none
Migration Win 2008 R2 server auf Win 2019 Server RRS feed

  • Frage

  • Hi Leute,

    Ich habe einen DC mit Windows server 2008 R2, der alle FSMO darauf laufen, auf Windows 2019 server zu migrieren. Dafür habe ich bereits zwei DCs mit Windows 2019 im Einsatz.

    Schema Version und System Schema version muss ich nicht mehr updaten, weil bereits DC mit Windows 2019 im Einsatz ist.

    die beiden sind schon auf 88.

    Meine Schritten:

    1) Transfer alle FSMO auf DC mit Windows 2019

    2) dananch DNS, Site und Services überprüfen und replizieren

    3) DC win 2008 R2 herunterstufen und aus der Domäne nehmen

    Nun habe ich ein Problem wenn ich "dcpromo" auf Win 2008 R2 aufrufe, dann bekomme die folgende Meldung:

    Es heißt nichts anderes, dass ich als erstes "Active Directory Certificate Services" entfernen muss, dann kann ich den DC herunterstufen.

    Das Problem ist, dass ich einen Exchange server 2013, SCCM server, SCOM server  am Laufen haben und die Certificaten dafür laufen auf DC 2008 R2 server.

    Nun möchte ich folgendes wissen:

    1) Kann ich die Certificate samt Registry sichern auf DC win 2008 R2 und auf DC Win 2019 importieren und dannach die Role "Active Directory Certificate Services" auf DC win 2008 R2 entferne und dann dcpormo durchführe? Oder geht es gleichzeit mit zwei Certificate Authority auf DCs nicht?

    2) Wie ist hier am Besten die Vorgehensweise wegen Exchange server und SCCM server?

    Vielen Dank

    Nick

    Dienstag, 12. November 2019 22:33

Alle Antworten

  • Moin,

    die Zertifikate "laufen" nirgends, sie "sind" einfach.

    1. Du kannst die CA selbstverständlich migrieren. Das solltest Du auch tun, denn CA auf DC ist zumindest nicht best practice. Aber. Wenn Du auf supportete Konfigurationen Wert legst, muss der neue Server, auf dem die CA läuft, genau so heißen wie der alte. Die vielfach im Internet beschriebene Migration auf eine andersnamige Maschine funktioniert aber, wenn man in etwa weiß, was man da tut.

    2. Alle ausgestellten Zertifikate bleiben ja auch nach dem Entfernen der CA-Rolle gültig und genießen da Vertrauen, denn dem Zertifikat der CA wird ja weiterhin vertraut. Die Validierung (im einfachsten Fall CRL-Abruf) ist natürlich darauf angewiesen, dass die alten Pfade weiterhin funktionieren, denn sie stehen ja im Zertifikat. Deshalb sollte man auch zumindest den HTTP-CDP mit einem DNS-Alias versehen, dann kann man ihn ohne Downtime umziehen. Ist das bei Dir nicht der Fall und verweisen die Zertifikate auf eine bestimmte Maschine für CDP, so wirst Du mit einer Downtime leben müssen, während der vereinzelt Validierungs-Fehlermeldungen auftreten werden.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 12. November 2019 22:45
  • Hallo,

    danke für die Antwort. Ich habe auch vor den neuen DC so bennen wie der alter. Es gibt einigen Link für migration CA von win 2008 R2 auf win 2019 server. Ich bin mir nicht ganz sicher, wie es laufen soll.

    Denn CA von win 2008 R2 auf win 2019 zu migrieren, ist nicht einfach wegen JET database engine, denn da hat sich beim Win 2019 geändert. Ich glaube man muss ein Zwischenschritt machen und erst auf win 2012 R2 migrieren und dann auf win 2019.

    Hast du einen Link wo ganz gut beschrieben ist, wie man es macht? Mir macht mein Exchange server sorgen.

    Wie geht man hier am besten vor

    Dienstag, 12. November 2019 22:59
  • Moin,

    ich weiß nicht, was sich da so gravierendes geändert haben soll. Letzte Woche bei einem Kunden eine zweistufige PKI von 2008R2 auf 2019 migriert, da gibt es keine Probleme.

    • CA-Datenbank sichern
    • CA-Zertifikat mit Private Key sichern
    • Registry-Zweig sichern
    • ADCS-Rolle deinstallieren
    • DC herunterstufen und entfernen, Replikation abwarten, Entfernung verifizieren
    • 2019er Server mit dem gleichen Namen und IP aufsetzen, zum DC promoten
    • Mit ADSIEdit im PKI-Zweig der Configuration Partition Einträge suchen, die sich auf die CA beziehen, und, falls noch vorhanden, Berechtigungen für das Maschinen-Konto des neuen Servers hinzufügen und die des alten (unaufgelöste SID) entfernen.
    • ADCS-Rolle hinzufügen
    • Bei der CA-Konfiguration"vorhandenen privaten Schlüssel" angeben
    • Datenbank zurückspielen
    • Registry-Backup zurückspielen
    • Web Enrollment Service "konfigurieren".
    • Im IIS "Double Escaping" aktivieren, falls Du Delta-CRLs veröffentlichst.

