Руководство по переносу служб сертификатов Active Directory для Windows Server 2012 R2
Применимо к:Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
Информация о руководстве
В этом документе приводятся инструкции по миграции центра сертификации (ЦС) на сервер, работающий под управлением Windows Server 2012 R2, с сервера, работающего под управлением Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 или Windows Server 2003.
Целевая аудитория
Администраторы или специалисты по работе ИТ-систем, отвечающие за планирование и реализацию миграции ЦС.
Администраторы или специалисты по работе ИТ-систем, отвечающие за повседневное управление сетями, серверами, клиентскими компьютерами, операционными системами и приложениями, а также за устранение связанных с ними неполадок.
Менеджеры по работе ИТ-систем, отвечающие за управление сетями и серверами.
ИТ-архитекторы, отвечающие за управление компьютерами и безопасность во всей организации.
Поддерживаемые сценарии миграции
Данное руководство содержит инструкции по миграции существующего сервера, обеспечивающего работу служб сертификации Active Directory® (AD CS), на сервер, работающий под управлением Windows Server 2008 R2 или Windows Server 2012 R2. Руководство не содержит инструкций по миграции для случая, когда на исходном сервере выполняется несколько ролей. Если сервер выполняет несколько ролей, рекомендуется разработать специальную процедуру миграции для данной серверной среды с использованием информации из других руководств по миграции ролей. Руководства по миграции других ролей сервера см. в разделе Перенос ролей и компонентов на Windows Server (https://go.microsoft.com/fwlink/?LinkID=128554).
Примечание
С помощью данного руководства можно перенести ЦС с исходного сервера, который также является контроллером домена, на сервер назначения с другим именем. Однако в данном руководстве не рассматривается миграция контроллера домена. Сведения о переносе доменных служб Active Directory (AD DS) см. в Руководстве по переносу доменных служб Active Directory и DNS-сервера (https://go.microsoft.com/fwlink/?LinkId=179357).
Поддерживаемые операционные системы
Инструкции настоящего руководства распространяются на миграцию с исходных серверов, работающих под управлением версий операционных систем и пакетов обновления, перечисленных в следующей таблице. Во всех описанных в данном документе процедурах миграции предполагается, что целевой сервер работает под управлением Windows Server 2012 R2, как указано в следующей таблице.
Процессор исходного сервера |
Операционная система исходного сервера |
Операционная система конечного сервера |
Процессор конечного сервера |
|---|---|---|---|
На базе архитектуры x64 |
Windows Server 2012 R2 |
Windows Server 2012 R2, сервер только с графическим интерфейсом пользователя (не установка с основными серверными компонентами или минимальный интерфейс сервера) |
На базе архитектуры x64 |
На базе архитектуры x64 |
Windows Server 2012 |
Windows Server 2012 R2 или Windows Server 2012, сервер только с графическим интерфейсом пользователя (не установка с основными серверными компонентами или минимальный интерфейс сервера) |
На базе архитектуры x64 |
64-разрядный (x64) |
Windows Server 2008 R2 |
Windows Server 2012 R2 или Windows Server 2012, сервер только с графическим интерфейсом пользователя (не установка с основными серверными компонентами или минимальный интерфейс сервера) или Windows Server 2008 R2, полная установка и установка основных серверных компонентов |
На базе архитектуры x64 |
32-разрядный (x86) или 64-разрядный (x64) |
Windows Server 2008 |
Windows Server 2012 R2 или Windows Server 2012, сервер только с графическим интерфейсом пользователя (не установка с основными серверными компонентами или минимальный интерфейс сервера) или Windows Server 2008 R2, полная установка и установка основных серверных компонентов |
На базе архитектуры x64 |
32-разрядный (x86) или 64-разрядный (x64) |
Windows Server 2003 R2 |
Windows Server 2012 R2 или Windows Server 2012, сервер только с графическим интерфейсом пользователя (не установка с основными серверными компонентами или минимальный интерфейс сервера) или Windows Server 2008 R2, полная установка и установка основных серверных компонентов |
На базе архитектуры x64 |
32-разрядный (x86) или 64-разрядный (x64) |
Windows Server 2003 с пакетом обновления 2 (SP2) |
Windows Server 2012 R2 или Windows Server 2012, сервер только с графическим интерфейсом пользователя (не установка с основными серверными компонентами или минимальный интерфейс сервера) или Windows Server 2008 R2, полная установка и установка основных серверных компонентов |
На базе архитектуры x64 |
Примечание
Обновления на месте непосредственно с Windows Server 2003 с пакетом обновления 2 (SP2) или Windows Server 2003 R2 до Windows Server 2012 R2 не поддерживаются. При использовании компьютера на базе архитектуры x64 можно обновить службу роли ЦС с Windows Server 2003 с пакетом обновления 2 (SP2) или Windows Server 2003 R2 сначала до Windows Server 2008 или Windows Server 2008 R2, а затем — до Windows Server 2012 R2 или Windows Server 2012.
