Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration vers un autre serveur auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
Anstelle eines In-Place Upgrades wird dringend empfohlen, die Zertifizierungsstelle auf einen anderen Server mit einem aktuellen Betriebssystem zu migrieren. Siehe Artikel „Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur„ .
Wird ein Hardware Security Modul (HSM) eingesetzt, muss vor der Durchführung des In-Place Upgrades mit dem Hersteller des HSM geklärt werden, ob dessen Key Storage Provider (KSP) das neue Betriebssystem unterstützt. Nebst einem Update des Key Storage Providers kann es als Abhängigkeit auch erforderlich sein, die Firmware des Hardware Security Moduls zu aktualisieren.
Das Downgrade einer Windows-Edition z.B. von Windows Server Datacenter auf Windows Server Standard wird nicht unterstützt.
Vorbereitende Arbeiten
- Sicherstellen, dass die Zeil-Hardware (physisch oder virtuell) die Installation des neuen Betriebssystems unterstützt.
- Bereitstellung des Lizenzschlüssels für das neue Betriebssystem. Während der Aktualisierung wird der Lizenzschlüssel für das Ziel-Betriebssystem benötigt.
- Bereitstellen des Installations-Datenträgers des neuen Betriebssystems
- Sicherstellen des physischen Zugangs zum Server bzw. zur Konfiguration und Konsole der virtuellen Maschine.
- Installieren aller Windows-Updates für das aktuelle Betriebssystem.
- Versetzen der Zertifizierungsstelle in den Wartungsmodus. Siehe Artikel „Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance„ .
- Veröffentlichen einer Sperrliste. Siehe Artikel „Création et publication d'une liste de révocation de certificats„ .
- Durchführen einer Notfall-Sperrlisten-Signierung. Siehe Artikel „Durchführen der Notfallsignierung von Zertifikatsperrlisten„ .
- Erstellen einer aktuellen Sicherung (Backup) der Zertifizierungsstelle. Siehe Artikel „Créer une sauvegarde (backup) d'une autorité de certification„ .
Durchführung des Upgrades
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Nachdem der Datenträger für das neue Betriebssystem eingelegt wurde, kann die Installation gestartet werden.
Üblicherweise verfügen Serversysteme ohnehin über keine Internetverbindung, sodass hier die Option, Updates herunterzuladen, abgewählt werden kann. Bitte jedoch beachten, dass der Server in diesem Fall ohne Sicherheitsupdates wieder hochfahren wird. Dies wird dazu führen, dass die Remotedesktopverbindung von einem aktuellen Client aus nicht mehr funktionieren wird, da das Update für die Sicherheitslücke CVE-2018-0866 noch nicht installiert wurde.
Im nächsten Dialog muss der Product Key eingegeben werden. Bitte beachten, dass der Lizenzschlüssel zur Windows-Edition passen muss. War das alte Betriebssystem eine Standard Edition, muss das neue System ebenfalls eine Standard Edition sein.
Da Zertifizierungsstellen üblicherweise mit graphischer Oberfläche installiert werden, sollte im nächsten Dialog die Option „Desktop Experience“ gewählt werden.
Im nächsten Dialog werden die Lizenzbedingungen akzeptiert, um fortfahren zu können.
Im nächsten Dialog muss unbedingt die Option „Keep personal files and apps“ ausgewählt werden, damit die Zertifizierungsstellen-Installation erhalten bleibt. Ist hier nur die Option „Nothing“ auswählbar, passt entweder die Betriebssystem-Sprache oder die Betriebssystem-Edition nicht zusammen.
Windows Server 2016 weist explizit darauf hin, dass In-Place Upgrades nicht empfohlen werden. Möchte man fortfahren, muss man diesen Hinweis bestätigen.
Im letzten Dialog wird eine Zusammenfassung des ausgewählten Optionen angezeigt und anschließend die Installation gestartet.
Anschließend erfolgt die Installation des neuen Betriebssystems. Der Server wird mehrfach neu starten, bevor er mit dem neuen Betriebssystem wieder genutzt werden kann.
Problemlösungen
Keine Möglichkeit, während des Upgrades Apps und Dateien zu behalten
Ein Downgrade der Windows-Editionen wird nicht unterstützt. In diesem Fall ist im Dialog „Choose what to keep“ nur die Option „Nothing“ verfügbar. Es darf keinesfalls fortgefahren werden, da andernfalls eine Neuinstallation des Betriebssystems erfolgt und alle vorhandenen Daten gelöscht werden.
Der Zertifizierungsstellen-Dienst startet nicht nach In-Place Upgrade
Meldet man sich nach dem In-Place Upgrade das erste Mal an, wird man feststellen, dass der Zertifizierungsstellen-Dienst nicht gestartet ist und sich auch nicht starten lässt.
The service cannot be started, either because it is disabled or because it has not enabled devices associated with it.
0x422 (WIN32: 1058 ERROR_SERVICE_DISABLED)
Hierbei handelt es sich um ein bekanntes, wenn auch kurioses Problem und kann durch einen einmaligen Neustart des Servers gelöst werden.
Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade
Sehr wahrscheinlich wird nach dem In-Place Upgrade keine Remotedesktopverbindung zum Server möglich sein. Für den Grund und die Lösung siehe Artikel „Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems„ .
Retouches
- Windows aktivieren, sofern erforderlich. Nach dem Upgrade muss der Server unter Umständen noch mit einem KMS-Server verbunden, oder das Betriebssystem aktiviert werden.
- Aktuelle Windows-Updates installieren. Der Server startet ohne Sicherheitsupdates, daher müssen diese umgehend installiert werden.
- Wurde ein Upgrade ausgehend von einer Zertifizierungsstelle, die auf Windows Server 2008 R2 oder älter lief vorgenommen, kann es sinnvoll sein, die Erzeugung der Seriennummern für ausgestellte Zertifikate auf den neuen Standard anzupassen. Näheres hierzu siehe Artikel „Comment est formé le numéro de série d'un certificat ?„ .
- Funktionstest für die Zertifizierungsstelle durchführen. Siehe Artikel „Réaliser un test de fonctionnement pour un organisme de certification„ .
- Aktuelle Sicherung (Backup) erstellen. Siehe hierzu Artikel „Créer une sauvegarde (backup) d'une autorité de certification„ .
Liens complémentaires :
- Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 R2 zu Windows Server 2012 R2
Français 
Deutsch 
English
Les commentaires sont fermés.