Eine Zertifizierungsstelle auf einen anderen Server verschieben

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 298138 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Hinweis
Dieser Artikel gilt für Windows 2000. -Unterstützung für Windows 2000 endet am Juli 13, 2010. Die Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung Ihrer Strategie zur Migration von Windows 2000. Weitere Informationen finden Sie die Microsoft Support Lifecycle Policy.
Hinweis
Dieser Artikel gilt für Windows 2000. -Unterstützung für Windows 2000 endet am Juli 13, 2010. Die Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung Ihrer Strategie zur Migration von Windows 2000. Weitere Informationen finden Sie die Microsoft Support Lifecycle Policy.
Hinweis
Dieser Artikel gilt für Windows 2000. -Unterstützung für Windows 2000 endet am Juli 13, 2010. Die Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung Ihrer Strategie zur Migration von Windows 2000. Weitere Informationen finden Sie die Microsoft Support Lifecycle Policy.
Hinweis
Dieser Artikel gilt für Windows 2000. -Unterstützung für Windows 2000 endet am Juli 13, 2010. Die Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung Ihrer Strategie zur Migration von Windows 2000. Weitere Informationen finden Sie die Microsoft Support Lifecycle Policy.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie eine Zertifizierungsstelle (CA) auf einen anderen Server verschieben.

Zertifizierungsstellen (CAs) sind die zentrale Komponente der Infrastruktur öffentlicher Schlüssel (PKI) einer Organisation. Die Unternehmenszertifizierungsstellen so konfiguriert sind für viele Jahre oder Jahrzehnte, während dieser Zeit wahrscheinlich die Hardware, die die Zertifizierungsstelle hostet aktualisiert ist vorhanden.

Notizen
  • Um eine Zertifizierungsstelle von einem Server zu verschieben, die Windows 2000 Server auf einem Server ausgeführt wird, auf dem Windows Server 2003 ausgeführt wird, müssen Sie zunächst den CA-Server aktualisieren, der Windows 2000 Server auf Windows Server 2003 ausgeführt wird. Anschließend können Sie die Schritte, die in diesem Artikel beschrieben werden.
  • Stellen Sie sicher, dass die %systemroot% des Zielservers %systemroot% des Servers übereinstimmt, die Sicherung des Systemstatus entnommen wird.

    Wenn die CA-Server-Komponenten installieren, so dass sie den Speicherort der Sicherung übereinstimmen, müssen Sie den Pfad der CA-Dateien ändern. Wenn Sie aus dem Ordner D:\Winnt\System32\Certlog sichern, müssen Sie die Sicherung in den Ordner D:\Winnt\System32\Certlog wiederherstellen. Sie können nicht in den Ordner C:\Winnt\System32\Certlog die Sicherung wiederherstellen. Nachdem Sie die Sicherung wiederherstellen, können Sie die CA-Datenbankdateien auf den standardmäßigen Speicherort verschieben.

    Wenn Sie versuchen, die Sicherung wiederherzustellen und %systemroot% der Datensicherung und dem Ziel-Server stimmen nicht überein, können Sie die folgende Fehlermeldung angezeigt:
    Wiederherstellung eines inkrementellen Abbilds kann nicht durchgeführt werden, bevor Sie die Wiederherstellung aus einem vollständigen Abbild durchführen. Der Verzeichnisname ist ungültig. 0X8007010B (WIN32/HTTP:267)
    Zertifikatsdienste von einem 32-Bit-Betriebssystem eine 64-Bit-Betriebssystem oder umgekehrt verschieben fehlschlagen mit einer der folgenden Fehlermeldungen angezeigt:
    Die erwarteten Daten ist in diesem Verzeichnis nicht vorhanden.
    Wiederherstellung des inkrementellen Abbilds kann nicht ausgeführt werden, vor dem Ausführen der Wiederherstellung von einem vollständigen Abbild (WIN32/HTTP:267) 0x8007010b

