HOW TO: Mover uma autoridade de certificação para um novo servidor em execução no controlador de domínio.

Este documento técnico assume o leitor é experientes com os serviços do Active Directory do Windows Server 2003, Serviços de certificados e efectuar cópias de segurança de chaves de registo.
 
dominio.com é o FQDN da infra-estrutura do Active Directory. 
SERVER-01 é o nome do servidor a ser despromovido antigo. 
É o novo servidor a ser colocado no SERVER-02 .
CA_NAME é o nome da autoridade de certificação.

Aumentar o nível de funcionalidade do Active Directory para o Windows Server 2003. KB de leitura 322692 para mais informações..
Utilização da MMC Certificate Authority de cópia de segurança.
Cópia de segurança seguinte chave do registo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ CA_NAME ] .
Eliminar as chaves criptográficas (artigo KB Consulte AC 298138)
 

Escreva o seguinte comando de uma caixa de comandos.
Escreva ô á ûshutdown certutil para parar os serviços de certificados.
Escreva ô á ûkey certutil para listar as chaves criptográficas instaladas no servidor.
Escreva ô á certutil ûdelkey CA_NAME para eliminar a chave.    
O serviço certificado pode ser removido com segurança.

Para ter pelo menos, um catálogo global no seu domínio tornar-se que a servidor ser removido isnÆt o único owing esta função.
Execute Dcpromo.exe em SERVER-01 e remover este DC do AD.
Remover a conta de computador antigo da AD
Mudar uma vez reiniciado youÆve; Nome do servidor membro.
Olhe para o DNS para ver se todos os registos apontando para o controlador de domínio antigo ter sido removidos. .ö dominio.com ô_tcp.dc._msdcs. vem a atenção.
Promover SERVER-02 como um controlador de domínio através da execução Dcpromo.exe

Depois de instalar as Ferramentas de suporte Windows Server 2003 no SERVER-02 escrever este comando para adicionar um novo nome alternativo (o nome tem de ser um FQDN seguido por um sufixo DNS primário.)
C:\Program Tools Files\Support > á /add:SERVER-01.domain.com SERVER-02 NomeComputador netdom á
Uma vez que o comando tenha concluído tornar o servidor principal de utilizar este comando:
C:\Program Tools Files\Support > á /makeprimary:SERVER-01.domain.com SERVER-02 NomeComputador netdom á
Executei para este erro:
 
Impossível efectuar SERVER-01 . dominio.com o nome principal para o computador.
O erro é::
A conta já existe..
 
O Active Directory já contém uma conta de computador ou um objecto de servidor com o nome especificado: SERVER-01 .
 
Se estes objectos estão associados a um computador existente no domínio seguida, este nome não pode ser efectuada principal.
 
Pode estes objectos se não associados a um computador existente, ter sido incorrectamente mudar o nome ou removido do domínio. Removê-los do activo
Directório e de repetição tornar a operação principal.
 
As seguintes ferramentas podem ser utilizadas para localizar e remover estes objectos:
Para computadores conta-Utilizadores e computadores do Active Directory.
Para server objecto-Serviços e locais do Active Directory.
 
O comando falha na conclusão com êxito.
 
Eu foi removida a conta do servidor a partir de ' Serviços e locais e que parece ter resolve o problema.
Reiniciar o servidor
Remover o nome do servidor antigo utilizar este comando:
C:\Program Tools Files\Support > á /Remove:SERVER-02.domain.com SERVER-01 NomeComputador netdom ô
Certifique-se de que donÆt tem quaisquer nomes computador ôleftoverö escrevendo este:
C:\Program Tools Files\Support > ô netdom NomeComputador SERVER-01 / enumerar á
Instalar o serviço de certificados conforme explicado no artigo KB 298138.
Restaurar o servidor de certificado a partir da cópia de segurança efectuada no passo dois.
Importar a chave de registo antigos.
Se pretender mover os dados de certificados para outra pasta poderá fazê-lo seguindo a instrução neste (de artigo KB283193)

O autor é um administrador do sistema Windows Montreal Quebec, localizado; pode ser contactado através de Francis@francisouellet.ca he