Ich möchte ein direktes Upgrade für 2 Windows 2003-Serverdomänencontroller mit Zertifikaten auf Windows 2008 R2 durchführen. Funktioniert das, hat das schon jemand probiert und muss ich danach etwas mit den Zertifikatdiensten machen?
Vielen Dank für Ihre Hilfe.
Antwort1
Hierbei gibt es einiges zu beachten.
Zertifikatsdienste sollten nicht auf einem Domänencontroller ausgeführt werden.
2008 R2 ist nur x64. Wenn Ihre 2003-Server x86 sind, gibt es keinen direkten Upgrade-Pfad: http://technet.microsoft.com/en-us/library/dd979563(v=ws.10).aspx
Das direkte Upgrade von Domänencontrollern wird nicht unterstützt. Verzeichnisdienste sollten deinstalliert werden, bevor ein Server direkt aktualisiert wird.Zertifikatsdienstedürfenauf einem Server sein, dessen Betriebssystem aktualisiert wurde.
Sie können also einige Dinge tun, vorausgesetzt, Ihr 2003 ist x64.
Installieren Sie neue DCs. Degradieren Sie die aktuellen DCs.Platzieren Sie das Betriebssystem und folgen Sie diesem Link, um AD CS zu aktualisieren:http://technet.microsoft.com/en-us/library/cc742388(v=ws.10).aspxSichern Sie die CA-Konfiguration und stellen Sie sie auf neuen Servern wieder her (siehe auch den Link oben). Entfernen Sie AD CS von den Domänencontrollern. Platzieren Sie die Server, auf die Sie AD CS migrieren.
Richten Sie auf neuen Servern eine neue PKI nach Best Practice mit einem Offline-Root und AD CS ein, das aufgewidmetServer, auf denen keine anderen Rollen installiert sind. Widerrufen Sie Ihre aktuell ausgestellten Zertifikate. Deinstallieren Sie AD CS von Ihren alten CAs. Stellen Sie Zertifikate von Ihrer neuen PKI neu aus.
Bearbeiten: Wie Ryan anmerkt - die Platzierung der DCsSindunterstützt. Ich bin mir hundertprozentig sicher, dass dies nicht immer der Fall war, aber jetzt scheint es so zu sein, was die Dinge für Sie etwas einfacher macht. Ich würde dennoch empfehlen, die Zertifikatsdienste von Ihren DCs zu migrieren.