Я хочу сделать обновление на месте для 2 контроллеров домена Windows 2003 Server, работающих с сертификатами, до Windows 2008 R2. Будет ли это работать, кто-нибудь пробовал это, и нужно ли мне что-то делать со службами сертификатов после этого?
Спасибо за вашу помощь.
решение1
Здесь следует учесть несколько моментов.
Службы сертификации не должны работать на контроллере домена.
2008 R2 — только x64. Если ваши серверы 2003 — x86, то нет пути обновления на месте: http://technet.microsoft.com/en-us/library/dd979563(v=ws.10).aspx
Обновление контроллеров домена на месте не поддерживается. Службы каталогов должны быть удалены перед обновлением сервера на месте.Сертификационные услугиможетбыть на сервере, на котором была обновлена операционная система.
Итак, вы можете сделать несколько вещей, предполагая, что ваш 2003 — x64.
Установите новые контроллеры домена. Понизьте текущие контроллеры домена.Установите ОС и перейдите по этой ссылке, чтобы узнать, как обновить AD CS:http://technet.microsoft.com/en-us/library/cc742388(v=ws.10).aspxРезервное копирование и восстановление конфигурации CA на новых серверах (также описано в этой ссылке выше). Удалите AD CS с контроллеров домена. Установите на место серверы, на которые вы переносите AD CS.
Разверните новую PKI на новых серверах в соответствии с передовой практикой с автономным корнем и запущенным AD CSпреданныйсерверы, на которых не установлены никакие другие роли. Отозвать ваши текущие выданные сертификаты. Удалить AD CS из ваших старых CA. Повторно выпустить сертификаты из вашего нового PKI.
Редактировать: Как указывает Райан - размещение контроллеров доменаявляютсяподдерживается. Я на 100% уверен, что так было не всегда, но сейчас, похоже, так и есть, что немного упрощает вам задачу. Я бы все равно рекомендовал перенести службы сертификации с ваших контроллеров домена.