วิธีโยกย้ายบริการใบรับรอง Active Directory อย่างเหมาะสม

ฉันมี บริการใบรับรอง Active Directory ติดตั้งบน ตัวควบคุมโดเมน Windows 2016. เราวางแผนที่จะปั่นขึ้น วินโดวส์ 2019 อินสแตนซ์เพื่อแทนที่ตัวควบคุมโดเมนปี 2559 ของเรา เรามี หนึ่ง DC ที่ติดตั้งบริการ ADCSโดยเฉพาะอย่างยิ่งมันมี บทบาทผู้ออกใบรับรอง และกำหนดให้เป็น เอ็นเตอร์ไพรส์ CA (ไม่ใช่แบบสแตนด์อโลน)

อะไรคือกระบวนการที่ดีที่สุดสำหรับ การย้ายบริการ AD CS ไปยังเซิร์ฟเวอร์ 2019 ใหม่นี้ และ เลิกใช้งานเซิร์ฟเวอร์ 2016 ที่โฮสต์ AD CS? จากบทความนี้ ดูเหมือนว่าจะเป็นการสำรองข้อมูลอย่างง่าย เพิ่มบทบาท/คุณลักษณะของ ADCS และกู้คืนข้อมูล somr แต่บางทีฉันอาจทำให้สิ่งต่าง ๆ ง่ายเกินไป - https://4sysops.com/archives/migrate-ad-certificate-services-to-a-new-server/.

ข้อกังวลของฉันคือจะเกิดอะไรขึ้นกับใบรับรองที่เราลงนามแล้วกับเซิร์ฟเวอร์ CA ที่มีอยู่และใช้งานอยู่ พวกเขาจะยังคงทำงานต่อไปและ/หรือใช้งานได้หรือไม่หาก CA หยุดทำงานแม้ว่าจะเป็นการชั่วคราวก็ตาม ชื่อที่กำหนดให้กับ CA นั้นแยกจากชื่อโฮสต์ของเซิร์ฟเวอร์ที่กำลังโฮสต์ AD CS ดังนั้นเซิร์ฟเวอร์ 2019 ที่มี ชื่อโฮสต์ที่แตกต่างกัน ที่ได้รับมอบหมายไม่น่าจะมีปัญหา ใช่ไหม?

ถ้าใครเคยผ่านสิ่งนี้มาก่อนหรือมีคำแนะนำ/คำแนะนำที่เป็นประโยชน์ ฉันจะขอบคุณมาก!

> เซิร์ฟเวอร์ปี 2019 ที่มีการกำหนดชื่อโฮสต์ต่างกันไม่น่าจะมีปัญหา ใช่ไหม

น่าเสียดายที่มันไม่ถูกต้องเลย
การย้ายผู้ออกใบรับรองไปยังเซิร์ฟเวอร์ใหม่ที่มีชื่อเดียวกันเป็นกระบวนการที่ค่อนข้างตรงไปตรงมา แต่ก็ได้รับ ยากขึ้นมาก หากเซิร์ฟเวอร์ใหม่มีชื่ออื่น

นอกจากนี้ ไม่แนะนำให้โฮสต์ผู้ออกใบรับรองบนตัวควบคุมโดเมน เพราะคุณไม่สามารถเลื่อนระดับ ลดระดับ หรือเปลี่ยนชื่อเซิร์ฟเวอร์ที่โฮสต์ CA ได้ คุณควรใช้โอกาสนี้แยกสองบทบาทในสองเซิร์ฟเวอร์ที่แตกต่างกัน

ทำอย่างไรจึงจะถูกต้อง:

• ติดตั้งเซิร์ฟเวอร์ใหม่ด้วยชื่อใหม่และเข้าร่วมกับโดเมน
• เลื่อนระดับเซิร์ฟเวอร์ใหม่เป็นตัวควบคุมโดเมน ตรวจสอบให้แน่ใจว่าได้ติดตั้ง DNS และทำให้เป็น Global Catalog
• ทำการสำรองข้อมูล CA ของผู้ออกใบรับรองของคุณ รวมถึงใบรับรองหลัก
• ลบ AD CS ออกจากเซิร์ฟเวอร์เก่า
• ย้ายบทบาท FSMO ทั้งหมดไปยังเซิร์ฟเวอร์ใหม่
• กำหนดค่าทั้งเซิร์ฟเวอร์และคอมพิวเตอร์ของสมาชิกโดเมนทั้งหมดเพื่อใช้เซิร์ฟเวอร์ใหม่เป็น DNS หลัก (หรือสลับที่อยู่ IP ของเซิร์ฟเวอร์ทั้งสอง)
• ลดระดับเซิร์ฟเวอร์เก่า
• ลบเซิร์ฟเวอร์เก่าออกจากโดเมน (หรือหากคุณต้องการเก็บไว้สักระยะหนึ่ง ให้เปลี่ยนชื่อเพื่อให้ชื่อว่าง)
• ติดตั้งเซิร์ฟเวอร์ใหม่เพิ่มเติมโดยใช้ชื่อเดียวกับเซิร์ฟเวอร์เก่า เข้าร่วมกับโดเมน
• ติดตั้ง AD CS บนเซิร์ฟเวอร์ใหม่โดยใช้ใบรับรองหลักที่มีอยู่และการตั้งค่า CA เดียวกัน
• กู้คืนข้อมูลสำรอง CA บนเซิร์ฟเวอร์ใหม่

แน่นอนว่ามีรายละเอียดเพิ่มเติมหลายประการ แต่นี่คือโครงร่างทั้งหมดของกระบวนการ

อ้อ และอย่าลืมเพิ่มตัวควบคุมโดเมนอีกตัว คุณไม่ควรมีเพียงหนึ่งในนั้น

อ่านคำถามของคุณอีกครั้ง ยังไม่ชัดเจนว่าคุณมีตัวควบคุมโดเมนกี่ตัว หากคุณมีมากกว่าหนึ่งรายการ สิ่งนี้จะทำให้ง่ายขึ้นเล็กน้อย แต่คุณยังต้องรีไซเคิลชื่อเซิร์ฟเวอร์ และคุณไม่สามารถลดระดับหรือเปลี่ยนชื่อเซิร์ฟเวอร์ได้ ตราบใดที่เซิร์ฟเวอร์นั้นโฮสต์ CA ดังนั้น:

• ทำการสำรองข้อมูล CA
• ลบ AD CS
• ลดระดับเซิร์ฟเวอร์
• ลบ (หรือเปลี่ยนชื่อ) เซิร์ฟเวอร์
• เพิ่มเซิร์ฟเวอร์ใหม่ด้วยชื่อเดียวกัน
• ติดตั้ง AD CS
• กู้คืนข้อมูลสำรอง CA