Я собираюсь выполнить обновление на месте для двух контроллеров домена серверов Windows 2003 с сертификатами Windows 2008 R2. Будет ли это работать, пробовал ли кто-нибудь, и нужно ли будет потом что-нибудь делать с сертификатами?
Спасибо за вашу помощь.
Здесь нужно учесть несколько моментов.
Службы сертификации не должны работать на контроллере домена.
2008 R2 - это только x64. Если у вас серверы 2003 x86, пути обновления на месте нет: http://technet.microsoft.com/en-us/library/dd979563(v=ws.10).aspx
Обновление контроллеров домена на месте не поддерживается. Перед обновлением сервера на месте необходимо удалить службы каталогов.
Сертификационные услуги жестяная банка be на сервере обновила свою ОС.
Итак, вы можете сделать несколько вещей, если у вас 2003 x64.
Установите новые контроллеры домена. Понизьте текущие DC. Установите ОС и перейдите по этой ссылке, чтобы узнать, как обновить AD CS: http://technet.microsoft.com/en-us/library/cc742388(v=ws.10).aspx
Сделайте резервную копию и восстановите конфигурацию CA на новые серверы (также указанные в этой ссылке выше). Удалите AD CS с контроллеров домена. Вместо серверов, на которые вы переносите AD CS.
Установите новую PKI на новых серверах в соответствии с передовой практикой с автономным корневым каталогом и запущенным AD CS. преданный серверы, на которых не установлены другие роли. Отзовите выданные вами сертификаты. Удалите AD CS из старых центров сертификации. Повторно выпустите сертификаты из вашей новой PKI.
Изменить: как указывает Райан - размещение контроллеров домена являются поддерживается. Я на 100% уверен, что так было не всегда, но, похоже, сейчас, что немного облегчает вам задачу. Я бы по-прежнему рекомендовал перенести службы сертификации с ваших контроллеров домена.