Как правильно перенести службы сертификатов Active Directory

У меня есть Службы сертификатов Active Directory установлен на Контроллер домена Windows 2016. Мы планируем раскрутиться Windows 2019 экземпляры для замены наших контроллеров домена 2016 года. У нас есть один DC с установленными службами ADCS, в частности, он имеет роль центра сертификации и устанавливается как ЦС предприятия (не самостоятельный).

Для чего лучше всего перенос служб AD CS на этот новый сервер 2019 г. и вывод из эксплуатации сервера 2016, на котором размещается AD CS? Согласно этой статье, это похоже на простое резервное копирование, добавление роли/функций ADCS и восстановление некоторых данных, но, возможно, я упрощаю - https://4sysops.com/archives/migrate-ad-certificate-services-to-a-new-server/.

Меня беспокоит, что происходит с сертификатами, которые мы уже подписали с существующим сервером ЦС и которые активно используются? Будут ли они продолжать функционировать и/или оставаться в силе, если центр сертификации не работает, хотя и временно? Имя, назначенное ЦС, отличается от имени хоста сервера, на котором в настоящее время размещается AD CS, поэтому сервер 2019, имеющий другое имя хоста назначено, не должно быть проблемой, правильно?

Если кто-то прошел через это раньше или имеет какие-то полезные предложения / советы, я был бы очень признателен!

> сервер 2019 года, которому назначено другое имя хоста, не должен быть проблемой, верно?

К сожалению, это совсем не правильно.
Перемещение центра сертификации на новый сервер с тем же именем — довольно простой процесс, но он намного сложнее если новый сервер имеет другое имя.

Кроме того, размещение центра сертификации на контроллере домена определенно не рекомендуется, и последнее, но не менее важное, потому что вы не можете повысить, понизить или переименовать сервер, на котором размещен центр сертификации; вам действительно следует воспользоваться этой возможностью, чтобы разделить две роли на двух разных серверах.

Как это сделать правильно:

• Установите новый сервер с новым именем и присоедините его к домену.
• Повысьте уровень нового сервера до контроллера домена; обязательно установите DNS и сделайте его глобальным каталогом.
• Выполните резервное копирование ЦС вашего центра сертификации, включая корневой сертификат.
• Удалите AD CS со старого сервера.
• Переместите все роли FSMO на новый сервер.
• Настройте оба сервера и все компьютеры-члены домена на использование нового сервера в качестве основного DNS (или поменяйте местами IP-адреса двух серверов).
• Удалите старый сервер.
• Удалите старый сервер из домена (или, если вам нужно оставить его на какое-то время, переименуйте его, чтобы освободить его имя).
• Установите дополнительный новый сервер с тем же именем, что и старый; присоедините его к домену.
• Установите AD CS на новый сервер, используя существующий корневой сертификат и те же настройки ЦС.
• Восстановите резервную копию ЦС на новом сервере.

Конечно, есть несколько дополнительных деталей; но это полная схема процесса.

О, и не забудьте добавить еще один контроллер домена. Вы действительно не должны иметь только один из них.

Перечитывая ваш вопрос, не совсем понятно, сколько у вас контроллеров домена; если у вас уже есть более одного из них, это немного облегчит задачу. Но вам все равно придется повторно использовать имя сервера, и вы не сможете понизить или переименовать сервер, пока на нем размещен ЦС; таким образом:

• Выполнить резервное копирование ЦС
• Удалить AD CS
• Понизить сервер
• Удалить (или переименовать) сервер
• Добавить новый сервер с таким же именем
• Установить AD CS
• Восстановить резервную копию ЦС