Handbuch für die Migration von Active Directory-Zertifikatdiensten für Windows Server 2012 R2
Betrifft: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
Informationen zum Handbuch
Dieses Dokument enthält Anweisungen für die Migration einer Zertifizierungsstelle von einem Server unter Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 oder Windows Server 2003 zu einem Server unter Windows Server 2012 R2.
Zielgruppe
Administratoren oder IT-Ingenieure, die für die Planung und Ausführung der Zertifizierungsstellenmigration zuständig sind
Administratoren oder IT-Ingenieure, die für die tägliche Verwaltung und Problembehandlung von Netzwerken, Servern, Clientcomputern, Betriebssystemen oder Anwendungen zuständig sind
IT-Manager, die für die Netzwerk- und Serververwaltung verantwortlich sind
IT-Architekten, die für die Computerverwaltung und -sicherheit in einer Organisation zuständig sind
Unterstützte Migrationsszenarien
Dieses Handbuch enthält Anweisungen zum Migrieren eines vorhandenen Servers, auf dem die Active Directory®-Zertifikatdienste (AD CS) ausgeführt werden, zu einem Server unter Windows Server 2008 R2 oder Windows Server 2012 R2. Dieses Handbuch enthält keine Anweisungen für die Migration eines Quellservers, der mehrere Rollen ausführt. Wenn auf dem Server mehrere Rollen ausgeführt werden, sollten Sie anhand der Informationen in anderen Handbüchern für die Migration von Rollen ein benutzerdefiniertes Migrationsverfahren für die Serverumgebung entwickeln. Migrationshandbücher für andere Serverrollen finden Sie unter Migrieren von Serverrollen zu Windows Server 2008 R2 (https://go.microsoft.com/fwlink/?LinkID=128554).
Hinweis
Dieses Handbuch kann verwendet werden, um eine Zertifizierungsstelle von einem Quellserver, der auch als Domänencontroller fungiert, zu einem Zielserver mit einem anderen Namen zu migrieren. Die Migration eines Domänencontrollers wird in diesem Handbuch jedoch nicht behandelt. Informationen zur Migration der Active Directory-Domänendienste (AD DS) finden Sie im Migrationshandbuch für Active Directory-Domänendienste und DNS-Server ("https://go.microsoft.com/fwlink/?LinkId=179357").
Unterstützte Betriebssysteme
Dieses Handbuch enthält Informationen für Migrationen von Quellservern mit den in der folgenden Tabelle aufgeführten Betriebssystemversionen und Service Packs. Bei den in diesem Dokument beschriebenen Migrationen wird davon ausgegangen, dass auf dem Zielserver, wie in der folgenden Tabelle angegeben, Windows Server 2012 R2 ausgeführt wird.