    Um Deinen Exchange mach Dir keine Sorgen. Die ganze Nummer sollte nicht zu lange dauern, danach ist die CRL wieder erreichbar, und alle sind glücklich. Eine laufende CA ist für die Verifizierung bereits ausgestellter Zertifikate nicht erforderlich, sondern nur der CRL-Eintrag im LDAP und/oder die CRL auf dem Webserver.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 13. November 2019 05:34
  • Moin moin,

    danke schön für die Hilfe. Du schreibst, dass ich die ADCS-Rolle deinstallieren, das ist  meine Frage. Was passiert hier wenn ich ADCS-Rolle mit laufenden Exchange, sccm, scom server? Weil ich in der Zeit gar keine ADCS-Rolle habe.

    Kann ich bevor ich ADCS-Rolle auf wind 2008R2 entferne, erst auf win 2019 ADCS-Rolle neu installieren und CA importieren? Geht es gleichzeitig mit CA? wahrscheinlich nicht.

    Den Punkt habe ich nicht richtig verstanden, was du genau da meinst:

    • Mit ADSIEdit im PKI-Zweig der Configuration Partition Einträge suchen, die sich auf die CA beziehen, und, falls noch vorhanden, Berechtigungen für das Maschinen-Konto des neuen Servers hinzufügen und die des alten (unaufgelöste SID) entfernen.

    Wie finde ich den Eintrag? Ich habe die englische version.

    Meinst du den Eintrag: CN=serives-->CN=Publik Key Services?

    Welcher Eintrag ist es exakt?


    • Bearbeitet mpng2008 Mittwoch, 13. November 2019 08:17
    Mittwoch, 13. November 2019 07:57
  • Moin,

    nein, Du kannst die CA mit der gleichen Identität nicht in einer supporteten Weise installieren, bevor die Maschine dafür nicht den gleichen Namen hat wie vorher - und das wird vor dem Entfernen des jetzigen DC schwer möglich sein.

    Wenn Du die ADCS-Rolle entfernst, passiert erst mal nur soviel, dass keine neuen Zertifikate ausgestellt werden können. Theoretisch müsste auch die CA-Konfiguration aus dem AD (s. oben, Configuration Partition, ADSIEdit) verschwinden, praktisch tut sie das nicht. Das hat zwei Auswirkungen:

    • (positiv) der LDAP-CDP ist weiterhin valide und kann zum Revocation Check herangezogen werden
    • (negativ) die Berechtigungen auf dem LDAP-CDP und auch auf dem LDAP-AIA lauten auf den 2008er DC und sind mit seinem Tausch durch den 2019er verwaist.

    Und damit meine ich folgendes:

    in den folgenden Zweigen:


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 13. November 2019 08:34
  • Hi,

    Ok jetzt weiß ich was du meinst. Was mir nicht ganz klar ist, ist die Berechtigungen. Wie ich bereits erwähnt habe, ich habe zurzeit eine DC mit win 2019 im Einsatz. Wenn ich die Einträge im ADSIEdit im PKI bei win 2088 R2 und win 2019 vergleiche, sind alle indentisch. Wenn ADCS entferne, durfte keine Änderungen ADSIEdit im PKI  im win 2019 geben oder verstehe ich es falsch?

    Hier noch meine Schritte für migration:

    1) Transfers FSMO Rollen von win 2008 R2 auf win 2019(den server habe ich im einsatz)

    2) Backup CA samt Registry PKEY

    3) win 2008 R2 mit dcpromo herunterstufen und danach aus der domäne nehmen

    4) einen neuen win 2019 mit gleichen Name wie win 2008 R2 aufsetzen in die dmäne nehmen und promoten

    5) ADCS Rolle auf win 2019 installieren und CA(Registy, DB, PKEY) importieren

    6) In den neuen aufgesetzten win 2019 ADSIEdit im PKI  die Berechtigung checken.

    Wenn ich jetzt auf win 2008 R2 oder win 2019 die ADSIEdit im PKI  checke, sehe ich dort auch keine Berechtigungen für maschinen Konto.

    Wenn ich für den neuen win 2019 den gleichen Namen, dürfte es in ADSIEdit keine Änderungen geben oder?

    Mittwoch, 13. November 2019 09:37
  • Wenn ich für den neuen win 2019 den gleichen Namen, dürfte es in ADSIEdit keine Änderungen geben oder?

    Doch, denn in den Berechtigungslisten steht die SID und nicht der Name. Und die Berechtigungen, die Dich interessieren, sind die auf den Einträgen, nicht auf Containern.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 13. November 2019 10:22
  • Ok wie gesagt, ich sehe zurzeit keine Berechtigungen für maschinen Account. siehe mein Screenshot. Es heißt ich muss mir vorher eine Kopie oder screenshot von alten ADSIEdit im PKI machen? Sonst kann ich ja nicht wissen, was da war.

    Sind meine Schritte OK?

    Mittwoch, 13. November 2019 10:59
  • danke schön.

    Wie ich geschrieben habe, ich sehe zurzeit keine Berechtigung für maschinen Account. Wenn so ist, dann muss ich mir die Berechtigung notieren oder screenshot daraus von alten ADSIEdit im PKI  machen.

    Oder wie kann ich feststellen was es voher auf den alten war?

    danke für die Hilfe und deine Zeit


    • Bearbeitet mpng2008 Mittwoch, 13. November 2019 12:02
    Mittwoch, 13. November 2019 12:00
  • Dein Screenshot bezieht sich auf den Container, meiner auf den Eintrag darin.

    Die Schritte sind soweit OK. 100% Garantie kann man nur geben, wenn man ein typisches Zertifikat aus Deiner PKI gesehen hat.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 13. November 2019 12:28