Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Active Directory траблешутинг. Мигрируем ЦС (часть 3).

В предыдущем посте, передали роли FSMO. Мигрируем Центр Сертификации на рабочий контроллер.

Поднимаем ЦС на втором,  рабочем, контроллере.

Или можно вот так, если в последствии будет необходимо запрашивать сертификаты через Web.

Архивируем ЦС на «битом» контроллере.

Тут что-то пошло не так (добавочная архивация тут не нужна):

Кроме базы данных центра сертификации Microsoft, необходимо выгрузить и настройки, которые хранятся в реестре.

Для этого выгружаем ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

В паке, куда все сохраняем, это должно выглядеть вот так.

Настроим только что установленный ЦС на втором контроллере:

Копируем папку со старого сервера ЦС , указываем путь к нему уже на новом сервере.

Если устанавливали Web компоненту, то будет вот так:

Для проверки Web составляющей: http://dc2.test.loc/certsrv

После настройки параметров ЦС, преступим к его восстановлению. На созданном сервере сертификатов выбираем «Восстановление ЦС»

Выбираем элементы, и указываем путь к папке, в которую произведен экспорт.

Восстановление завершено.

Осталось только восстановить параметры, которые хранятся в реестре.

Как раз для этого мы ранее и экспортировали ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Для импорта открываем файл и добавляем его в реестр. Появится предупреждающее окно. Нажмите “Да” для восстановления ключа реестра.

Видим, что выданные  ранее сертификаты присутствуют. ЭТО УЖЕ КОРОШО…

Удаляем старый ЦС на «мертвом» DC.

Проблема с данной ошибкой при удалении, обсуждается здесь:

https://social.technet.microsoft.com/Forums/ru-RU/0ef12ea2-2a90-436f-ab07-d0324c3d8946/1059107610721083108010901100-ad-ca?forum=WS8ru

Поменял значение в реестре, перезагрузил сервер, не помогло.

Прочитал несколько форумов, не нашел ничего внятного на эту тему…

Оказалось, ларчик просто открывался (это уже было выявлено эмпирическим путем)…

Сначала отдельно удаляем вот этот компонент в единственном числе: Служба регистрации в центре сертификации через Интернет

Потом снова пробуем удалить сам ЦС.

После этого, ЦС благополучно удаляется.

Наконец ЦС удален.

Перенос Центра сертификации закончен. Далее можно будет понизить наш «мертвый» DC1 до обычного сервера, но это уже в последующих повествованиях.

Продолжение следует…

Всем хорошей работы!!!

18.04.2019 Posted by | ms windows 2016 | 1 комментарий