none
CA 由 win2003 srv(32bit) 移轉至 win2012 R2(64bit) RRS feed

  • 問題

  • 目前CA 安裝於 DC1:win2003server(32bit), 用於exchange2003的驗證. 預計要使用exchange online, 將exchange2003淘汰. 所以已經安裝設定了DC2:win2012R2(64bit) 為AD 升級到2012準備. 由於 CA 目前安裝於DC1:win2003server(32bit), 故考慮先將CA移DC2:win2012R2(64bit). 

    我參考了  (Step-By-Step: Migrating The Active Directory Certificate Service From Windows Server 2003 to 2012 R2) https://blogs.technet.microsoft.com/canitpro/2014/11/11/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2003-to-2012-r2/  

    有幾個問題想請問:

    (1) 在備份完成後,要設定新的CA前,就須將舊的CA移除嗎?  

    (2) 如新的CA不能work, 可以再重新安裝回舊的2003server嗎? 

    (3) 在restore CA 和 reg 後, 網址中的 (Step 8: Reissue Certificate Templates)需要執行嗎? 因為我不大了解此意義. 另外: restore CA 和 reg 後是否就完成移轉? 

    (4) 原安裝在user端的 IE 憑證(用於 exchange HTTP 連線), 在user端的憑證 包含了"簽發者" 等資訊, 需要重新安裝嗎? 

    有誤解之處 還希望指正, 謝謝 !!


    2016年6月23日 上午 07:39

解答

  • A1:我個人之前是使用企業根憑證,在安裝新CA,一定是將舊的CA先移除。

    A2:可以,但是建議你先在LAB中練過,因為還原的步驟也差不多。

    A3:要看你是否有自訂的憑證範本要發行。

    A4:不需要。


    Lusheng

    • 已標示為解答 chiaping 2016年6月27日 上午 02:09
    2016年6月23日 下午 11:47
  • 您好,

    DC1:win2003server 降為member server是不會影響CA 根憑證運作的,

    只要不退出網域及不更改電腦名稱就可維持正常運作了.

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 chiaping 2016年6月27日 上午 02:09
    2016年6月27日 上午 01:51
  • 謝謝, 再次測試後, 已確認的確會降級為 "網域成員伺服器".

    還有一問題請教: 當我在 DC1:win2003server(含CA憑證服務)  執行dcpromo 或 dcpromo/ forceremoval . 會出現下列訊息: "您必須先移除憑證服務,才能安裝或移除AD..."  請問降級的方式 是否不正確呢 ? 

    感謝 !!

    不是方法不正確,
    而是那台主機上除了網域服務外,還有憑證服務,
    所以精靈會偵測到而禁止降級

    請先參考下面資料將憑證服務轉至別台,
    才能按正常程序降級網域控制站
    How to migrate CA from Server 2003 to Server 2008 R2


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年8月16日 下午 02:09
    版主

所有回覆

  • A1:我個人之前是使用企業根憑證,在安裝新CA,一定是將舊的CA先移除。

    A2:可以,但是建議你先在LAB中練過,因為還原的步驟也差不多。

    A3:要看你是否有自訂的憑證範本要發行。

    A4:不需要。


    Lusheng

    • 已標示為解答 chiaping 2016年6月27日 上午 02:09
    2016年6月23日 下午 11:47
  • 謝謝回覆.

    有一個想法如下 :將DC1:win2003server 降為member server, 之後將DC2:win2012R2 網域等級升級到 2012.  

    請問:是否在降級後的member server(win2003server)上的CA功能均會運作正常 ?

    謝謝 !!



    • 已編輯 chiaping 2016年6月27日 上午 01:37
    2016年6月27日 上午 01:34
  • 您好,

    DC1:win2003server 降為member server是不會影響CA 根憑證運作的,

    只要不退出網域及不更改電腦名稱就可維持正常運作了.

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 chiaping 2016年6月27日 上午 02:09
    2016年6月27日 上午 01:51
  • 不好意思, 想再確認 :

    我公司的 DC1:win2003server 退出DC後, 會先為 workgroup. 之後才能再加入網域, 成為 member server.

    CA 在成為 member server 後 即可正常嗎 ?! 

    感謝 !


    2016年8月4日 上午 09:13
  • 退出 DC?
    正常狀況下,降級 DC 後會依舊在網域環境,
    變成一般的網域成員伺服器,
    所以應該不會有變成在 Workgroup 的狀況

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年8月4日 上午 10:19
    版主
  • 謝謝, 再次測試後, 已確認的確會降級為 "網域成員伺服器".

    還有一問題請教: 當我在 DC1:win2003server(含CA憑證服務)  執行dcpromo 或 dcpromo/ forceremoval . 會出現下列訊息: "您必須先移除憑證服務,才能安裝或移除AD..."  請問降級的方式 是否不正確呢 ? 

    感謝 !!

    2016年8月16日 上午 08:26
  • 謝謝, 再次測試後, 已確認的確會降級為 "網域成員伺服器".

    還有一問題請教: 當我在 DC1:win2003server(含CA憑證服務)  執行dcpromo 或 dcpromo/ forceremoval . 會出現下列訊息: "您必須先移除憑證服務,才能安裝或移除AD..."  請問降級的方式 是否不正確呢 ? 

    感謝 !!

    不是方法不正確,
    而是那台主機上除了網域服務外,還有憑證服務,
    所以精靈會偵測到而禁止降級

    請先參考下面資料將憑證服務轉至別台,
    才能按正常程序降級網域控制站
    How to migrate CA from Server 2003 to Server 2008 R2


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年8月16日 下午 02:09
    版主