Prozessor des Quellservers |
Betriebssystem des Quellservers |
Betriebssystem des Zielservers |
Prozessor des Zielservers |
|---|---|---|---|
x64-basiert |
Windows Server 2012 R2 |
Windows Server 2012 R2, nur Server mit grafischer Benutzeroberfläche (keine Server Core- oder minimale Serverschnittstelle) |
x64-basiert |
x64-basiert |
Windows Server 2012 |
Windows Server 2012 R2 oder Windows Server 2012, nur Server mit grafischer Benutzeroberfläche (keine Server Core- oder minimale Serverschnittstelle) |
x64-basiert |
x64-basiert |
Windows Server 2008 R2 |
Windows Server 2012 R2 oder Windows Server 2012, nur Server mit grafischer Benutzeroberfläche (keine Server Core- oder minimale Serverschnittstelle) oder Windows Server 2008 R2, sowohl vollständige als auch Server Core-Installation |
x64-basiert |
x86- oder x64-basiert |
Windows Server 2008 |
Windows Server 2012 R2 oder Windows Server 2012, nur Server mit grafischer Benutzeroberfläche (keine Server Core- oder minimale Serverschnittstelle) oder Windows Server 2008 R2, sowohl vollständige als auch Server Core-Installation |
x64-basiert |
x86- oder x64-basiert |
Windows Server 2003 R2 |
Windows Server 2012 R2 oder Windows Server 2012, nur Server mit grafischer Benutzeroberfläche (keine Server Core- oder minimale Serverschnittstelle) oder Windows Server 2008 R2, sowohl vollständige als auch Server Core-Installation |
x64-basiert |
x86- oder x64-basiert |
Windows Server 2003 mit Service Pack 2 |
Windows Server 2012 R2 oder Windows Server 2012, nur Server mit grafischer Benutzeroberfläche (keine Server Core- oder minimale Serverschnittstelle) oder Windows Server 2008 R2, sowohl vollständige als auch Server Core-Installation |
x64-basiert |
Hinweis
Direkte Upgrades von Windows Server 2003 mit Service Pack 2 oder Windows Server 2003 R2 auf Windows Server 2012 R2 werden nicht unterstützt. Bei Verwendung eines x64-basierten Computers können Sie den Zertifizierungsstellen-Rollendienst von Windows Server 2003 mit Service Pack 2 oder Windows Server 2003 R2 zunächst auf Windows Server 2008 oder Windows Server 2008 R2 aktualisieren und dann ein Upgrade auf Windows Server 2012 R2 oder Windows Server 2012 ausführen.
Nicht in diesem Handbuch enthaltene Informationen
Verfahren für ein Upgrade auf Windows Server 2012 R2, Windows Server 2012 oder Windows Server 2008 R2
Verfahren zum Migrieren zusätzlicher Serverrollen
Verfahren zum Migrieren zusätzlicher AD CS-Rollendienste
Im Allgemeinen ist eine Migration für die folgenden AD CS-Rollendienste nicht erforderlich. Stattdessen können Sie diese Rollendienste auf Computern unter Windows Server 2008 R2 oder Windows Server 2012 anhand der Installationsverfahren für die Rollendienste installieren und konfigurieren. Informationen zu den Auswirkungen der Zertifizierungsstellenmigration auf anderen AD CS-Rollendiensten finden Sie unter Auswirkungen der Migration auf andere Computer im Unternehmen.
Zertifizierungsstelle für Webregistrierung ("https://go.microsoft.com/fwlink/?LinkId=179360")
Online-Responder ("https://go.microsoft.com/fwlink/?LinkId=143098")
Registrierung für Netzwerkgeräte ("https://go.microsoft.com/fwlink/?LinkId=179362")
Zertifikatregistrierungs-Webdienste ("https://go.microsoft.com/fwlink/?LinkId=179363")
Übersicht über die Zertifizierungsstellenmigration
Die Migration von Zertifizierungsstellen (CAs) umfasst mehrere Verfahren, die in den folgenden Abschnitten behandelt werden.
Warnung
Bei der Migration werden Sie aufgefordert, Ihre vorhandene Zertifizierungsstelle zu deaktivieren (mindestens den CA-Dienst, besser den Computer). Sie werden aufgefordert, der Zielzertifizierungsstelle den Namen der ursprünglichen Zertifizierungsstelle zu geben. Der Computername (Hostname oder NetBIOS-Namen) muss nicht mit dem Computernamen der ursprünglichen Zertifizierungsstelle übereinstimmen. Allerdings muss der Name der Zielzertifizierungsstelle mit dem Namen der Quellzertifizierungsstelle übereinstimmen. Darüber hinaus darf der Name der Zielzertifizierungsstelle nicht mit dem Namen des Zielcomputers identisch sein.
