Migreringsguide för Active Directory-certifikattjänster för Windows Server 2012 R2

 

Gäller för: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

Om den här guiden

Det här dokumentet innehåller vägledning för att migrera en certifikatutfärdare (CA) till en server som kör Windows Server 2012 R2 från en server som kör Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 eller Windows Server 2003.

Målgrupp

• Administratörer och IT-operationstekniker som ansvarar för att planera och utföra CA-migrering.

• Administratörer och IT-operationstekniker som ansvarar för den dagliga driften och felsökning av nätverk, servrar, klientdatorer, operativsystem eller program.

• IT-verksamhetschefer som ansvarar för att hantera nätverk och serverar.

• IT-arkitekter som ansvarar för datorhanteringen och säkerheten inom en organisation.

Migreringsscenarier som stöds

Den här guiden innehåller anvisningar för att migrera en befintlig server som kör Active Directory®-certifikattjänster (AD CS) till en server som kör Windows Server 2008 R2 eller Windows Server 2012 R2. Guiden innehåller inte instruktioner för migrering när flera roller körs på källservern. Om servern kör flera roller bör du utforma en anpassad migreringsprocedur som är specifik för servermiljön, baserad på informationen i andra handböcker för rollmigrering. Migreringsguider för andra serverroller finns i Migrera roller och funktioner i Windows Server (https://go.microsoft.com/fwlink/?LinkID=128554).

Information

Den här guiden kan användas för att migrera en CA från en källserver som också är en domänkontrollant till en målserver med ett annat namn. Migrering av en domänkontrollant omfattas dock inte av den här guiden. Information om migrering av Active Directory Domain Services (AD DS) finns i Migreringsguide för Active Directory Domain Services och DNS-server (https://go.microsoft.com/fwlink/?LinkId=179357).

Operativsystem som stöds

Den här guiden stöder migrering från källservrar som kör operativsystemversionerna och servicepack som visas i följande tabell. Alla migreringar som beskrivs i det här dokumentet förutsätter att målservern kör Windows Server 2012 R2 så som anges i följande tabell.

Källserverprocessor	Operativsystem för källserver	Operativsystem för målserver	Målserverprocessor
x64-baserade	Windows Server 2012 R2	Windows Server 2012 R2, endast server med ett grafiskt användargränssnitt (inte Server Core eller reducerat servergränssnitt)	x64-baserade
x64-baserade	Windows Server 2012	Windows Server 2012 R2 eller Windows Server 2012, endast server med ett grafiskt användargränssnitt (inte Server Core eller reducerat servergränssnitt)	x64-baserade
x64-baserade	Windows Server 2008 R2	Windows Server 2012 R2 eller Windows Server 2012, endast server med ett grafiskt användargränssnitt (inte Server Core eller reducerat servergränssnitt) eller Windows Server 2008 R2, både fullständig och Server Core-installation	x64-baserade
x86- eller x64-baserade	Windows Server 2008	Windows Server 2012 R2 eller Windows Server 2012, endast server med ett grafiskt användargränssnitt (inte Server Core eller reducerat servergränssnitt) eller Windows Server 2008 R2, både fullständig och Server Core-installation	x64-baserade
x86- eller x64-baserade	Windows Server 2003 R2	Windows Server 2012 R2 eller Windows Server 2012, endast server med ett grafiskt användargränssnitt (inte Server Core eller reducerat servergränssnitt) eller Windows Server 2008 R2, både fullständig och Server Core-installation	x64-baserade
x86- eller x64-baserade	Windows Server 2003 med Service Pack 2	Windows Server 2012 R2 eller Windows Server 2012, endast server med ett grafiskt användargränssnitt (inte Server Core eller reducerat servergränssnitt) eller Windows Server 2008 R2, både fullständig och Server Core-installation	x64-baserade

Information

Uppgraderingar på plats direkt från Windows Server 2003 med Service Pack 2 eller Windows Server 2003 R2 till Windows Server 2012 R2 stöds inte. Om du kör en x64-baserad dator kan du uppgradera CA-rolltjänsten från Windows Server 2003 med Service Pack 2 eller Windows Server 2003 R2 till Windows Server 2008 eller Windows Server 2008 R2 först och därefter uppgradera till Windows Server 2012 R2 eller Windows Server 2012.

Vad du inte lär dig i den här guiden

• Procedurer för att uppgradera till Windows Server 2012 R2, Windows Server 2012 eller Windows Server 2008 R2

• Procedurer för att migrera ytterligare serverroller

• Procedurer för att migrera ytterligare AD CS-rolltjänster

I allmänhet krävs inte migrering för följande AD CS-rolltjänster. I stället kan du installera och konfigurera rolltjänsterna på datorer som kör Windows Server 2008 R2 eller Windows Server 2012 genom att slutföra installationen av respektive rolltjänst. Mer information om hur CA-migrering påverkar andra AD CS-rolltjänster finns i Konsekvenserna av migrering på andra datorer i företaget.

