none
Umzug einer CA von einem 2003-Server-DC auf einen neuen 2008 R2-Server

    Frage

  • Hallo NG,

    ich habe mich bereits ein wenig mit dem Thema befasst, allerdings weichen die bekannten Microsoft-Artikel von unserer Konstellation ab, weshalb ich hier um Rat bitte.

    Wir haben eine Unternehmens-CA auf einem 32-Bit-2003-Server (SP2) installiert, der gleichzeitig u.a. DC ist.
    Nun gilt es, diesen Server abzulösen. Er soll durch einen aktuellen 2008-R2-Server ersetzt werden, der dann auch die Dienste wie DC, DNS und DHCP übernehmen soll.

    Gemäß den gefundenen Artikeln im Web müssen Quell- und Zielserver für den Umzug das gleiche Betriebssystem besitzen und im Anschluss soll dann ein Inplace-Upgrade erfolgen. 

    Meine Fragen sind hier wie folgt:

    1. Wenn ich den Zielserver nun zunächst auf 2003-Server installiere, muss ich sicher auch die x64-Plattform verwenden, weil das Inplace-Upgrade auf 2008-R2 sonst nicht möglich ist - oder doch?
    2. Wie wäre die beste Vorgehensweise - ich kann ja den DC auf dem Quellserver nicht deinstallieren, solange die CA noch darauf läuft. Hinzu kommt die Frage, ob es mit der unter http://support.microsoft.com/?id=298138 beschriebenen Vorgehensweise, wo auch der Computername des Zielservers identisch sein muss, nicht zu Problemen kommt hinsichtlich der unterschiedlichen Plattform (x86 auf Quellserver gegenüber x64 auf dem Zielsystem) und der Problematik, dass der Zielserver ja auch neuer DC werden soll?

    Danke vorab für Tipps!

    Michael

    Freitag, 2. März 2012 11:55

Antworten

Alle Antworten

  • Moin,

    ein direkte Update geht nicht. Da ist schon der Zwischenschritt über einen W200364bit von nöten. Ich würde aber Empfehlen, die CA nicht auf einem Domänenkontroller zu betreiben. Das wird dir bei jeder weiteren igration Probleme bereiten. (Es gibt noch mehr Gründe dafür ...)

    Die CA auf ein anderes System völlig umzuziehen ist leider nicht mehr so trivial, da sich dabei dann auch der Servername ändert. In dem Fall müsstest du dann eine neue CA aufbauen, alle Zertifikate die ausgestellt wurden gene neue Zertifikate der neuen CA ausstauchen und danach die alte CA aus dem AD entfernen.

    Der Name einer CA steht auch im Zertifikat der CA. Wenn dieser sich ändert, verliert das Zertifikat seine Gültigkeit ....


    Viele Grüße Carsten

    Montag, 5. März 2012 06:56
  • Hi Carsten,

    danke für die Antwort.
    Das heißt also, es würde funktionieren, den Zielserver (ok, dann einen Nicht-DC) mit 2003x64 vorzubereiten, für das spätere Inplace-Upgrade auf 2008 R2?

    Ich würde ja meinetwegen den Servernamen behalten, aber dazu muss ich ja nach Umzug aller anderen Dienste den Quellserver irgendwann ausschalten, bevor ich den neuen Server identisch benenne. Das wiederum würde ich ja erst nach einem demote der DC-Dienste machen können/wollen und die wiederum lassen sich nicht deinstallieren, weil er ja noch die Zertifikatsdienste installiert hat...

    Einzige Möglichkeit, die ich momentan sehe, ist es, die Zertifikatsdinge zu exportieren, dann auf dem Alt-Server die Zertifikatsdienste zu deinstallieren, im Anschluss den DC demoten, ausschalten, den neuen Server mit installiertem 2003x64 Die Zertifikatsfiles und Registry-Dinge importieren (gem. des MS-Artikels) und ihn dann auf 2008 R2 zu aktualisieren...wow. Wenn das nicht klappt, habe ich keine Zertifikatsdienste mehr, weder auf dem Quell-, noch auf dem Zielserver...

    Gruß
    Michael

    Montag, 5. März 2012 09:41
  • Hallo NG,

    ich habe einen Technet-Artikel "Active Directory Certificate Services Migration Guide" gefunden, der entgegen anderer Artikel und Beiträge den Umzug sowohl auf ein neueres Betriebssystem als auch Architektur unterstützt. Damit konnte ich nun heute Abend die Enterprise-CA erfolgreich umziehen. 

    http://technet.microsoft.com/en-us/library/ee126170(v=ws.10).aspx

    Grüße

    Michael

    Montag, 5. März 2012 22:17
  • Moin,

    sorry ich komme meistens nur Morgens dazu hier was zu schreiben ;)

    Aber freut mich das es funktioniert hat ;)


    Viele Grüße Carsten

    Dienstag, 6. März 2012 06:57