Hinweis
Selbst wenn die frühere PKI-Hierarchie noch genutzt wird, kann bereits eine neue PKI-Hierarchie installiert werden. Dazu müssen Sie jedoch eine neue PKI entwerfen, ein Vorgang, der in diesem Handbuch nicht behandelt wird. Eine informelle Übersicht der Funktionsweise zweier paralleler PKIs innerhalb einer Organisation finden Sie im folgenden englischsprachigen Ask the Directory Services-Blogbeitrag: Moving Your Organization from a Single Microsoft CA to a Microsoft Recommended PKI.
Vorbereiten der Migration
Migrieren der Zertifizierungsstelle
Sichern der Datenbank der Zertifizierungsstelle und des privaten Schlüssels
Sichern der Registrierungseinstellungen der Zertifizierungsstelle
Entfernen des Zertifizierungsstellen-Rollendiensts vom Quellserver
Hinzufügen des Zertifizierungsstellen-Rollendiensts zum Zielserver
Wiederherstellen der Datenbank und Konfiguration der Zertifizierungsstelle auf dem Zielserver
Zusätzliche Verfahren für Failover-Clusterunterstützung (optional)
Überprüfen der Migration
Aufgaben nach der Migration
Auswirkungen der Migration
Auswirkungen der Migration auf den Quellserver
Die in diesem Handbuch beschriebenen Verfahren für die Zertifizierungsstellenmigration beinhalten das Außerbetriebsetzen des Quellservers, nachdem die Migration abgeschlossen und die Funktion der Zertifizierungsstelle auf dem Zielserver überprüft wurde. Wenn der Quellserver nicht außer Betrieb gesetzt wird, müssen für den Quellserver und den Zielserver unterschiedliche Namen verwendet werden. Wenn sich die Namen von Zielserver und Quellserver unterscheiden, sind zusätzliche Schritte erforderlich, um die Zertifizierungsstellenkonfiguration auf dem Zielserver zu aktualisieren.
Auswirkungen der Migration auf andere Computer im Unternehmen
Während der Migration kann die Zertifizierungsstelle keine Zertifikate ausstellen oder Zertifikatsperrlisten veröffentlichen.
Um sicherzustellen, dass die Sperrstatusüberprüfung während der Zertifizierungsstellenmigration von Domänenmitgliedern ausgeführt werden kann, muss eine Zertifikatsperrliste veröffentlicht werden, die länger als die geplante Dauer der Migration gültig ist.
Da die Erweiterungen des Stelleninformationszugriffs und die Zertifikatsperrlisten-Verteilungspunkterweiterungen von zuvor ausgestellten Zertifikaten möglicherweise auf den Namen der Quellzertifizierungsstelle verweisen, müssen Sie entweder weiterhin Zertifizierungsstellenzertifikate und Zertifikatsperrlisten am gleichen Speicherort veröffentlichen oder eine Umleitungslösung bereitstellen. Ein Beispiel für die Konfiguration der IIS-Umleitung finden Sie im Thema Umleiten von Websites in IIS 6.0.
Erforderliche Berechtigungen zum Durchführen der Migration
Um eine Unternehmenszertifizierungsstelle oder eine eigenständige Zertifizierungsstelle auf einem Domänenmitgliedscomputer zu installieren, müssen Sie ein Mitglied der Gruppe "Organisations-Admins" oder "Domänen-Admins" in der Domäne sein. Um eine eigenständige Zertifizierungsstelle auf einem Server zu installieren, der kein Domänenmitglied ist, müssen Sie ein Mitglied der lokalen Gruppe "Administratoren" sein. Für das Entfernen des Zertifizierungsstellen-Rollendiensts vom Quellserver gelten die gleichen Anforderungen bezüglich der Gruppenmitgliedschaft wie für die Installation.
Geschätzte Dauer
Im einfachsten Fall nimmt die Zertifizierungsstellenmigration in der Regel ein bis zwei Stunden in Anspruch. Die tatsächliche Dauer der Zertifizierungsstellenmigration hängt von der Anzahl von Zertifizierungsstellen und der Größe der Datenbanken der Zertifizierungsstellen ab.