    Format Datenbankänderungen aus der 32-Bit-Version auf die 64-Bit-Version weiterhin zu Inkompatibilitäten führt und die Wiederherstellung ist blockiert. Dies ähnelt das Verschieben von Windows 2000 auf Windows Server 2003-Zertifizierungsstelle. Es gibt jedoch keinen Upgradepfad von einer 32-Bit-Version von Windows Server 2003 auf einem 64-Bit-Version. Daher können nicht Sie eine vorhandene 32-Bit-Datenbank mit einer 64-Bit-Datenbank auf einem Windows Server 2003-basierten Computer verschieben. Allerdings können Sie auf Windows Server 2008 R2-Zertifizierungsstelle (läuft auf Windows Server 2008 R2 X 64) von Windows Server 2003-Zertifizierungsstelle (ausgeführt auf Windows Server 2003 x 86) aktualisieren. Dieses Update wird unterstützt.Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
    912309Gewusst wie: Aktualisieren von Windows Server 2003 mit Service Pack 1 für Windows Server 2003 R2
  • Eine X 64-basierten Version von Windows Server 2003 R2-CD2 aktualisiert nur 64-Bit-Versionen von Windows Server 2003, die auf der EM64T-Architektur oder auf der AMD64-Architektur basieren.

Sichern Sie und Wiederherstellen Sie der Zertifizierungsstellenschlüssel und Datenbank

WindowsServer 2003

Wichtig Dieser Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierungs. Jedoch können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie es ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
322756 Wie Sichern und Wiederherstellen der Registrierung in Windows
  1. Beachten Sie die Zertifikatvorlagen, die in den Ordner Zertifikatvorlagen in der Zertifizierungsstellen-Snap-in konfiguriert sind. Die Zertifikatsvorlagen Einstellungen werden in Active Directory gespeichert. Sie werden automatisch nicht gesichert. Sie müssen die Zertifikatvorlagen-Einstellungen manuell konfigurieren, auf der neuen CA die gleiche Gruppe von Vorlagen verwalten.

    Hinweis Die Zertifikatvorlagen Ordner nur in einem Unternehmens-CA. eigenständigen CAs vorhanden ist verwenden nicht die Zertifikatvorlagen. Daher gilt dieser Schritt nicht an eine eigenständige Zertifizierungsstelle.
  2. Verwenden Sie zum Sichern der CA-Datenbank und der private Schlüssel der Zertifizierungsstellen-Snap-in. Gehen Sie dazu folgendermaßen vor:
    1. Zertifizierungsstellen-Snap-in mit der rechten Maustaste den Namens des Zertifizierungsstelle, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Sichern der CA Starten Sie den Sicherungs-Assistenten der Zertifizierungsstelle.
    2. Klicken Sie auf Weiter, und klicken Sie dann auf Private Schlüssel und Zertifizierungsstellenzertifikat.
    3. Klicken Sie auf Zertifikatdatenbank und Zertifikatdatenbankprotokoll.
    4. Verwenden Sie einen leeren Ordner als Speicherort der Sicherung. Stellen Sie sicher, dass der Sicherungsordner durch den neuen Server zugegriffen werden kann.
    5. Klicken Sie auf Weiter. Wenn der angegebene Sicherungsordner nicht vorhanden ist, wird Sie vom Backup Assistenten der Zertifizierungsstelle erstellt.
    6. Geben Sie an, und bestätigen Sie dann ein Kennwort für die Zertifizierungsstelle private Schlüssel Sicherungsdatei.
    7. Klicken Sie auf Weiter, und überprüfen Sie die Sicherungseinstellungen. Die folgenden Einstellungen sollte angezeigt werden:
      • Privater Schlüssel und Zertifizierungsstellenzertifikat
      • Ausgestelltes Protokoll und ausstehende Anforderungen
    8. Klicken Sie auf Fertig stellen.
  3. Speichern Sie die Registrierungseinstellungen für diese Zertifizierungsstelle. Gehen Sie dazu folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ Regedit Klicken Sie im Dialogfeld Öffnen ein, und klicken Sie dann auf OK.
    2. Suchen und anschließend mit der Maustaste des folgenden Registrierungsunterschlüssels:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Klicken Sie auf Exportieren.
    4. Speichern Sie die Registrierungsdatei in den Sicherungsordner der Zertifizierungsstelle, die Sie in Schritt 2d.
  4. Entfernen Sie die Zertifikatsdienste vom alten Server.

