Guida alla migrazione di Servizi certificati Active Directory per Windows Server 2012 R2
Si applica a: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
Informazioni sulla guida
Questo documento fornisce materiale sussidiario per la migrazione di un'autorità di certificazione (CA) a un server che esegue Windows Server 2012 R2 da un server che esegue Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 o Windows Server 2003.
Utenti interessati
Amministratori o ingegneri IT responsabili della pianificazione e dell'esecuzione della migrazione di CA.
Amministratori o ingegneri IT responsabili della gestione quotidiana e della risoluzione dei problemi relativi a reti, server, computer client, sistemi operativi o applicazioni.
Operations manager IT responsabili della gestione della rete e dei server.
Architetti IT responsabili della sicurezza e della gestione dei computer in un'organizzazione.
Scenari di migrazione supportati
Questa guida fornisce istruzioni per eseguire la migrazione di un server esistente che esegue Servizi certificati Active Directory® a un server che esegue Windows Server 2008 R2 o Windows Server 2012 R2. In questa guida non sono contenute le istruzioni per eseguire la migrazione quando il server di origine esegue più ruoli. Se il server esegue più ruoli, è consigliabile progettare una procedura di migrazione specifica per l'ambiente server esistente, sulla base delle informazioni disponibili in altre guide alla migrazione dei ruoli. Per visualizzare le guide alla migrazione per altri ruoli del server, vedere Migrazione dei ruoli e delle funzionalità in Windows Server (https://go.microsoft.com/fwlink/?LinkID=128554).
Nota
Le informazioni contenute in questa guida consentono di eseguire la migrazione di una CA da un server di origine che è anche controller di dominio a un server di destinazione con un nome differente. La migrazione di un controller di dominio tuttavia non è argomento di questa guida. Per informazioni sulla migrazione di Servizi di dominio Active Directory (AD DS), vedere Guida alla migrazione dei ruoli server Servizi di dominio Active Directory e DNS (https://go.microsoft.com/fwlink/?LinkId=179357).
Sistemi operativi supportati
Le informazioni contenute in questa guida consentono di eseguire migrazioni da server di origine che eseguono versioni e Service Pack dei sistemi operativi indicati nella tabella che segue. Per tutte le migrazioni descritte in questo documento si presuppone che nel server di destinazione sia in esecuzione Windows Server 2012 R2, come specificato nella tabella seguente.
Processore del server di origine |
Sistema operativo del server di origine |
Sistema operativo del server di destinazione |
Processore del server di destinazione |
|---|---|---|---|
Basato su x64 |
Windows Server 2012 R2 |
Windows Server 2012 R2, solo server con GUI (non Server Core o interfaccia server minima) |
Basato su x64 |
Basato su x64 |
Windows Server 2012 |
Windows Server 2012 R2 o Windows Server 2012, solo server con GUI (non Server Core o interfaccia server minima) |
Basato su x64 |
Basato su x64 |
Windows Server 2008 R2 |
Windows Server 2012 R2 o Windows Server 2012, solo server con GUI (non Server Core o interfaccia server minima) o Windows Server 2008 R2, con opzioni di installazione completa e Server Core |
Basato su x64 |
Basato su x86 o su x64 |
Windows Server 2008 |
Windows Server 2012 R2 o Windows Server 2012, solo server con GUI (non Server Core o interfaccia server minima) o Windows Server 2008 R2, con opzioni di installazione completa e Server Core |
Basato su x64 |
Basato su x86 o su x64 |
Windows Server 2003 R2 |
Windows Server 2012 R2 o Windows Server 2012, solo server con GUI (non Server Core o interfaccia server minima) o Windows Server 2008 R2, con opzioni di installazione completa e Server Core |
Basato su x64 |
Basato su x86 o su x64 |
Windows Server 2003 con Service Pack 2 |
Windows Server 2012 R2 o Windows Server 2012, solo server con GUI (non Server Core o interfaccia server minima) o Windows Server 2008 R2, con opzioni di installazione completa e Server Core |
Basato su x64 |
Nota
Gli aggiornamenti sul posto direttamente da Windows Server 2003 con Service Pack 2 o Windows Server 2003 R2 a Windows Server 2012 R2 non sono supportati. Se si usa un computer basato su x64, è possibile aggiornare prima il servizio ruolo CA da Windows Server 2003 con Service Pack 2 o Windows Server 2003 R2 a Windows Server 2008 o Windows Server 2008 R2 e quindi eseguire l'aggiornamento a Windows Server 2012 R2 o Windows Server 2012.
