaire de serveur.

Pour ajouter le service de rôle Autorité de certification à un serveur source qui exécute Windows Server 2003, utilisez l'Assistant Ajouter ou supprimer des composants Windows.

Pour ajouter le service de rôle Autorité de certification à un serveur source qui exécute Windows Server 2008, utilisez l'Assistant Ajout de rôles du Gestionnaire de serveur.

Résolution des problèmes de migration

Si vous rencontrez des erreurs au cours des procédures de vérification, utilisez l'Observateur d'événements pour passer en revue le journal des applications de l'autorité de certification de destination. Consultez un événement d'erreur dans le volet de visualisation ou les propriétés de l'événement et cliquez sur Aide sur le Journal pour ouvrir une page Web décrivant les procédures de résolution des problèmes liés à cet événement.

Pour obtenir la collection complète des événements AD CS documentés, consultez les erreurs et événements AD CS (page éventuellement en anglais).

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft