Лучшее решение при USN Rollback?

Question

[Sergei Shevchenko]

Добрый день, everyone!

Возникла следующая ситуация:
Есть 3 КД: DC, DC2, DC3.
DC - бывший основной КД. Находится в состоянии UNS Rollback.
DC2 - основной КД. Владелец ролей FSMO.
DC3 - нормально реплицируется и работает.

Потенциальный метод решения проблемы - понизить/повысить DC и жить дальше(рекомендовано Microsoft), но есть нюанс. На DC развернут единственный AD CS. Понизить КД без удаления службы невозможно. Насколько я понимаю, удаление службы грозит невозможность проверки выданных сертификатов (на основании самоподписного Root). Крайне нежелательно, так как есть куча клиентов на терминальном доступе.

Закралась мысль попробовать восстановить DC с помощью штатного Backup/Restore (чтобы изменить значение Invocation ID). После включить репликацию и удалить значение - DSA not writeable.

Вопрос следующий - лучшее ли это решение в данной ситуации или я упустил какой-то нюанс?
Может можно сделать всё проще?
Не повредит ли восстановление DC службе AD CS?

P.S. Нет практического опыта переноса службы AD CS на другой сервер. Источники в интернете противоречивы. Возможности сделать cname DC на другой КД нет, так как DC обязательно нужен в сети с таким же именем.

Answer 1

[Alexey Dmitriev]

"Насколько я понимаю, удаление службы грозит невозможность проверки выданных сертификатов (на основании самоподписного Root)."
Почему вы так думаете?
CA не нужно наличие ADDS на той же машине для функционирования.

Плюс она бекапится и восстанавливается довольно просто. Так что бекапы, DC force removal, install new OS, promote new DC, restore CA.
Последний пункт даже правильнее звучит так - build new VM, restore CA.

Comments

[Sergei Shevchenko]

Возможно. Но при попытке понизить КД - однозначно требует удалить службу AD CS.
Проверено лично!

[Sergei Shevchenko]

Меня очень волнуют потенциальные проблемы с сертификатами.
Если я сделаю force removal при установленном там AD CS - насколько это может повлиять?

[Alexey Dmitriev]

Sergei Shevchenko, я не в курсе, никогда не имел CA размещенным с какими-то другими ролями.
При force removal вы можете потерять членство бывшего DC в домене, придется после metadata cleanup перевводить в домен.
CA нужно забекапить, а лучше вообще поднять новую VM на любом сервере и перенести.

Вообще главный ответ на ваш вопрос он таков - не стоит в продакшн среде делать то, в чем вы не уверены.

[Sergei Shevchenko]

Alexey Dmitriev,согласен, именно потому и пришел задать вопросы.
Может у кого был практический опыт с переносом CA без отзыва сертификатов.
В любом случае, большое вам спасибо за мнение и мысли!

Answer 2

[Sergei Shevchenko]

Все работы выполнены успешно!
Порядок действий:
1. Полный бэкап DC и центра CA.
2. Удаление центра СA.
3. Понижение DC.
4. Повышение DC.
5. Установка CA.
6. Восстановление бэкапа CA.
7. Проверка публикации сертификатов в IIS. Перепубликации в случае проблем.

Сейчас КД работает правильно и полноценно, как и центр CA.