Чего в этом руководстве нет
Процедуры обновления до Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2
Процедуры миграции дополнительных ролей сервера
Процедуры миграции дополнительных служб ролей служб сертификации AD
Как правило, миграция не требуется для следующих служб ролей служб сертификации AD. Можно установить и настроить эти службы ролей на компьютерах под управлением Windows Server 2008 R2 или Windows Server 2012, выполнив процедуры установки службы роли. Дополнительные сведения о влиянии переноса ЦС в другие службы ролей служб сертификации AD см. в разделе Влияние переноса на другие компьютеры предприятия.
Регистрации ЦС через Интернет (https://go.microsoft.com/fwlink/?LinkId=179360)
Сетевой ответчик (https://go.microsoft.com/fwlink/?LinkId=143098)
Регистрация сетевых устройств (https://go.microsoft.com/fwlink/?LinkId=179362)
Веб-службы регистрации сертификатов (https://go.microsoft.com/fwlink/?LinkId=179363)
Обзор миграции ЦС
Процесс миграции центра сертификации (ЦС) сертификации состоит из несколько процедур, которые рассматриваются в следующих разделах.
Предупреждение
В процессе миграции потребуется отключить существующий ЦС (либо компьютер, либо службу ЦС). Вам будет предложено присвоить ЦС назначения то же имя, которое используется для исходного ЦС. Имя компьютера (имя узла или NetBIOS-имя) не должно совпадать с исходным ЦС. Однако имя ЦС назначения должно совпадать с имеем исходного ЦС. Кроме того, имя ЦС назначения не должно совпадать с имеем конечного компьютера.
Примечание
Можно установить новую иерархию PKI и по-прежнему использовать существующую иерархию PKI. Однако в этом случае требуется разработать новую инфраструктуру PKI, которая не рассматривается в данном руководстве. Неформальный обзор работы двух PKI в организации см. в записи блога Ask DS Переход организации от одного ЦС Майкрософт на рекомендуемую корпорацией Майкрософт инфраструктуру PKI.
Подготовка к миграции
Миграция центра сертификации
Восстановление базы данных и конфигурации ЦС на сервере назначения
Дополнительные процедуры для отказоустойчивой кластеризации (необязательно)
Проверка миграции
Задачи, выполняемые после миграции
Воздействие миграции
Влияние переноса на исходный сервер
Описанные в данном руководстве процедуры миграции ЦС включают вывод исходного сервера из эксплуатации после завершения миграции и проверки функциональности ЦС на сервере назначения. Если исходный сервер не выводится из эксплуатации, исходный сервер и сервер назначения должны иметь разные имена. Требуется выполнить дополнительные шаги по обновлению конфигурации ЦС на сервере назначения, если имя этого сервера отличается от имени исходного сервера.
Влияние переноса на другие компьютеры предприятия
Во время миграции ЦС не может выдавать сертификаты или публиковать списки отзыва сертификатов.
Чтобы во время миграции ЦС члены домена могли проверять состояние отзыва сертификатов, необходимо опубликовать список отзыва сертификатов, срок действия которого превышает запланированную продолжительность миграции.
Поскольку при обращении для идентификации ЦС, а также в расширениях точек распространений списков отзыва сертификатов для ранее выданных сертификатов, могут использоваться ссылки на имя исходного ЦС, необходимо продолжать публиковать сертификаты ЦС и списки отзыва в том же расположении или разработать решение для перенаправления. Пример настройки перенаправления IIS см. в разделе Перенаправление веб-сайтов в IIS 6.0.
Разрешения, необходимые для осуществления миграции
Чтобы установить ЦС предприятия или автономный ЦС на входящий в домен компьютер, необходимо быть членом группы «Администраторы предприятия» или «Администраторы домена» в данном домене. Чтобы установить автономный ЦС на сервер, не входящий в домен, необходимо быть членом локальной группы «Администраторы». При удалении роли службы ЦС с исходного сервера действуют те же требования к членству в группах, что и при установке.
Оценка длительности
Простейшую процедуру миграции ЦС можно выполнить за один-два часа. Фактическая продолжительность миграции ЦС зависит от количества ЦС и от размеров баз данных ЦС.