Guia de Migração de Serviços de Certificados do Active Directory para Windows Server 2012 R2
Aplica-se a: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
Sobre este guia
Este documento apresenta diretrizes sobre como migrar uma AC (autoridade de certificação) para um servidor que executa o Windows Server 2012 R2 de um servidor que executa o Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 ou Windows Server 2003.
Público-alvo
Administradores ou engenheiros de operações de TI responsáveis por planejar e executar a migração de AC.
Administradores ou engenheiros de operações de TI responsáveis pelos procedimentos diários de gerenciamento e solução de problemas de redes, servidores, computadores cliente, sistemas operacionais ou aplicativos.
Gerentes de operações de TI responsáveis pela administração da rede e dos servidores.
Arquitetos de TI responsáveis pelo gerenciamento e a segurança de computadores em uma organização.
Cenários de migração com suporte
Este guia apresenta instruções de como migrar um servidor existente que está executando o AD CS (Serviços de Certificados do Active Directory®) para um servidor com o Windows Server 2008 R2 ou o Windows Server 2012 R2. Este guia não contém instruções de migração quando o servidor de origem executa várias funções. Se o seu servidor estiver executando várias funções, você deve projetar um procedimento de migração personalizado que seja específico para o ambiente do servidor, de acordo com as informações fornecidas nos outros guias de migração de função. Para exibir os guias de migração de outras funções de servidor, consulte Migrando funções e recursos no Windows Server (https://go.microsoft.com/fwlink/?LinkID=128554).
Dica
Este guia pode ser utilizado para migrar uma autoridade de certificação de um servidor de origem que também é um controlador de domínio para um servidor de destino com outro nome. No entanto, a migração de um controlador de domínio não é abordada por este guia. Para obter informações sobre a migração do AD DS (Serviços de Domínio Active Directory), consulte o Guia de Migração dos Serviços de Domínio Active Directory e do Servidor DNS (https://go.microsoft.com/fwlink/? LinkId=179357) (a página pode estar em inglês).
Sistemas operacionais compatíveis
Este guia dá suporte a migrações de servidores de origem que executam as versões de sistema operacional e service packs listados na tabela a seguir. Todas as migrações descritas neste documento pressupõem que o servidor de destino está em execução no Windows Server 2012 R2 conforme especificado na tabela a seguir.
Processador do servidor de origem |
Sistema operacional do servidor de origem |
Sistema operacional do servidor de destino |
Processador do servidor de destino |
|---|---|---|---|
Com base em x64 |
Windows Server 2012 R2 |
Windows Server 2012 R2, servidor somente com GUI (não o Server Core ou Interface de servidor mínima) |
Com base em x64 |
Com base em x64 |
Windows Server 2012 |
Windows Server 2012 R2 ou Windows Server 2012, servidor somente com GUI (não o Server Core ou Interface de servidor mínima) |
Com base em x64 |
Com base em x64 |
Windows Server 2008 R2 |
Windows Server 2012 R2ou Windows Server 2012, servidor somente com GUI (não o Server Core ou interface de servidor mínima) ou Windows Server 2008 R2, ambas as opções de instalação, a completa e a Server Core |
Com base em x64 |
Com base em x86 ou em x64 |
Windows Server 2008 |
Windows Server 2012 R2ou Windows Server 2012, servidor somente com GUI (não o Server Core ou interface de servidor mínima) ou Windows Server 2008 R2, ambas as opções de instalação, a completa e a Server Core |
Com base em x64 |
Com base em x86 ou em x64 |
Windows Server 2003 R2 |
Windows Server 2012 R2ou Windows Server 2012, servidor somente com GUI (não o Server Core ou interface de servidor mínima) ou Windows Server 2008 R2, ambas as opções de instalação, a completa e a Server Core |
Com base em x64 |
Com base em x86 ou em x64 |
Windows Server 2003 com Service Pack 2 |
Windows Server 2012 R2ou Windows Server 2012, servidor somente com GUI (não o Server Core ou interface de servidor mínima) ou Windows Server 2008 R2, ambas as opções de instalação, a completa e a Server Core |
Com base em x64 |
Dica
Não há suporte para atualizações in-loco diretamente do Windows Server 2003 com Service Pack 2 ou Windows Server 2003 R2 para o Windows Server 2012 R2. Se você estiver executando um computador x64, poderá atualizar o serviço de função AC do Windows Server 2003 com Service Pack 2 ou Windows Server 2003 R2 para o Windows Server 2008 ou Windows Server 2008 R2 primeiro e, em seguida, atualizar para Windows Server 2012 R2 ou Windows Server 2012.
