Domain-Controller
遷移需要降級的域控制器的 PKI 和 CA
我有一個域控制器,出於某種原因,它上面安裝了 ADCS。域控制器是 2008 R2 伺服器,需要降級,但首先我需要做兩件事之一。該伺服器還執行 DHCP、NPS(RADIUS 伺服器)和其他第三方軟體。
我的選項(根據我的說法) 1. 將 ADCS 遷移到不同的伺服器(它將是 2012 R2 的新機器)。 https://technet.microsoft.com/en-us/library/ee126140(v=ws.10).aspx 2. 啟動一個離線的非域加入根 CA,並讓一個活動域加入發行 CA。然後我會在域控制器上備份 ADCS,撤銷任何已頒發的證書並刪除伺服器角色。
看來,要使選項 1 起作用,我還需要遷移電腦名稱和 IP。如果我選擇選項 2,我可以採取哪些步驟來減輕可能的影響。目前 CA 已頒發 9 個證書。但是,只有 3 個尚未過期,其中 2 個將在下周到期,第三個將在一年後到期。
使 ADCS 脫離此域控制器的最佳方法是什麼?
本週之後,根據現有 CA 只有一個有效證書,我將執行以下操作:
- 啟動一個全新的並行 PKI 基礎架構(無論您想使它變得多麼複雜)
- 生成新證書以替換剩餘的證書並遷移應用程序以使用新證書
- 完全停用舊 CA。
如果兩個即將到期的證書需要更新,並且您可以在此之前獲得新的 CA,只需從新 CA 生成它們即可。否則,從舊的更新並以與另一個相同的方式遷移它們。