CA证书服务器从2003迁移到2008R2.docx

随着2003R2即将到达支持周期，以及日益老化的服务器硬件，将服务器从2003R2迁移至2008R2势在必行Technet参考条目：Active Directory 证书服务迁移指南Active Directory 域服务和 DNS 服务器迁移指南DHCP 服务器迁移指南Windows Server 迁移工具的安装、访问和删除站内推荐参考：如何迁移CA（证书颁发机构）服务器（winos站内精华）迁移到Server2008 R2（winos站内精华）当然，上面的仅仅是出于方便阅读者，给出一个操作的方向。但是实际上由于情况的不同，不能完全照搬上面的操作。以下我给出最常用的场景。从而一步步引导大家如何结合官方指南来操作。场景1单服务器运行Windows server 2003 R2.安装了AD、DNS、DHCP和证书颁发机构（CA）、CA web注册服务这种场景很多见。虽然这违背了MS关于每个站点至少2DC的设计原则，不过这个的确可以运行的很好。尤其在小规模的环境里。那么怎么把这个单服务器迁移到windows 2008R2（也许还带SP1）呢？总体思路是这样的。额外服务器辅助轮转迁移。请确保原来的系统能够无错工作，不然迁移会让你抓狂。另外在什么都没开始动前留个整机备份总是好的1 增加一个补充的win2008R2服务器，即辅助服务器，加入AD并运行DNS，等待AD和DNS复制完成，利用管理手段或者DHCP参数将用户指向辅助服务器。此步确保了对外部用户的服务不会中断，同时也确保了基础结构服务的可靠性。2 将原来的服务器上的证书颁发机构数据库等备份（请参考《Active Directory 证书服务迁移指南》AD CS 迁移：准备迁移 章节）再整机备份源服务器。CA备份请复制到共享或者USB盘内待用。3 目标服务器上安装Windows 服务器迁移工具，并注册到源2003服务器上（请参考《Windows Server 迁移工具的安装、访问和删除》/zh-cn/library/dd379545(WS.10).aspx）。此处注意R2SP1的迁移工具版本和R2不同，不能读取R2生成的迁移库文件，因此请严格按照目标服务器版本选择注册2003上需要.net framework2.0和powershell 1.0才能注册2008R2及以上的迁移工具4 源服务器使用迁移工具收集DHCP角色设定，后复制到共享或者USB盘内待用（句法请参考get-feature和export-smigserversetting的PowerShell帮助，里面有现成可以copy用的例句）5 去除DHCP服务器AD授权，源服务器卸载CA角色，然后dcpromo退DC，卸载DHCP、DNS角色，退域改名改IP或者关机（为了能让此服务器名称空出来给目标服务器用）有人问RollBack怎么办，整机备份就是为了Rollback。本文不讨论RollBack事宜，此大大超出了本文的范围具体请参考 在迁移失败时将 Active Directory 证书服务 (AD CS) 还原到源服务器请确认DNS和AD记录已经更新好，fsmo角色正确到达辅助服务器。6 目标服务器（建议同源服务名和IP）dcpromo，并同时加GC和DNS。重启后确认AD和DNS是否已经正确复制完成。7 目标服务器安装CA角色并恢复CA数据库（请参考《Active Directory 证书服务迁移指南》AD CS 迁移：迁移证书颁发机构章节）。注意要用证书颁发机构web注册的话要一开始就装IIS和相关的角色组件。尤其是源服务器有web注册的情况下，不然容易造成恢复后无法添加web注册角色服务。8 目标服务器使用服务器迁移工具导入并安装DHCP服务（句法句法请参考get-feature和Import-smigserversetting的PowerShell帮助，里面有现成可以copy用的例句）9 验证目标服务器工作是否正常。要分别验证AD、DNS、DHCP和CA、CAweb。10 如果辅助服务器是临时借用的，那么需要将用户参数指回目标服务器。然后dcpromo卸域控、卸DNS，退域，DOD格式化硬盘，哪来还哪去。当然还是要再次验证fsmo是否正确回到目标服务器了。至此2003R2迁移到2008R2的简单过程已经描述完毕。 情况2迁移至目标服务器，但服务器名不同于源服务器。总是有这样那样的原因逼得你不能把源服务器干掉。那么这种情况下，源服务器还是存在于域内，目标服务器就不能用源服务器的参数了。这样就不能动了么？非也，强大的微软总是有解决方案的。其他步骤一样。直到恢复CA后所需执行的后续任务。注意这里在目标服务器上还原 CA 数据库和配置/zh-cn/l