    Hinweis Dieser Schritt entfernt Objekte aus Active Directory. Führen Sie diesen Schritt, die Reihenfolge nicht. Wenn Sie zum Entfernen der Quelle Zertifizierungsstelle nach der Installation des Ziels CA (Schritt 6 in diesem Abschnitt) ausgeführt wird, wird das Ziel Zertifizierungsstelle unbrauchbar.
  5. Benennen Sie den alten Server, oder dauerhaft vom Netzwerk trennen.
  6. Installieren Sie Zertifikatsdienste auf dem neuen Server. Gehen Sie folgendermaßen vor, um dies zu tun.

    Hinweis Der neue Server müssen denselben Computernamen des alten Servers.
    1. Doppelklicken Sie in der Systemsteuerung auf Hinzufügen oder Entfernen von Programmen.
    2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen, klicken Sie auf Zertifikatsdienste im Assistenten für Windows-Komponenten und klicken Sie dann auf Weiter.
    3. In der CA-Typ Dialogfeld Feld, klicken Sie auf den entsprechenden Zertifizierungsstellentyp.
    4. Klicken Sie auf Verwenden Sie benutzerdefinierte Einstellungen Schlüsselpaar und ein Zertifizierungsstellenzertifikat generieren, und klicken Sie dann auf Weiter.
    5. Klicken Sie auf Importieren, geben Sie den Pfad von der.P12-Datei in den Sicherungsordner, geben Sie das Kennwort, das Sie in Schritt 2f ausgewählt haben, und klicken Sie dann auf OK.
    6. In der Öffentlich-privates Schlüsselpaar Dialog box, stellen Sie sicher, dass Verwenden Sie vorhandene Schlüssel: wird überprüft.
    7. Klicken Sie auf Weiter zwei Mal.
    8. Übernehmen Sie die Einstellungen der Zertifikatdatenbank Standardeinstellungen, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen um die Zertifikatdienste-Installation abzuschließen.
  7. Beenden Sie die Zertifikatdienste.
  8. Suchen Sie die Registrierungsdatei, die Sie in Schritt 3 gespeichert, und doppelklicken Sie darauf, um die Registrierungseinstellungen zu importieren. Wenn der Pfad, der in der Registrierungsexport aus der alten Zertifizierungsstelle angezeigt wird von den neuen Pfad abweicht, müssen Sie Ihre Registrierungsexport entsprechend anpassen. Standardmäßig ist der neue Pfad "c:\Windows" in Windows Server 2003.
  9. Verwenden der Zertifizierungsstellen-Snap-in die Datenbank der Zertifizierungsstelle wiederherstellen. Gehen Sie dazu folgendermaßen vor:
    1. Zertifizierungsstellen-Snap-in mit der rechten Maustaste den Namens des Zertifizierungsstelle, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Wiederherstellen der Zertifizierungsstelle.

      Der Wiederherstellungs-Assistent wird gestartet.
    2. Klicken Sie auf Weiter, und klicken Sie dann auf Private Schlüssel und Zertifizierungsstellenzertifikat.
    3. Klicken Sie auf Zertifikatdatenbank und Zertifikatdatenbankprotokoll.
    4. Geben Sie den Sicherungsordner Speicherort, und klicken Sie dann auf Weiter.
    5. Überprüfen Sie die Sicherungseinstellungen. Die Ausgestellte Protokoll und Ausstehende Anforderungen Einstellungen angezeigt werden sollen.
    6. Klicken Sie auf Fertig stellen, und klicken Sie dann auf Ja um die Zertifikatsdienste neu gestartet, wenn die CA-Datenbank wiederhergestellt wird.

