Servidor com GC, CA, replicação do WSUS passado no período da marca de exclusão

Navegue suas respostas
2

Para encurtar a história, inadvertidamente, terminamos com um DC do Windows Server 2003 que passou agora no período de 60 dias para a exclusão. Assim como um DC, ele também é um Catálogo Global, nossa única Autoridade de Certificação e executa o Windows Server Update Services.

O servidor foi ativado novamente após o período de desativação, mas verifiquei todos os outros CDs e todos eles têm a consistência de replicação restrita ativada. Então não deveríamos ter copiado objetos remanescentes para nossos outros DC's. Eu desliguei o servidor com problemas enquanto descobrimos o que fazer em seguida.

Eu fiz uma pequena pesquisa e continuarei procurando, mas até agora eu li que consertar é arriscado e estamos muito melhor removendo o DC do domínio e reconstruindo-o (Estamos esperando para atualizar este servidor para um SO suportado, mas atualmente não tem um servidor compatível de reposição). Parece que o WSUS pode ser instalado em um novo servidor e nós apenas precisaríamos apontar nossos clientes para ele. Mas não tenho ideia de onde estamos com a CA.

Então, minhas perguntas são:

  1. O que preciso fazer para remover com segurança o servidor do nosso domínio?
  2. O que preciso fazer para substituir a CA por uma nova?
  3. Posso apenas instalar o WSUS em um servidor diferente e apontar nossos clientes para ele, ou há algo mais que precisa ser feito para remover o antigo?
  4. O que preciso fazer para remover o catálogo global deste servidor? (NÃO é o único GC no domínio)
  5. Há alguma pergunta que eu deveria estar fazendo, mas perdi?
por Daniel 11.09.2015 / 13:30

3 respostas

0

What do I need to do to safely remove the server from our domain?

Você precisa excluir o objeto de diretório ativo e os metadados de limpeza. Se você tiver um controlador de domínio executando o Windows 2008R2 ou superior, o segundo (metadados) será feito automaticamente.

Mais informações: link

What do I need to do to replace the CA with a new one?

Esta é a parte mais complicada, mas como você tem acesso ao servidor, não há grandes obstáculos.

Você encontrará vários procedimentos em sites da Microsoft, por exemplo, aqui ou talvez de preferência este

Can I just install WSUS on a different server and point our clients to it, or is there something else which needs to be done to remove the old one?

Sim, não há truques aqui, apenas altere seu GPO para apontar para o novo servidor.

What do I need to do to remove the global catalogue on from this server? (It is NOT the only GC in the domain)

Isso faz parte do primeiro ponto.

Are there any questions I should be asking, but have missed?

Nenhum Eu penso agora.

    
por 11.09.2015 / 13:56
0

Uma pergunta que você deve se fazer é por que o TSL é de 60 dias. Já passaram 180 dias desde o Windows Server 2003 SP1 / Windows Server 2003 R2 SP2 (cerca de oito anos). Você deve mudar isso para 180 dias. Este episódio é um dos motivos pelos quais a Microsoft aumentou isso para 180 dias. Outra razão é que qualquer backup do AD mais antigo que o TSL é invalidado.

Determine o tempo de vida da marca de exclusão para a floresta no link

AD DS: o tempo de vida de backup resultante nesta floresta deve ser igual ou superior a 180 dias. link

    
por 11.09.2015 / 14:28
0

Em primeiro lugar, CA

faça backup e mova o guia completo da CA aqui Migrando CA de 2003 para 2012 , mas as etapas de alto nível são as seguintes

1) Backup atual do CA
Isso pode ser feito acessando o console da AC e usando a opção Backup, certifique-se de fazer backup da chave privada junto com o banco de dados e logs, quando solicitado)

2) Configurações do registro do CA de backup
Exportar a seguinte chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

3) Desinstalar o serviço da CA do Windows Server 2003
De dentro do painel de controle, adicione remover os componentes do Windows dos programas

4) Limpar as informações da autoridade de certificação no domínio.
O uso de sites e serviços remove as referências a página de suporte ms com falha

5) Instalar os Serviços de Certificados do Windows Server 2012 R2
Use o assistente de funções para fazer isso, inclua a função de inscrição na web

6) Configurar o AD CS
Selecione AD CS das funções instaladas e selecione configurar, selecione CA corporativa, CA ROOT e, de maneira importante, use a Chave Privada existente (Eles estão em várias telas) Importe a chave privada do backup criado anteriormente

7) Restaurar o CA
As mesmas etapas do backup, mas restaurar, restaurar ca privado, banco de dados e log quando solicitado

8) Restaure as informações do registro Importe o backup do registro acima

9) Reemitir modelos de certificado
 lista de modelos de certificado, clique no modelo de certificado apropriado

Em segundo lugar, o WSUS

Isso pode ser movido ou pode ser instalado limpo. O principal aqui é atualizar suas Políticas de Grupo com as novas informações do servidor. Guia de Technet

Terceiro controlador de domínio

Se você ainda precisar deste servidor para ser um controlador de domínio, precisará fazer o seguinte.

1) Ligue o servidor enquanto estiver desconectado da rede e execute dcpromo / forceremoval

2) Obtenha todas as funções de FSMO que esse servidor tinha em outro servidor Página de suporte do MS

3) Faça uma limpeza de metadados do controlador de domínio ativo Technet na limpeza de metadados

4) Exclua todas as entradas de DNS relacionadas ao servidor original

5) Renomeie o servidor (Não é estritamente necessário, mas se você perder alguma coisa na limpeza, isso poupará problemas com referências antigas)

6) Promover de volta ao DC

    
por 11.09.2015 / 14:03

Tags

GlusterFS Quebra do cérebro O contêiner Centos lxc não inicia no Ubuntu 14.10