适用于 Windows Server 2012 R2 的 Active Directory 证书服务迁移指南
适用对象:Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
关于本指南
本文档提供有关将证书颁发机构 (CA) 从运行 Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 R2 或 Windows Server 2003 的服务器迁移到运行 Windows Server 2012 R2 的服务器的指南。
目标受众
管理员或 IT 操作工程师负责规划和执行 CA 迁移。
管理员或 IT 操作工程师负责对网络、服务器、客户端计算机、操作系统或应用程序进行日常管理和故障排除。
IT 运营经理负责网络和服务器管理。
负责整个组织中的计算机管理和安全的 IT 架构师。
支持的迁移方案
本指南为你提供将运行 Active Directory® 证书服务 (AD CS) 的现有服务器迁移到运行 Windows Server 2008 R2 或 Windows Server 2012 R2 的服务器的说明。 本指南不包含有关在源服务器运行多个角色时进行迁移的说明。 如果你的服务器运行了多个角色,应根据其他角色迁移指南中提供的信息设计特定于你的服务器环境的自定义迁移过程。 若要查看适用于其他服务器角色的迁移指南,请参阅 迁移 Windows Server 中的角色和功能 (https://go.microsoft.com/fwlink/?LinkID=128554)。
备注
本指南可用于将 CA 从也作为域控制器的源服务器迁移到具有不同名称的目标服务器。 但是,本指南未涵盖域控制器的迁移。 有关 Active Directory 域服务 (AD DS) 迁移的信息,请参阅 Active Directory 域服务和 DNS 服务器迁移指南 (https://go.microsoft.com/fwlink/?LinkId=179357)。
支持的操作系统
本指南支持从运行下表中列出的操作系统版本和服务包的源服务器迁移。 本文档中所述的所有迁移都假定目标服务器正在运行下表中指定的 Windows Server 2012 R2。
源服务器处理器 |
源服务器操作系统 |
目标服务器操作系统 |
目标服务器处理器 |
|---|---|---|---|
基于 x64 |
Windows Server 2012 R2 |
Windows Server 2012 R2,仅具有 GUI 的服务器(不带 Server Core 或最精简服务器界面) |
基于 x64 |
基于 x64 |
Windows Server 2012 |
Windows Server 2012 R2 或 Windows Server 2012,仅具有 GUI 的服务器(不带 Server Core 或最精简服务器界面) |
基于 x64 |
基于 x64 |
Windows Server 2008 R2 |
Windows Server 2012 R2 或 Windows Server 2012,仅具有 GUI 的服务器(不带 Server Core 或最精简服务器界面)或 Windows Server 2008 R2,同时具有完全安装选项和 Server Core 安装选项 |
基于 x64 |
基于 x86 或基于 x64 |
Windows Server 2008 |
Windows Server 2012 R2 或 Windows Server 2012,仅具有 GUI 的服务器(不带 Server Core 或最精简服务器界面)或 Windows Server 2008 R2,同时具有完全安装选项和 Server Core 安装选项 |
基于 x64 |
基于 x86 或基于 x64 |
Windows Server 2003 R2 |
Windows Server 2012 R2 或 Windows Server 2012,仅具有 GUI 的服务器(不带 Server Core 或最精简服务器界面)或 Windows Server 2008 R2,同时具有完全安装选项和 Server Core 安装选项 |
基于 x64 |
基于 x86 或基于 x64 |
带有 Service Pack 2 的 Windows Server 2003 |
Windows Server 2012 R2 或 Windows Server 2012,仅具有 GUI 的服务器(不带 Server Core 或最精简服务器界面)或 Windows Server 2008 R2,同时具有完全安装选项和 Server Core 安装选项 |
基于 x64 |
备注
不支持从 Windows Server 2003 Service Pack 2 或 Windows Server 2003 R2 直接就地升级到 Windows Server 2012 R2。 如果要运行基于 x64 的计算机,则可以先将 CA 角色服务从 Windows Server 2003 Service Pack 2 或 Windows Server 2003 R2 升级到 Windows Server 2008 或 Windows Server 2008 R2,然后再升级到 Windows Server 2012 R2 或 Windows Server 2012。
本指南未提供的内容
升级到 Windows Server 2012 R2、Windows Server 2012 或 Windows Server 2008 R2 的过程
迁移其他服务器角色的过程
迁移其他 AD CS 角色服务的过程
通常,不需要迁移以下 AD CS 角色服务。 而是可以通过完成角色服务安装过程在运行 Windows Server 2008 R2 或 Windows Server 2012 的计算机上安装和配置这些角色服务。 有关 CA 迁移对其他 AD CS 角色服务的影响的信息,请参阅 迁移对企业中的其他计算机的影响。
CA 迁移概述
证书颁发机构 (CA) 迁移涉及多个过程,这些过程将在以下各节中介绍。
警告
在迁移过程中,系统会要求你关闭现有 CA(计算机或至少 CA 服务)。 将要求你使用用于原始 CA 的同一名称命名目标 CA。 计算机名(主机名或 NetBIOS 名称)不必与原始 CA 的计算机名相匹配。 但是,目标 CA 名称必须与源 CA 名称相匹配。 而且,目标 CA 名称不能与目标计算机名相同。
备注
可以安装新的 PKI 层次结构,同时仍利用现有的 PKI 层次结构。 但是,这样做需要设计本指南中未涉及的新 PKI。 有关双 PKI 如何为组织工作的非正式概述,请参阅以下“询问 DS”博客文章:将组织从单个 Microsoft CA 移到 Microsoft 建议使用的 PKI。
准备迁移
迁移证书颁发机构
用于故障转移群集的其他过程(可选)
验证迁移
迁移后任务
迁移的影响
迁移对源服务器的影响
本指南中所述的 CA 迁移过程包括在迁移完成并已验证目标服务器上的 CA 功能后停用源服务器。 如果未停用源服务器,则源服务器和目标服务器必须具有不同的名称。 如果目标服务器的名称不同于源服务器的名称,则还需要执行其他步骤来更新目标服务器上的 CA 配置。
迁移对企业中的其他计算机的影响
在迁移期间,CA 无法颁发证书或发布 CRL。
若要确保域成员在 CA 迁移期间可以执行吊销状态检查,请务必发布在迁移的计划持续时间之外有效的 CRL。
由于以前颁发的证书的颁发机构标识访问和 CRL 分发点扩展可能引用源 CA 的名称,因此必须继续将 CA 证书和 CRL 发布到同一位置,或提供重定向解决方案。 有关配置 IIS 重定向的示例,请参阅在 IIS 6.0 中重定向网站。
完成迁移所需的权限
若要在域成员计算机上安装企业 CA 或独立 CA,你必须是域中 Enterprise Admins 组或 Domain Admins 组的成员。 若要在非域成员的服务器上安装独立 CA,你必须是本地 Administrators 组的成员。 从源服务器中删除 CA 角色服务,与安装具有相同的组成员身份要求。
估计持续时间
最简单的 CA 迁移通常可以在一到两个小时内完成。 CA 迁移的实际持续时间取决于 CA 数目和 CA 数据库的大小。