    Hinweis Sie erhalten die folgende Fehlermeldung während der Wiederherstellung der CA ist der CA-Sicherungsordner nicht im richtigen Ordner-Struktur-Format:
    ---------------------------
    Microsoft Zertifikatsdienste
    ---------------------------
    Die erwarteten Daten ist in diesem Verzeichnis nicht vorhanden.
    Bitte wählen Sie ein anderes Verzeichnis. Der Verzeichnisname ist ungültig. 0X8007010B (WIN32/HTTP: 267)
    Die richtigen Ordner-Struktur ist wie folgt:
    C:\Ca_Backup\CA_NAME.p12
    C:\Ca_Backup\Database\certbkxp.dat
    C:\Ca_Backup\Database\edb#####.log
    C:\Ca_Backup\Database\CA_NAME.edb

    wobei C:\Ca_Backup für den Ordner steht, haben Sie während der Phase Zertifizierungsstelle sichern in Schritt 2 ausgewählt.
  10. In der Zertifizierungsstellen-Snap-in manuell hinzufügen oder Entfernen von Zertifikatvorlagen die Zertifikatvorlagen-Einstellungen zu duplizieren, die Sie in Schritt 1 notiert haben.

Windows 2000 Server

Wichtig Dieser Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierungs. Jedoch können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie es ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
322756 Wie Sichern und Wiederherstellen der Registrierung in Windows
  1. Beachten Sie die Zertifikatvorlagen, die in den Ordner Zertifikatvorlagen in der Zertifizierungsstellen-Snap-in konfiguriert sind. Die Zertifikatsvorlagen Einstellungen werden in Active Directory gespeichert. Sie werden automatisch nicht gesichert. Sie müssen die Zertifikatvorlagen-Einstellungen manuell konfigurieren, auf der neuen CA die gleiche Gruppe von Vorlagen verwalten.

    Hinweis Die Zertifikatvorlagen Ordner nur in einem Unternehmens-CA. eigenständigen CAs vorhanden ist verwenden nicht die Zertifikatvorlagen. Daher gilt dieser Schritt nicht an eine eigenständige Zertifizierungsstelle.
  2. Verwenden Sie zum Sichern der CA-Datenbank und der private Schlüssel der Zertifizierungsstellen-Snap-in. Gehen Sie dazu folgendermaßen vor:
    1. Zertifizierungsstellen-Snap-in mit der rechten Maustaste den Namens des Zertifizierungsstelle, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Sichern der CA Starten Sie den Sicherungs-Assistenten der Zertifizierungsstelle.
    2. Klicken Sie auf Weiter, und klicken Sie dann auf Private Schlüssel und Zertifizierungsstellenzertifikat.
    3. Klicken Sie auf Ausgestelltes Zertifikatsprotokoll und ausstehende Zertifikatsanforderungen.
    4. Verwenden Sie einen leeren Ordner als Speicherort der Sicherung. Stellen Sie sicher, dass der Sicherungsordner durch den neuen Server zugegriffen werden kann.
    5. Klicken Sie auf Weiter. Wenn der angegebene Sicherungsordner nicht vorhanden ist, wird Sie vom Backup Assistenten der Zertifizierungsstelle erstellt.
    6. Geben Sie an, und bestätigen Sie dann ein Kennwort für die Zertifizierungsstelle private Schlüssel Sicherungsdatei.
    7. Klicken Sie auf Weiter zwei Mal, und überprüfen Sie die Sicherungseinstellungen. Die folgenden Einstellungen sollte angezeigt werden:
      • Privater Schlüssel und Zertifizierungsstellenzertifikat
      • Ausgestelltes Protokoll und ausstehende Anforderungen
    8. Klicken Sie auf Fertig stellen.
  3. Speichern Sie die Registrierungseinstellungen für diese Zertifizierungsstelle. Gehen Sie dazu folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ Regedit Klicken Sie im Dialogfeld Öffnen ein, und klicken Sie dann auf OK.
    2. Suchen und anschließend mit der Maustaste des folgenden Registrierungsunterschlüssels:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. Klicken Sie auf Konfiguration , und klicken Sie dann auf Registrierungsdatei exportieren auf der Registrierung Menü.
    4. Speichern Sie die Registrierungsdatei in den Sicherungsordner der Zertifizierungsstelle, die Sie in Schritt 2d.
  4. Entfernen Sie die Zertifikatsdienste vom alten Server.