• Webbregistrering för certifikatutfärdare (https://go.microsoft.com/fwlink/?LinkId=179360)

• Onlinesvarare (https://go.microsoft.com/fwlink/?LinkId=143098)

• Registrering av nätverksenheter (https://go.microsoft.com/fwlink/?LinkId=179362)

• Webbtjänster för certifikatregistrering (https://go.microsoft.com/fwlink/?LinkId=179363)

Översikt över CA-migrering

Migrering av certifikatutfärdare (CA) omfattar flera procedurer som tas upp i följande avsnitt.

Varning

Under migreringsproceduren blir du uppmanad att inaktivera din befintliga certifikatutfärdare (antingen datorn eller åtminstone CA-tjänsten). Du uppmanas att namnge din mål-CA med samma namn som du använde för din ursprungliga CA. Datornamnet (värdnamnet eller NetBIOS-namnet) behöver inte matcha namnet på din ursprungliga CA. Men namnet på ditt mål-CA måste matcha med namnet på din käll-CA. Dessutom får namnet på ditt mål-CA inte vara identiskt med måldatorns namn.

Information
Det går att installera en ny PKI-hierarki och samtidigt fortsätta utnyttja en befintlig PKI-hierarki. Detta kräver dock att du utformar en ny PKI, något som inte tas upp i den här guiden. En informell översikt över hur dubbel PKI kan fungera för en organisation finns i följande blogginlägg i Ask DS: Moving Your Organization from a Single Microsoft CA to a Microsoft Recommended PKI.

Förbereda migrering

• Förbereda målservern

• Säkerhetskopiera källservern

• Förbereda källservern

Migrera certifikatutfärdaren

• Säkerhetskopiera en CA-databas och den privata nyckeln

• Säkerhetskopiera registerinställningar för CA

• Säkerhetskopiera CAPolicy.inf

• Ta bort CA-rolltjänsten från källservern

• Ta bort källservern från domänen

• Ansluta målservern till domänen

• Lägga till CA-rolltjänsten på målservern

• Återställa CA-databasen och konfigurationen på målservern

• Bevilja behörigheter på AIA- och CDP-behållare

• Ytterligare procedurer för redundansklustring (valfritt)

Verifiera migreringen

• Verifiera certifikatregistrering

• Verifiera CRL-publicering

Åtgärder efter migreringen

• Uppgradera certifikatmallar i Active Directory Domain Services (AD DS)

• Hämta certifikat efter ett värdnamn ändras

• Återställa Active Directory-certifikattjänster (AD CS) till källservern i händelse av migreringsfel

• Felsöka migrering

Effekt av migrering

Konsekvenser av migreringen på källservern

CA-migreringsprocedurerna som beskrivs i den här guiden inkluderar att avveckla källservern när migreringen är klar och CA-funktionerna på målservern har verifierats. Om källservern inte avvecklas måste källservern och målservern ha olika namn. Ytterligare åtgärder krävs för att uppdatera CA-konfigurationen på målservern om namnet på målservern skiljer sig från namnet på källservern.

Konsekvenserna av migrering på andra datorer i företaget

Under migreringen kan certifikatutfärdaren inte utfärda certifikat eller publicera listor över återkallade certifikat.

Det är viktigt att publicera en lista över återkallade certifikat som är giltig längre än migreringens planerade varaktighet, så att kontroll av återkallningsstatus kan utföras av domänmedlemmar under CA-migreringen.

Det är viktigt att antingen fortsätta publicera CA-certifikat och listor över återkallade certifikat till samma plats eller tillhandahålla en omdirigeringslösning eftersom åtkomst till identifiering av utfärdare och tillägg med distributionsplatser för listor över återkallade certifikat kan hänvisa till källcertifikatutfärdarens namn. Ett exempel på hur du konfigurerar IIS-omdirigering finns i Omdirigera webbplatser i IIS 6.0.

Behörigheter som krävs för att slutföra migreringen

Du måste vara medlem i gruppen Företagsadministratörer eller gruppen Domänadministratörer i domänen för att installera en företagscertifikatutfärdare eller en fristående certifikatutfärdare på en domänmedlemsdator. Du måste vara medlem i den lokala administratörsgruppen för att installera en fristående certifikatutfärdare på en server som inte är domänmedlem. Borttagning av CA-rolltjänsten från källservern har samma krav på gruppmedlemskap som installationen.

Uppskattad varaktighet

Den enklaste CA-migreringen kan normalt slutföras inom en till två timmar. Den verkliga varaktigheten av en CA-migrering beror på antalet CA och storleken på CA-databaser.

Se även

• Förbereda migrering

• Migrera certifikatutfärdaren

• Verifiera migreringen av certifikatutfärdare

• Åtgärder efter migreringen

• Migrera roller och funktioner i Windows Server