遷移需要降級的域控制器的 PKI 和 CA

我有一個域控制器，出於某種原因，它上面安裝了 ADCS。域控制器是 2008 R2 伺服器，需要降級，但首先我需要做兩件事之一。該伺服器還執行 DHCP、NPS（RADIUS 伺服器）和其他第三方軟體。

我的選項（根據我的說法） 1. 將 ADCS 遷移到不同的伺服器（它將是 2012 R2 的新機器）。 https://technet.microsoft.com/en-us/library/ee126140(v=ws.10).aspx 2. 啟動一個離線的非域加入根 CA，並讓一個活動域加入發行 CA。然後我會在域控制器上備份 ADCS，撤銷任何已頒發的證書並刪除伺服器角色。

看來，要使選項 1 起作用，我還需要遷移電腦名稱和 IP。如果我選擇選項 2，我可以採取哪些步驟來減輕可能的影響。目前 CA 已頒發 9 個證書。但是，只有 3 個尚未過期，其中 2 個將在下周到期，第三個將在一年後到期。

使 ADCS 脫離此域控制器的最佳方法是什麼？

本週之後，根據現有 CA 只有一個有效證書，我將執行以下操作：

• 啟動一個全新的並行 PKI 基礎架構（無論您想使它變得多麼複雜）
• 生成新證書以替換剩餘的證書並遷移應用程序以使用新證書
• 完全停用舊 CA。

如果兩個即將到期的證書需要更新，並且您可以在此之前獲得新的 CA，只需從新 CA 生成它們即可。否則，從舊的更新並以與另一個相同的方式遷移它們。

引用自：https://serverfault.com/questions/788103