Jump to content









Photo

AG-Windows Server 2003 R2 STD-CA-Move...


  • Please log in to reply
12 replies to this topic

#1 agorts

agorts

    IT Pro

  • Members
  • PipPipPip
  • 203 posts

Posted 23 March 2011 - 09:30 PM

Καλησπέρα,


Έχω εγκαταστήσει και χρησιμοποιώ το CA σε ένα server 2003 R2 STD...


Επειδή θέλω να τον κάνω format, πως μπορώ να μεταφέρω ότι χρειάζεται σε ένα νέο CA? Πρέπει να είναι υποχρεωτικά 2003 R2 STD (ο νέος server)?


Ευχαριστώ



#2 agorts

agorts

    IT Pro

  • Members
  • PipPipPip
  • 203 posts

Posted 24 March 2011 - 12:08 AM

Έχω βγάλει το server που έχει το CA εκτός δικτύου (είναι αναμένος, αλλά όχι στυο δίκτυο) και τώρα σε ένα DC λαμβάνω το εξής event:


"Error, Autoenrollment, 16, Automatic certificate enrollment for local system failed to renew one Domain Controller certificate (0x800706ba). The RPC server is unavailable."


Είναι σοβαρό? Θα έχει πρόβλημα ο DC? ή δεν πειράζει ιδιαίτερα, οπότε αφήνω το CA server εκτός δικτύου...



#3 agorts

agorts

    IT Pro

  • Members
  • PipPipPip
  • 203 posts

Posted 25 March 2011 - 12:13 AM

Κανείς?

#4 merlinios

merlinios

    IT Pro

  • Members
  • PipPipPip
  • 349 posts

Posted 25 March 2011 - 02:07 AM

Καλησπέρα,

Έχω εγκαταστήσει και χρησιμοποιώ το CA σε ένα server 2003 R2 STD...

Επειδή θέλω να τον κάνω format, πως μπορώ να μεταφέρω ότι χρειάζεται σε ένα νέο CA? Πρέπει να είναι υποχρεωτικά 2003 R2 STD (ο νέος server)?

Ευχαριστώ



Δεν είναι υποχρεωτικό να είναι 2003 o καινούργιος server ..

Δες εδώ ένα ωραίο άρθρο με τα βήματα που πρέπει να γίνουν για να είναι επιτυχείς η μεταφορά

http://www.scottfeltmann.com/index.php/2010/03/02/move-root-ca-from-w2k3-to-w2k8/



#5 agorts

agorts

    IT Pro

  • Members
  • PipPipPip
  • 203 posts

Posted 25 March 2011 - 01:34 PM

Πράγματι πολύ καλό άρθρο! Ευχαριστώ...

Όσον αφορά το error που παίρνω στο domain controller, από όσο έψαξα δεν πρέπει να με ανησυχεί, οπότε και το αφήνω ως έχει (δηλαδή το CA server εκτός δικτύου)...


#6 ThanosZ

ThanosZ

    IT Pro

  • Members
  • PipPipPip
  • 417 posts

Posted 25 March 2011 - 03:12 PM

Ναι, απλα άσε το AD να θεωρει πως έχει 27 CA's και το autoenrollment το κανει ενας σερβερ στη Δημοκρατία του Νίγηρα. [:D]
How to decommission a ROOT CA Μην το αφήσεις στην τυχη του σε παρακαλώ. Θα εχεις θεμα στο μελλον. Βαλτον στο δίκτυο , και ακολούθησε της οδηγίες της "μαμας". Μετα βάλε τον νεο CA και θα γουργουριζει σα γατακι το AD.



#7 agorts

agorts

    IT Pro

  • Members
  • PipPipPip
  • 203 posts

Posted 27 March 2011 - 04:01 PM

Εννοείται πως θα το κάνω... απλά τον έχω βγάλει από το δίκτυο έως ότου να το κάνω... γιατί λείπω από το γραφείο...



#8 agorts

agorts

    IT Pro

  • Members
  • PipPipPip
  • 203 posts

Posted 27 March 2011 - 08:42 PM

ΟΚ πήρα backup το CA (και export to registry CA config) στο παλιό server και έκανα uninstall το CA... τώρα τον έχω αποσυνδέσει από το δίκτυο πάλι...


Κάποια στιγμή θα χρειαστεί να τον ξανασυνδέσω (το παλιό server) στο δίκτυο για να κάνω uninstall τον Exchange 2003 STD που έχει πάνω του (πρίν τελικά τον κάνω format)...


Υπάρχει περίπτωση να υπάρξει πρόβλημα (όταν μετά από κάποιες ημέρες συνδέσω το παλιό CA server στο δίκτυο) με το νέο CA (win2008R2) που θα εγκαταστήσω...???