    Hinweis Dieser Schritt entfernt Objekte aus Active Directory. Führen Sie diesen Schritt, die Reihenfolge nicht. Wenn Sie zum Entfernen der Quelle Zertifizierungsstelle nach der Installation des Ziels CA (Schritt 6 in diesem Abschnitt) ausgeführt wird, wird das Ziel Zertifizierungsstelle unbrauchbar.
  5. Benennen Sie den alten Server, oder dauerhaft vom Netzwerk trennen.
  6. Installieren Sie Zertifikatsdienste auf dem neuen Server. Gehen Sie folgendermaßen vor, um dies zu tun.

    Hinweis Der neue Server müssen denselben Computernamen des alten Servers.
    1. Doppelklicken Sie in der Systemsteuerung auf Software.
    2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen, klicken Sie auf Zertifikatsdienste im Assistenten für Windows-Komponenten und klicken Sie dann auf Weiter.
    3. In der Zertifizierungsstellentyp Dialogfeld Feld, klicken Sie auf den entsprechenden Zertifizierungsstellentyp.
    4. Klicken Sie auf Erweiterte Optionen, und klicken Sie dann auf Weiter.
    5. In der Öffentlich-privates Schlüsselpaar Klicken Sie im Dialogfeld klicken Sie auf Verwenden Sie vorhandene Schlüssel:, und klicken Sie dann auf Importieren.
    6. Geben Sie den Pfad von der.P12-Datei in den Sicherungsordner, geben Sie das Kennwort, das Sie in Schritt 2f ausgewählt haben, und klicken Sie dann auf OK.
    7. Klicken Sie auf Weiter, eine CA Beschreibung bei Bedarf, und klicken Sie dann auf Weiter.
    8. Akzeptieren Sie die Standardeinstellungen Datenspeicherungspfad, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen um die Zertifikatdienste-Installation abzuschließen.
  7. Beenden Sie die Zertifikatdienste.
  8. Suchen Sie die Registrierungsdatei, die Sie in Schritt 3 gespeichert, und doppelklicken Sie darauf, um die Registrierungseinstellungen zu importieren.
  9. Verwenden der Zertifizierungsstellen-Snap-in die Datenbank der Zertifizierungsstelle wiederherstellen. Gehen Sie dazu folgendermaßen vor:
    1. Zertifizierungsstellen-Snap-in mit der rechten Maustaste den Namens des Zertifizierungsstelle, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Wiederherstellen der Zertifizierungsstelle.

      Der Wiederherstellungs-Assistent wird gestartet.
    2. Klicken Sie auf Weiter, und klicken Sie dann auf Ausgestelltes Zertifikatsprotokoll und ausstehende Zertifikatsanforderungen.
    3. Geben Sie den Sicherungsordner Speicherort, und klicken Sie dann auf Weiter.
    4. Überprüfen Sie die Sicherungseinstellungen. Die folgenden Einstellungen sollte angezeigt werden:
      • Ausgestellte Protokoll
      • Ausstehende Anforderungen
    5. Klicken Sie auf Fertig stellen, und klicken Sie dann auf Ja um die Zertifikatsdienste neu gestartet, wenn die CA-Datenbank wiederhergestellt wird.
  10. In der Zertifizierungsstellen-Snap-in manuell hinzufügen oder Entfernen von Zertifikatvorlagen die Zertifikatvorlagen-Einstellungen zu duplizieren, die Sie in Schritt 1 notiert haben.

Weitere Informationen

Weitere Informationen zu Szenarien von Upgrades und Migrationen für Windows Server 2003 und Windows Server 2008 finden Sie im Whitepaper "Active Directory Certificate Services Upgrade und Migration Guide". Besuchen Sie das White Paper finden Sie unter der folgenden Microsoft-Website:
http://technet.Microsoft.com/en-us/library/cc742515 (v=ws.10) aspx

Eigenschaften

Artikel-ID: 298138 - Geändert am: Montag, 4. Juni 2012 - Version: 2.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Keywords: 
kbcertservices kbenv kbhowtomaster w2000certsrv kbmt KB298138 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 298138
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com