Active Directory Certificate Services-migratiehandleiding voor Windows Server 2012 R2
Van toepassing op: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
Over deze handleiding
In dit document worden richtlijnen gegeven voor de migratie van een certificeringsinstantie (CA) van een server waarop Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 of Windows Server 2003 wordt uitgevoerd naar een server met Windows Server 2012 R2.
Doelgroep
Beheerders of IT-technici die verantwoordelijk zijn voor het plannen en uitvoeren van de CA-migratie.
Beheerders of IT-technici die verantwoordelijk zijn voor het dagelijkse beheer en de probleemoplossing van netwerken, servers, clientcomputers, besturingssystemen of toepassingen.
IT-managers die verantwoordelijk zijn voor netwerk- en serverbeheer.
IT-architecten die verantwoordelijk zijn voor computerbeheer en beveiliging in een organisatie.
Ondersteunde migratiescenario 's
In deze handleiding vindt u instructies voor het migreren van een bestaande server met Active Directory® Certificate Services (AD CS) naar een server waarop Windows Server 2008 R2 of Windows Server 2012 R2 wordt uitgevoerd. Deze handleiding bevat geen instructies voor migratie wanneer de bronserver meerdere functies uitvoert. Als er op uw server meerdere functies worden uitgevoerd, raden we u aan om een aangepaste migratieprocedure te ontwerpen die specifiek is afgestemd op uw serveromgeving en die is gebaseerd op de informatie in andere functiemigratiehandleidingen. Als u migratiehandleidingen voor andere serverfuncties wilt bekijken, gaat u naar Migrating Roles and Features in Windows Server (Functies en onderdelen in Windows Server migreren) (https://go.microsoft.com/fwlink/?LinkID=128554).
Notitie
U kunt deze handleiding gebruiken om een certificeringsinstantie van een bronserver die ook een domeincontroller is naar een doelserver met een andere naam te migreren. De migratie van een domeincontroller wordt in deze handleiding echter niet besproken. Ga voor meer informatie over de migratie van Active Directory Domain Services (AD DS) naar Active Directory Domain Services and DNS Server Migration Guide (Migratiehandleiding Active Directory Domain Services en DNS-servers) (https://go.microsoft.com/fwlink/?LinkId=179357).
Ondersteunde besturingssystemen
Deze handleiding ondersteunt migraties van bronservers met besturingssysteemversies en servicepacks die in de volgende tabel worden vermeld. Bij alle migraties die in dit document worden beschreven, wordt ervan uitgegaan dat Windows Server 2012 R2 op de doelserver wordt uitgevoerd, zoals in de volgende tabel wordt vermeld.
Processor van bronserver |
Besturingssysteem van bronserver |
Besturingssysteem van doelserver |
Processor van doelserver |
|---|---|---|---|
x64-systemen |
Windows Server 2012 R2 |
Windows Server 2012 R2, server met alleen een gebruikersinterface (geen Server Core-interface of minimale serverinterface) |
x64-systemen |
x64-systemen |
Windows Server 2012 |
Windows Server 2012 R2 of Windows Server 2012, server met alleen een gebruikersinterface (geen Server Core-interface of minimale serverinterface) |
x64-systemen |
x64-systemen |
Windows Server 2008 R2 |
Windows Server 2012 R2 of Windows Server 2012, server met alleen een gebruikersinterface (geen Server Core-interface of minimale serverinterface) of Windows Server 2008 R2, volledige installatie en Server Core-installatie mogelijk |
x64-systemen |
x86 of x64 |
Windows Server 2008 |
Windows Server 2012 R2 of Windows Server 2012, server met alleen een gebruikersinterface (geen Server Core-interface of minimale serverinterface) of Windows Server 2008 R2, volledige installatie en Server Core-installatie mogelijk |
x64-systemen |
x86 of x64 |
Windows Server 2003 R2 |
Windows Server 2012 R2 of Windows Server 2012, server met alleen een gebruikersinterface (geen Server Core-interface of minimale serverinterface) of Windows Server 2008 R2, volledige installatie en Server Core-installatie mogelijk |
x64-systemen |
x86 of x64 |
Windows Server 2003 met servicepack 2 |
Windows Server 2012 R2 of Windows Server 2012, server met alleen een gebruikersinterface (geen Server Core-interface of minimale serverinterface) of Windows Server 2008 R2, volledige installatie en Server Core-installatie mogelijk |
x64-systemen |
Notitie
Rechtstreekse upgrades ter plekke van Windows Server 2003 met Service Pack 2 of Windows Server 2003 R2 naar Windows Server 2012 R2 worden niet ondersteund. Als u een op x64-gebaseerde computer gebruikt, kunt u eerst een upgrade uitvoeren voor de CA-functieservice van Windows Server 2003 met Service Pack 2 of Windows Server 2003 R2 naar Windows Server 2008 of Windows Server 2008 R2 en vervolgens een upgrade uitvoeren naar Windows Server 2012 R2 of Windows Server 2012.
