Cum să migrați corect serviciile de certificate Active Directory

eu am Servicii de certificate Active Directory instalat pe o Controler de domeniu Windows 2016. Avem de gând să ne învârtim Windows 2019 instanțe pentru a înlocui controlerele noastre de domeniu din 2016. Avem un DC cu servicii ADCS instalate, mai exact are rolul de autoritate de certificare și este stabilit ca un Enterprise CA (nu de sine stătător).

Pentru ce este cel mai bun proces migrarea serviciilor AD CS la acest nou server 2019 și scoaterea din funcțiune a serverului 2016 care găzduiește AD CS? Potrivit acestui articol, pare o copie de rezervă simplă, adăugați rol/funcții ADCS și restaurați datele Somr, dar poate simplific lucrurile prea mult - https://4sysops.com/archives/migrate-ad-certificate-services-to-a-new-server/.

Îngrijorarea mea este ce se întâmplă cu certificatele pe care le-am semnat deja cu serverul CA existent și care sunt în uz activ? Vor continua să funcționeze și/sau să rămână valabile dacă CA este oprită, deși temporar? Numele atribuit CA este separat de numele de gazdă al serverului care găzduiește în prezent AD CS, astfel încât serverul 2019 are un nume de gazdă diferit atribuit nu ar trebui să fie o problemă, nu?

Dacă cineva a trecut prin asta înainte sau are câteva sugestii/sfaturi utile, aș aprecia foarte mult!

> serverul 2019 având un nume de gazdă diferit alocat nu ar trebui să fie o problemă, corect?

Din pacate nu este deloc corect.
Mutarea unei autorități de certificare pe un nou server cu același nume este un proces destul de simplu, dar devine mult mai dificil dacă noul server are un alt nume.

De asemenea, găzduirea unei Autorități de Certificare pe un Controler de Domeniu nu este cu siguranță recomandată, nu în ultimul rând pentru că nu poți promova, retrograda sau redenumi un server care găzduiește un CA; ar trebui să profitați de această ocazie pentru a separa cele două roluri pe două servere diferite.

Cum să faci asta în mod corect:

• Instalați un nou server cu un nume nou și alăturați-l la domeniu.
• Promovați noul server la controler de domeniu; asigurați-vă că instalați DNS și îl faceți un Catalog global.
• Efectuați o copie de rezervă CA a autorității dvs. de certificare, inclusiv certificatul rădăcină.
• Eliminați AD CS de pe vechiul server.
• Mutați toate rolurile FSMO pe noul server.
• Configurați ambele servere și toate computerele membre ale domeniului pentru a utiliza noul server ca DNS principal (sau schimbați adresele IP ale celor două servere).
• Retrogradați vechiul server.
• Îndepărtați vechiul server din domeniu (sau, dacă trebuie să-l păstrați o perioadă, redenumiți-l pentru a-i elibera numele).
• Instalați un nou server suplimentar cu același nume ca cel vechi; alăturați-l la domeniu.
• Instalați AD CS pe noul server utilizând certificatul rădăcină existent și aceleași setări CA.
• Restaurați backupul CA pe noul server.

Desigur, există câteva detalii suplimentare; dar aceasta este schița completă a procesului.

Ah, și nu uitați să adăugați un alt controler de domeniu. Chiar nu ar trebui să ai doar unul dintre ele.

Recitind întrebarea dvs., nu este chiar clar câte controlere de domeniu aveți; dacă aveți deja mai multe dintre ele, acest lucru va ușura puțin lucrurile. Dar va trebui totuși să reciclați numele serverului și nu puteți retrograda sau redenumi un server atâta timp cât găzduiește o CA; prin urmare:

• Efectuați backup CA
• Eliminați AD CS
• Retrogradează serverul
• Eliminați (sau redenumiți) serverul
• Adăugați un nou server cu același nume
• Instalați AD CS
• Restaurați backupul CA