#9 ThanosZ

ThanosZ

    IT Pro

  • Members
  • PipPipPip
  • 417 posts

Posted 29 March 2011 - 02:11 AM

Δεν θα εχεις , πιστευω, αρκει να εκανες revoke τα certs του παλιου CA πριντ την απεγκατασταση τοιυ, όπως το περιγραφει η Μαμα. Αλλιως θα γκρινιαζουν οι ΗΥ για τα παλια certs που δεν έχουν γίνει revoked. Αν γινει αυτό θα πρέπει να δεις πως θα μπορέσεις να τα κάνεις revoke, μεσα απο τον νεο.


#10 agorts

agorts

    IT Pro

  • Members
  • PipPipPip
  • 203 posts

Posted 29 March 2011 - 03:05 PM

Μάλλον κάτι μου διαφεύγει... Που το λέει η "Μαμά"? Αλήθεια ποια είναι η "Μαμά"?


Εγώ έκανα αυτά:

  • In the Certification Authority snap-in, right-click the CA name, click All Tasks, and then click Back up CA to start the Certification Authority Backup Wizard.
  • Click Next, and then click Private key and CA certificate.
  • Click Certificate database and certificate database log.
  • Use an empty folder as the backup location. Make sure that the backup folder can be accessed by the new server.
  • Click Next. If the specified backup folder does not exist, the Certification Authority Backup Wizard creates it.
  • Type and then confirm a password for the CA private key backup file.
  • Click Next, and then verify the backup settings. The following settings should be displayed:
  • Private Key and CA Certificate
  • Issued Log and Pending Requests
  • Click Finish.

Next we have to save the registry settings.  To save the registry settings perform the following:

  • Click Start, and then Run.  In the Run field type regedit and click Ok
  • Locate and then right-click the following registry subkey, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration (While you are here, why not take a look at the settings, take a screen shot, make sure they match up in the end)
  • Click Export
  • Save the Registry file in the CA Backup folder that was defined above

Now that we have the database, certificate and registry backed up the next step was to remove Certificate Services from the old computer.  This process is pretty straight forward.  Go into the Control Panel, Add/Remove Programs, Windows Components and remove the Tick from Certificate Authority.  Note Be sure to remove the Certificate Authority from the old computer prior to deploying Certificate Services on the new machine.  If you deploy AD CS first the target CA will become unusable. 



#11 agorts

agorts

    IT Pro

  • Members
  • PipPipPip
  • 203 posts

Posted 03 April 2011 - 04:29 PM

Είναι υποχρεωτικό να γίνει η εγκατάσταση του CA σε domain controller?


Εγώ έχω AD (windows server 2003) αλλά θέλω να βάνω το CA σε ένα server 2008 R2 STD...


Θα υπάρξει κάποιο πρόβλημα? Θεωρώ πως όχι...



#12 ThanosZ

ThanosZ

    IT Pro

  • Members
  • PipPipPip
  • 417 posts

Posted 03 April 2011 - 05:23 PM

Μαμα = Microsoft. Ο hyperlink που σου εστειλα , δειχνει το πως.
Στον 2008 θα πρέπει να εγκαταστήσεις active directory certificate services με οποια services/features αυτό προαπαιτεί. Θα σου τα πει και ο wizard απο μονος του και θα τα εγκαταστησει κι ολας. ο CA μπορει να ειναι member server στο domain σου, κι οχι απαραιτητα ρολο DC.
Μαλλον θα εχεις προβλημα μονον στην περιπτωση που εχεις certificates απο τον παλιο σερβερ και ληξουν, και ζητηθει ανανεωση απο CA που δεν υπάρχει,  εκτος κι αν αυτα γινουν superceed απο τον νεο CA αφου θα ειναι εκδομενα για τον ιδιο λογο. Τοσο βαθια δεν εψαξα νου σου πω την αληθεια.


#13 agorts

agorts

    IT Pro

  • Members
  • PipPipPip
  • 203 posts

Posted 03 April 2011 - 05:45 PM

Τελικά ολοκληρώσα τη διαδικασία... μετέφερα το CA server (DB, key) στο νέο server... το όνομα του CA είναι του παλιού server και η DB έχει τις εγγραφές (issued certificates) που είχε και ο παλιός, οπότε θεωρώ ότι δεν χρειάζεται να κάνω revoke τίποτε...


Ευχαριστώ πάντως...


Εάν κάνω bare metal backup το νέο server, σε περίπτωση που τον χάσω και τον επαναφέρω από το bare metal backup θα είμαι εντάξει?






0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users