Wat deze handleiding niet biedt
Procedures voor het uitvoeren van een upgrade naar Windows Server 2012 R2, Windows Server 2012 of Windows Server 2008 R2
Procedures voor het migreren van aanvullende serverfuncties
Procedures voor het migreren van AD CS-functieservices
Migratie is over het algemeen niet vereist voor de volgende AD CS-functieservices. In plaats daarvan kunt u deze functieservices installeren en configureren op computers met Windows Server 2008 R2 of Windows Server 2012 door de installatieprocedures van de functieservices uit te voeren. Zie De invloed van de migratie op andere computers binnen de onderneming voor informatie over de consequenties van CA-migratie op andere AD CS-functieservices.
CA-internetregistratie (https://go.microsoft.com/fwlink/?LinkId=179360)
Online Responder (https://go.microsoft.com/fwlink/?LinkId=143098)
Registratie voor netwerkapparaten (https://go.microsoft.com/fwlink/?LinkId=179362)
Webservice Certificaatinschrijving (https://go.microsoft.com/fwlink/?LinkId=179363)
Overzicht CA-migratie
De migratie van de certificeringsinstantie (CA) omvat verschillende procedures die in de volgende secties worden besproken.
Waarschuwing
Tijdens de migratieprocedure wordt u gevraagd om uw bestaande certificeringsinstantie (de computer of ten minste de CA-service) uit te schakelen. U wordt gevraagd om de doel-CA dezelfde naam te geven als de naam die u voor de oorspronkelijke CA heeft gebruikt. De computernaam, (hostnaam of NetBIOS-naam), hoeft niet overeen te komen met die van de oorspronkelijke CA. De naam van de doel-CA moet echter overeenkomen met die van de bron-CA. Bovendien mag de naam van de doel-CA niet identiek zijn aan de naam van de doelcomputer.
Notitie
Het is mogelijk om een nieuwe PKI-hiërarchie te installeren terwijl u nog een bestaande PKI-hiërarchie gebruikt. U moet hiervoor echter een nieuwe PKI ontwerpen, hetgeen niet in deze handleiding wordt besproken. Voor een informeel overzicht over de werking van een dubbele PKI voor een organisatie, gaat u naar de volgende Ask DS-blogposting: Moving Your Organization from a Single Microsoft CA to a Microsoft Recommended PKI (Voor uw organisatie de overgang uitvoeren van een enkele Microsoft-CA naar een PKI die door Microsoft wordt aanbevolen).
Voorbereiden op migratie
De certificeringsinstantie migreren
Back-ups van een CA-database en de persoonlijke sleutel maken
Aanvullende procedures voor failoverclustering (optioneel)
De migratie controleren
Taken na migratie
De invloed van de migratie
De invloed van de migratie op de bronserver
De CA-migratieprocedures die in deze handleiding worden beschreven, omvatten het buiten gebruik stellen van de bronserver nadat de migratie is voltooid en de CA-functionaliteit op de doelserver is gecontroleerd. Als de bronserver niet buiten gebruik wordt gesteld, moeten de bron- en doelserver verschillende namen hebben. Er zijn extra stappen nodig om de CA-configuratie op de doelserver bij te werken, als de naam van de doelserver verschilt van de naam van de bronserver.
De invloed van de migratie op andere computers binnen de onderneming
Tijdens de migratie kunnen er door de CA geen certificaten worden uitgegeven of CRL's worden gepubliceerd.
Om ervoor te zorgen dat tijdens de CA-migratie de intrekkingsstatus kan worden gecontroleerd door domeinleden, is het van belang dat een CRL geldig is tijdens en tot na de geplande duur van de migratie.
Omdat de extensies voor CA-identificatietoegang en CRL-distributiepunten van eerder uitgegeven certificaten kunnen verwijzen naar de naam van de bron-CA, is het van belang dat CA-certificaten en CRL's naar dezelfde locatie blijven publiceren of een omleiding bieden. Voor een voorbeeld van de configuratie van een IIS-omleiding gaat u naar Redirecting Web Sites in IIS 6.0 (Websites omleiden in IIS 6.0).
Machtigingen die vereist zijn voor het uitvoeren van de migratie
Als u een ondernemings-CA of een zelfstandige CA wilt installeren op een domeinlidcomputer, moet u lid zijn van de groep Enterprise Admins (Ondernemingsbeheerders) of de groep Domain Admins (Domeinbeheerders) in het domein. Als u een zelfstandige CA wilt installeren op een server die geen domeinlid is, moet u lid zijn van de lokale beheerdersgroep. Voor het verwijderen van de CA-functieservice van de bronserver gelden dezelfde groepslidmaatschapvereisten als voor de installatie.
Geschatte duur
De meest eenvoudige CA-migratie kan doorgaans worden uitgevoerd binnen een tot twee uur. De werkelijke duur van de CA-migratie is afhankelijk van het aantal CA’s en de grootte van de CA-databases.