Informazioni non contenute in questa guida
Procedure per l'aggiornamento a Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2
Procedure per la migrazione di ruoli server aggiuntivi
Procedure per la migrazione di ruoli server AD CS aggiuntivi
In generale, la migrazione non è richiesta per i servizi ruolo AD CS seguenti. Al contrario, è possibile installare e configurare questi servizi ruolo in computer che eseguono Windows Server 2008 R2 o Windows Server 2012 completando le procedure di installazione dei servizi ruolo. Per informazioni sull'impatto della migrazione CA su altri servizi ruolo Servizi certificati Active Directory, vedere Impatto della migrazione su altri computer nell'organizzazione.
Configurare il supporto della registrazione Web per l'Autorità di certificazione (https://go.microsoft.com/fwlink/?LinkId=179360)
Risponditore in linea (https://go.microsoft.com/fwlink/?LinkId=143098)
Configurare il servizio Registrazione dispositivi di rete (https://go.microsoft.com/fwlink/?LinkId=179362)
Impostare il Servizio Web di registrazione certificati (https://go.microsoft.com/fwlink/?LinkId=179363)
Panoramica della migrazione CA
La migrazione di un'autorità di certificazione (CA) implica varie procedure, illustrate nelle sezioni seguenti.
Avviso
Durante la procedura di migrazione, viene chiesto di disattivare la CA esistente (il computer o almeno il servizio CA). È necessario assegnare alla CA di destinazione lo stesso nome usato per la CA originale. Il nome computer, (nome host o nome NetBIOS) non deve corrispondere a quello della CA originale. Il nome della CA di destinazione deve però corrispondere a quello della CA di origine. Inoltre, il nome della CA di destinazione deve essere diverso dal nome computer di destinazione.
Nota
È possibile installare una nuova gerarchia Infrastruttura a chiave pubblica (PKI), sfruttandone allo stesso tempo una esistente. In questo modo è però necessario progettare una nuova PKI, che non viene descritta in questa guida. Per una panoramica informale del funzionamento di una doppia PKI in un'organizzazione, vedere il post di blog di Ask DS seguente relativo al passaggio dell'organizzazione da una singola CA Microsoft a una PKI consigliata da Microsoft.
Preparazione per la migrazione
Migrazione dell'Autorità di certificazione
Ripristino del database e della configurazione CA nel server di destinazione
Procedure aggiuntive per il clustering di failover (facoltativo)
Verifica della migrazione
Attività post-migrazione
Impatto della migrazione
Impatto della migrazione sul server di origine
Le procedure di migrazione CA descritte in questa guida includono la rimozione delle autorizzazioni del server di origine una volta completata la migrazione e verificato il funzionamento della CA nel server di destinazione. Se non si rimuovono le autorizzazioni dal server di origine, è necessario che i nomi dei server di origine e di destinazione siano differenti. In questo caso, sarà necessario effettuare dei passaggi aggiuntivi per aggiornare la configurazione della CA nel server di destinazione.
Impatto della migrazione su altri computer nell'organizzazione
Durante la migrazione la CA non può emettere certificati o pubblicare CRL.
Per assicurare ai membri di dominio la possibilità di eseguire il controllo dello stato di revoca durante la migrazione della CA, è importante pubblicare un CRL la cui validità sia superiore alla durata pianificata della migrazione.
Poiché le estensioni di accesso al punto di distribuzione CRL e all'identificazione dell'autorità di certificati emessi in precedenza possono fare riferimento al nome della CA di origine, è importante o continuare a pubblicare certificati CA e CRL nello stesso percorso o fornire una soluzione di reindirizzamento. Per un esempio di configurazione del reindirizzamento IIS, vedere Reindirizzamento di siti Web in IIS 6.0.
Autorizzazioni richieste per completare la migrazione
Per installare una CA dell'organizzazione (Enterprise) o una CA autonoma (Standalone) in un computer membro di dominio, è necessario essere un membro del gruppo Enterprise Admins o Domain Admins nel dominio. Per installare una CA autonoma (Standalone) in un server che non è un membro del dominio, è necessario essere un membro del gruppo Administrators locale. La rimozione del servizio ruolo CA dal server di origine ha gli stessi requisiti di appartenenza a un gruppo dell'installazione.
Durata stimata
Il processo di migrazione della CA più semplice richiede in genere da una a due ore. La durata effettiva della migrazione delle CA dipende dal numero di CA e dalle dimensioni del database CA.