O que este guia não contém
Procedimentos para atualizar para o Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2
Procedimentos para migrar funções de servidor adicionais
Procedimentos para migrar serviços de função AD CS adicionais
De forma geral, a migração não é necessária para os serviços de função AD CS listados a seguir. Em vez disso, você pode instalar e configurar esses serviços de função em computadores que executam o Windows Server 2008 R2 ou o Windows Server 2012 executando os procedimentos de instalação de serviço de função. Para obter informações sobre o impacto da migração AC em outros serviços de função do AD CS, consulte Impacto da migração em outros computadores da empresa.
Inscrição na Web da autoridade de certificação (https://go.microsoft.com/fwlink/?LinkId=179360) (a página pode estar em inglês)
Respondente Online (https://go.microsoft.com/fwlink/?LinkId=143098) (a página pode estar em inglês)
Inscrição de Dispositivo de Rede (https://go.microsoft.com/fwlink/?LinkId=179362) (a página pode estar em inglês)
Serviços Web de Registro de Certificado (https://go.microsoft.com/fwlink/?LinkId=179363) (a página pode estar em inglês)
Visão geral da migração de autoridade de certificação
A migração de AC (autoridade de certificação) envolve vários procedimentos, que são abordados nas seções a seguir.
Aviso
Durante o procedimento de migração, você será solicitado a desativar sua AC existente (o computador ou, pelo menos, o serviço de AC). Você será solicitado a nomear a AC de destino com o mesmo nome que você usou para a AC original. O nome do computador (nome do host ou nome NetBIOS) não precisa corresponder à AC original. No entanto, o nome da Autoridade de Certificação de destino deve corresponder à AC de origem. Além disso, o nome da Autoridade de Certificação de destino não deve ser idêntico ao nome do computador de destino.
Dica
É possível instalar uma nova hierarquia de PKI aproveitando ainda uma hierarquia de PKI existente. No entanto, fazer isso exige projetar uma PKI nova, o que não é abordado neste guia. Para obter uma visão geral de como uma PKI dupla funcionaria para uma organização, consulte a seguinte postagem do blog Ask DS: Mudando sua organização de uma AC única da Microsoft para uma PKI recomendada da Microsoft.
Preparando-se para migrar
Migrando a autoridade de certificação
Fazendo backup do banco de dados e da chave privada de uma autoridade de certificação
Fazendo backup das configurações do Registro da autoridade de certificação
Removendo o serviço de função Autoridade de Certificação do servidor de origem
Adicionando o serviço de função Autoridade de Certificação ao servidor de destino
Restaurando o banco de dados e a configuração da autoridade de certificação no servidor de destino
Procedimentos adicionais para cluster de failover (opcional)
Verificando a migração
Tarefas pós-migração
Impacto da migração
Impacto da migração no servidor de origem
Os procedimentos de migração de CA descritos neste guia incluem o encerramento do servidor de origem depois que a migração for concluída e a funcionalidade da autoridade de certificação no servidor de destino for verificada. Se o servidor de origem não estiver encerrado, os servidores de origem e de destino deverão ter nomes diferentes. Serão necessárias etapas adicionais para atualizar a configuração da autoridade de certificação no servidor de destino se o nome deste for diferente do nome do servidor de origem.
Impacto da migração em outros computadores da empresa
Durante a migração, a autoridade de certificação não pode emitir certificados nem publicar CRLs.
Para assegurar que a verificação do status de revogação possa ser feita por membros do domínio durante a migração da autoridade de certificação, é importante publicar uma CRL que seja válida vá além da duração planejada da migração.
Como o acesso de identificação de autoridade e as extensões de ponto de distribuição de CRL de certificados emitidos previamente podem fazer referência ao nome da autoridade de certificação de origem, é importante continuar publicando CRLs e certificados de CA no mesmo local ou providenciar uma solução de redirecionamento. Para obter um exemplo de como configurar o redirecionamento do IIS, consulte Redirecionando sites no IIS 6.0.
Permissões necessárias para executar a migração
Para instalar uma autoridade de certificação corporativa ou uma autoridade de certificação autônoma em um computador membro do domínio, você deve ser membro dos grupos Administradores Corporativos ou Admins. do Domínio no domínio. Para instalar uma autoridade de certificação autônoma em um servidor que não é membro do domínio, você deve ser membro do grupo Administradores local. A remoção do serviço de função Autoridade de Certificação do servidor de origem tem os mesmos requisitos de associação de grupo que a instalação.
Duração estimada
A migração de autoridade de certificação mais simples normalmente é concluída no prazo de 1 a 2 horas. A duração real da migração depende do número de autoridades de certificação e do tamanho dos bancos de dados de CA.