Короче говоря, мы случайно получили контроллер домена Windows Server 2003, который прошел 60-дневный период захоронения для репликации. Помимо DC, это также глобальный каталог, наш единственный центр сертификации, на котором работают службы Windows Server Update Services.
Сервер был снова включен после периода захоронения, однако я проверил все другие наши контроллеры домена, и на всех них включена строгая согласованность репликации. Так что нам не следовало копировать какие-либо устаревшие объекты на другие наши DC. Я отключил проблемный сервер, пока мы думаем, что делать дальше.
Я провел небольшое исследование и продолжу поиски, но пока я читал, что исправлять это рискованно, и нам гораздо лучше удалить DC из домена и восстановить его (мы все равно ждем обновления этого сервера до поддерживаемой ОС , но в настоящее время нет запасного совместимого сервера). Похоже, что WSUS можно просто установить на новый сервер, и нам просто нужно указать на него нашим клиентам. Но я понятия не имею, где мы находимся с CA.
Итак, мои вопросы:
Во-первых CA
сделайте резервную копию и переместите полное руководство CA сюда Перенос CA с 2003 на 2012 год но шаги высокого уровня следующие
1) Резервный текущий ЦС
Это можно сделать, войдя в консоль CA и используя параметр Backup, убедитесь, что вы сделали резервную копию закрытого ключа вместе с базой данных и журналами, когда вас попросят)
2) Резервное копирование настроек реестра CA
Экспортируйте следующий ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
3) Удалите CA Service из Windows Server 2003
Изнутри панели управления добавьте компоненты окна удаления программ
4) Очистите информацию CA в домене.
С помощью сайтов и сервисов удалите ссылки на сбойные цы страница поддержки ms
5) Установите службы сертификации Windows Server 2012 R2
Для этого используйте мастер ролей, включая роль веб-регистрации
6) Настроить AD CS
Выберите AD CS из установленных ролей и выберите конфигурацию, выберите корпоративный CA, ROOT CA и, что важно, используйте существующий закрытый ключ (они находятся на разных экранах) Импортируйте закрытый ключ из резервной копии, созданной ранее
7) Восстанавливаем ЦС
Те же шаги, что и резервное копирование, но восстановление, восстановление частного CA, базы данных и журнала при появлении запроса
8) Восстановите информацию реестра Импортируйте резервную копию реестра сверху
9) Повторная выдача шаблонов сертификатов
список шаблонов сертификатов щелкните соответствующий шаблон сертификата
Во-вторых WSUS
Его можно переместить или установить в чистом виде. Главное здесь - обновить ваши групповые политики новой информацией о сервере. Руководство Technet
В-третьих Контроллер домена
Если вам все еще нужно, чтобы этот сервер был контроллером домена, вам необходимо сделать следующее.
1) Включите сервер снова, когда он отключен от сети, и запустите dcpromo / forceremoval.
2) Захватите любые роли FSMO, которые были на этом сервере, на другой сервер Страница поддержки MS
3) Выполните очистку метаданных с активного контроллера домена. Technet об очистке метаданных
4) Удалите все записи DNS, относящиеся к исходному серверу.
5) Переименовать сервер (не обязательно, но если вы что-то пропустите при очистке, это избавит вас от проблем со старыми ссылками)
6) Вернуться в DC
Вы должны задать себе один вопрос: почему TSL составляет 60 дней. Прошло 180 дней с момента выхода Windows Server 2003 SP1 / Windows Server 2003 R2 SP2 (около восьми лет). Вы должны изменить это на 180 дней. Этот эпизод - одна из причин, по которой Microsoft увеличила этот срок до 180 дней. Другая причина заключается в том, что любая резервная копия AD старше TSL считается недействительной.
Определите срок службы надгробной плиты для леса
https://technet.microsoft.com/en-us/library/cc784932%28v=ws.10%29.aspx
AD DS: итоговое время жизни резервной копии в этом лесу должно быть не менее 180 дней.
https://technet.microsoft.com/en-us/library/dd723674%28v=ws.10%29.aspx
Что мне нужно сделать, чтобы безопасно удалить сервер из нашего домена?
Вам необходимо удалить объект активного каталога и очистить метаданные. Если у вас есть контроллер домена под управлением Windows 2008R2 или выше, второй (метаданные) выполняется автоматически.
Больше информации : https://technet.microsoft.com/en-us/library/Cc816907%28v=WS.10%29.aspx
Что мне нужно сделать, чтобы заменить ЦС на новый?
Это самая сложная часть, но, поскольку у вас есть доступ к серверу, нет серьезных препятствий.
Вы найдете различные процедуры на веб-сайтах Microsoft, например Вот или может быть предпочтительно вот этот
Могу ли я просто установить WSUS на другой сервер и направить на него наших клиентов, или есть еще что-то, что нужно сделать, чтобы удалить старый?
Да, здесь нет никакого трюка, просто измените свой GPO, чтобы он указывал на новый сервер.
Что мне нужно сделать, чтобы удалить глобальный каталог с этого сервера? (Это НЕ единственный сборщик мусора в домене)
Это часть первого пункта.
Есть ли вопросы, которые я должен задать, но пропустил?
Ни о чем сейчас я не думаю.