Windows Server 2012 R2용 Active Directory 인증서 서비스 마이그레이션 가이드
적용 대상: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
이 가이드 정보
이 문서에서는 Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 또는 Windows Server 2003을 실행 중인 서버에서 Windows Server 2012 R2를 실행 중인 서버로 CA(인증 기관)를 마이그레이션하는 지침을 제공합니다.
대상
CA 마이그레이션 계획 및 수행을 담당하는 관리자 또는 IT 운영 엔지니어
네트워크, 서버, 클라이언트 컴퓨터, 운영 체제 또는 응용 프로그램에 대한 일상적인 관리와 문제 해결을 담당하는 관리자 또는 IT 운영 엔지니어
네트워크 및 서버 관리를 책임지는 IT 운영 관리자
조직 전체의 컴퓨터 관리 및 보안을 담당하는 IT 설계자
지원되는 마이그레이션 시나리오
이 가이드는 AD CS(Active Directory® 인증서 서비스)를 실행하는 기존 서버를 Windows Server 2008 R2 또는 Windows Server 2012 R2를 실행하는 서버로 마이그레이션하는 지침을 제공합니다. 하지만 원본 서버에서 여러 역할을 실행하는 경우에 대한 마이그레이션 지침은 포함되어 있지 않습니다. 서버에서 여러 역할을 실행하는 경우 다른 역할 마이그레이션 가이드의 내용을 참조하여 해당 서버 환경에 적합한 사용자 지정 마이그레이션 절차를 계획해야 합니다. 다른 서버 역할에 대한 마이그레이션 가이드를 보려면 Windows Server에서 역할 및 기능 마이그레이션(https://go.microsoft.com/fwlink/?LinkID=128554)을 참조하세요.
참고
이 가이드를 사용하여 도메인 컨트롤러이기도 한 원본 서버에서 다른 이름의 대상 서버로 CA를 마이그레이션할 수 있습니다. 그러나 이 가이드에서 도메인 컨트롤러의 마이그레이션에 대해 다루지는 않습니다. AD DS(Active Directory 도메인 서비스) 마이그레이션에 대한 자세한 내용은 Active Directory 도메인 서비스 및 DNS 서버 마이그레이션 가이드(https://go.microsoft.com/fwlink/?LinkId=179357)를 참조하세요.
지원되는 운영 체제
이 가이드에서는 다음 표에 나열된 운영 체제 버전 및 서비스 팩을 실행하는 원본 서버에서의 마이그레이션을 지원합니다. 이 문서에 설명된 모든 마이그레이션에서는 대상 서버가 다음 표에 지정된 대로 Windows Server 2012 R2를 실행하고 있다고 가정합니다.
원본 서버 프로세서 |
원본 서버 운영 체제 |
대상 서버 운영 체제 |
대상 서버 프로세서 |
|---|---|---|---|
x64 기반 |
Windows Server 2012 R2 |
Windows Server 2012 R2, GUI만 포함하는 서버(Server Core 또는 최소 서버 인터페이스 제외) |
x64 기반 |
x64 기반 |
Windows Server 2012 |
Windows Server 2012 R2 또는 Windows Server 2012, GUI만 포함하는 서버(Server Core 또는 최소 서버 인터페이스 제외) |
x64 기반 |
x64 기반 |
Windows Server 2008 R2 |
Windows Server 2012 R2 또는 Windows Server 2012, GUI만 포함하는 서버(Server Core 또는 최소 서버 인터페이스 제외) 또는 Windows Server 2008 R2, 전체 및 Server Core 설치 옵션 |
x64 기반 |
x86 기반 또는 x64 기반 |
Windows Server 2008 |
Windows Server 2012 R2 또는 Windows Server 2012, GUI만 포함하는 서버(Server Core 또는 최소 서버 인터페이스 제외) 또는 Windows Server 2008 R2, 전체 및 Server Core 설치 옵션 |
x64 기반 |
x86 기반 또는 x64 기반 |
Windows Server 2003 R2 |
Windows Server 2012 R2 또는 Windows Server 2012, GUI만 포함하는 서버(Server Core 또는 최소 서버 인터페이스 제외) 또는 Windows Server 2008 R2, 전체 및 Server Core 설치 옵션 |
x64 기반 |
x86 기반 또는 x64 기반 |
Windows Server 2003 서비스 팩 2 |
Windows Server 2012 R2 또는 Windows Server 2012, GUI만 포함하는 서버(Server Core 또는 최소 서버 인터페이스 제외) 또는 Windows Server 2008 R2, 전체 및 Server Core 설치 옵션 |
x64 기반 |
참고
Windows Server 2003 서비스 팩 2 또는 Windows Server 2003 R2에서 직접 Windows Server 2012 R2로 현재 위치 업그레이드는 지원되지 않습니다. X64 기반 컴퓨터를 실행하는 경우 CA 역할 서비스는 Windows Server 2003 서비스 팩 2 또는 Windows Server 2003 R2에서 Windows Server 2008 또는 Windows Server 2008 R2로 먼저 업그레이드한 후 Windows Server 2012 R2 또는 Windows Server 2012로 업그레이드할 수 있습니다.
