Cách di chuyển dịch vụ chứng chỉ Active Directory đúng cách

Tôi có Dịch vụ chứng chỉ Active Directory cài đặt trên một Bộ điều khiển miền Windows 2016. Chúng tôi dự định tăng tốc cửa sổ 2019 phiên bản để thay thế bộ điều khiển miền 2016 của chúng tôi. Chúng ta có một DC có cài đặt dịch vụ ADCS, đặc biệt nó có vai trò của cơ quan cấp chứng chỉ và được thiết lập như là một CA doanh nghiệp (không độc lập).

quá trình tốt nhất cho là gì di chuyển các dịch vụ AD CS sang máy chủ mới 2019 này và ngừng hoạt động server hosting AD CS 2016? Theo bài viết này, nó có vẻ giống như một bản sao lưu đơn giản, thêm vai trò/tính năng ADCS và khôi phục dữ liệu somr nhưng có lẽ tôi đang đơn giản hóa mọi thứ - https://4sysops.com/archives/migrate-ad-certificate-services-to-a-new-server/.

Mối quan tâm của tôi là điều gì sẽ xảy ra với các chứng chỉ mà chúng tôi đã ký với máy chủ CA hiện có và đang được sử dụng tích cực? Chúng sẽ tiếp tục hoạt động và/hoặc có hiệu lực nếu CA ngừng hoạt động, mặc dù chỉ là tạm thời? Tên được gán cho CA tách biệt với tên máy chủ của máy chủ hiện đang lưu trữ AD CS, vì vậy máy chủ 2019 có tên máy chủ khác nhau được chỉ định không phải là một vấn đề, đúng không?

Nếu có ai đã trải qua điều này trước đây hoặc có một số đề xuất/mẹo hữu ích, tôi sẽ đánh giá rất cao điều đó!

> máy chủ 2019 được gán một tên máy chủ khác không phải là vấn đề, đúng không?

Thật không may, nó không đúng chút nào.
Di chuyển Cơ quan cấp chứng chỉ sang một máy chủ mới có cùng tên là một quá trình khá đơn giản, nhưng nó khó khăn hơn rất nhiều nếu máy chủ mới có tên khác.

Ngoài ra, việc lưu trữ Cơ quan cấp chứng chỉ trên Bộ điều khiển miền chắc chắn không được khuyến nghị, cuối cùng nhưng không kém phần quan trọng vì bạn không thể thăng cấp, giáng cấp hoặc đổi tên máy chủ đang lưu trữ CA; bạn thực sự nên tận dụng cơ hội này để tách biệt hai vai trò trên hai máy chủ khác nhau.

Làm thế nào để làm điều này một cách thích hợp:

• Cài đặt một máy chủ mới với một tên mới và tham gia nó vào miền.
• Thăng cấp máy chủ mới lên Bộ điều khiển miền; đảm bảo cài đặt DNS và biến nó thành Danh mục toàn cầu.
• Thực hiện sao lưu CA của Tổ chức phát hành chứng chỉ của bạn, bao gồm cả chứng chỉ gốc.
• Xóa AD CS khỏi máy chủ cũ.
• Di chuyển tất cả các vai trò FSMO sang máy chủ mới.
• Định cấu hình cả hai máy chủ và tất cả các máy tính thành viên miền để sử dụng máy chủ mới làm DNS chính của chúng (hoặc hoán đổi địa chỉ IP của hai máy chủ).
• Hạ cấp máy chủ cũ.
• Xóa máy chủ cũ khỏi miền (hoặc, nếu bạn cần giữ nó trong một thời gian, hãy đổi tên nó để giải phóng tên của nó).
• Cài đặt thêm một máy chủ mới có cùng tên với máy chủ cũ; tham gia nó vào miền.
• Cài đặt AD CS trên máy chủ mới bằng chứng chỉ gốc hiện có và cùng cài đặt CA.
• Khôi phục bản sao lưu CA trên máy chủ mới.

Tất nhiên, có một số chi tiết bổ sung; nhưng đây là phác thảo đầy đủ của quá trình.

Ồ, và đừng quên thêm một Bộ điều khiển miền khác. Bạn thực sự không nên chỉ có một trong số họ.

Đọc lại câu hỏi của bạn, thực sự không rõ bạn có bao nhiêu Bộ điều khiển miền; nếu bạn đã có nhiều hơn một trong số chúng, điều này sẽ giúp mọi việc dễ dàng hơn một chút. Tuy nhiên, bạn sẽ vẫn phải tái chế tên máy chủ và bạn không thể hạ cấp hoặc đổi tên máy chủ miễn là máy chủ đó đang lưu trữ một CA; do đó:

• Thực hiện sao lưu CA
• Xóa ADCS
• hạ cấp máy chủ
• Xóa (hoặc đổi tên) máy chủ
• Thêm máy chủ mới có cùng tên
• Cài đặt ADCS
• Khôi phục bản sao lưu CA