이 가이드에서 설명하지 않는 정보
Windows Server 2012 R2, Windows Server 2012 또는 Windows Server 2008 R2로 업그레이드하는 절차
추가 서버 역할을 마이그레이션하는 절차
추가 AD CS 역할 서비스를 마이그레이션하는 절차
일반적으로 다음 AD CS 역할 서비스에는 마이그레이션이 필요 하지 않습니다. 대신 역할 서비스 설치 절차를 완료하여 Windows Server 2008 R2 또는 Windows Server 2012를 실행하는 컴퓨터에 이러한 역할 서비스를 설치하고 구성할 수 있습니다. 다른 AD CS 역할 서비스에 대해 CA 마이그레이션이 미치는 영향에 대한 자세한 내용은 회사의 다른 컴퓨터에 대한 마이그레이션의 영향을 참조하세요.
CA 마이그레이션 개요
CA(인증 기관) 마이그레이션에는 여러 절차가 포함되며, 다음 섹션에서 설명합니다.
경고
마이그레이션 절차 중에는 기존 CA(컴퓨터 또는 최소한 CA 서비스)를 해제하라는 메시지가 표시됩니다. 원래 CA에 사용한 것과 동일한 이름으로 대상 CA 이름을 지정하라는 메시지가 표시됩니다. 컴퓨터 이름(호스트 이름 또는 NetBIOS 이름)은 원래 CA와 일치하지 않아도 됩니다. 그러나 대상 CA 이름은 원본 CA 이름과 일치해야 합니다. 또한 대상 CA 이름은 대상 컴퓨터 이름과 동일해서는 안 됩니다.
참고
기존 PKI 계층을 사용하는 동안에는 새 PKI 계층을 설치할 수 없습니다. 그러나 이렇게 하려면 새 PKI를 디자인해야 하는데, 이 가이드에서는 이 내용을 다루지 않습니다. 이중 PKI를 조직에 사용할 수 있는 방법에 대한 비공식적인 개요는 Ask DS 블로그 게시물을 참조 하세요.: Microsoft CA에서 Microsoft 권장 PKI로 조직을 전환하기.
마이그레이션 준비
인증 기관 마이그레이션
마이그레이션 확인
마이그레이션 후 작업
마이그레이션의 영향
원본 서버에 대한 마이그레이션의 영향
이 가이드에서 설명하는 CA 마이그레이션 절차에는 마이그레이션이 완료되고 대상 서버에서 CA 기능이 확인된 후 원본 서버의 서비스 해제가 포함됩니다. 원본 서버가 서비스 해제되지 않을 경우 원본 서버와 대상 서버의 이름이 달라야 합니다. 대상 서버의 이름이 원본 서버의 이름과 다른 경우 대상 서버에서 CA 구성을 업데이트하려면 추가 단계가 필요합니다.
회사의 다른 컴퓨터에 대한 마이그레이션의 영향
마이그레이션하는 동안에는 CA에서 인증서를 발급하거나 CRL을 게시할 수 없습니다.
CA 마이그레이션 중 도메인 구성원이 해지 상태 확인을 수행할 수 있도록 하려면 계획된 마이그레이션 기간 동안 유효한 CRL을 게시해야 합니다.
이전에 발급한 인증서의 기관 식별 액세스 및 CRL 배포 지점 확장에서 원본 CA의 이름을 참조할 수 있으므로 CA 인증서 및 CRL을 계속 동일한 위치에 게시하거나 리디렉션 솔루션을 제공해야 합니다. IIS 리디렉션 구성의 예를 보려면 IIS 6.0의 웹 사이트 리디렉션을 참조하세요.
마이그레이션을 완료하는 데 필요한 사용 권한
도메인 구성원 컴퓨터에 엔터프라이즈 CA 또는 독립 실행형 CA를 설치하려면 Enterprise Admins 그룹 또는 도메인의 Domain Admins 그룹의 구성원이어야 합니다. 도메인 구성원이 아닌 서버에 독립 실행형 CA를 설치하려면 로컬 Administrators 그룹의 구성원이어야 합니다. 원본 서버에서 CA 역할 서비스를 제거하는 경우 그룹 구성원 자격 요구 사항이 설치와 동일합니다.
예상 소요 시간
가장 간단한 CA 마이그레이션은 일반적으로 1 ~ 2시간 내에 완료할 수 있습니다. 실제 CA 마이그레이션 기간은 CA 수 및 CA 데이터베이스 크기에 따라 달라집니다.