Windows Server 2012 R2 用 Active Directory 証明書サービス移行ガイド
適用対象: Windows Server 2008,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012
このガイドについて
このドキュメントでは、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 R2、または Windows Server 2003 を実行しているサーバーから、Windows Server 2012 R2 を実行しているサーバーに証明機関 (CA) を移行するためのガイダンスを紹介しています。
対象読者
CA の移行を計画および実行する役割を担う管理者または IT 運用エンジニア。
ネットワーク、サーバー、クライアント コンピューター、オペレーティング システム、またはアプリケーションの日常的な管理およびトラブルシューティングを行う管理者または IT 運用エンジニア。
ネットワークおよびサーバー管理を担当する IT 運用マネージャー。
組織全体のコンピューター管理およびセキュリティに責任を負う IT アーキテクト
サポートされている移行のシナリオ
このガイドでは、Active Directory® 証明書サービス (AD CS) を実行している既存のサーバーを、Windows Server 2008 R2 または Windows Server 2012 R2 を実行しているサーバーに移行する方法について説明します。 移行元サーバーで複数の役割が実行されている場合の移行方法については取り上げていません。 サーバーで複数の役割が実行されている場合は、他の役割の移行ガイドで説明されている情報に基づいて、サーバー環境に合わせたカスタムの移行手順を設計する必要があります。 その他のサーバーの役割の移行ガイドについては、「Windows Server の役割と機能を移行する」 (https://go.microsoft.com/fwlink/?LinkID=128554) を参照してください。
注意
このガイドは、ドメイン コントローラーでもある移行元サーバーから、別の名前を持つ移行先サーバーに CA を移行するために使用できます。 ただし、ドメイン コントローラーの移行については、このガイドでは説明していません。 Active Directory ドメイン サービス (AD DS) の移行の詳細については、「Active Directory ドメイン サービスおよび DNS サーバーの移行ガイド」 (https://go.microsoft.com/fwlink/?LinkId=179357) を参照してください。
サポートされているオペレーティング システム
このガイドでは、次の表に示されているオペレーティング システムのバージョンおよびサービス パックを実行している移行元サーバーからの移行をサポートします。 このドキュメントで説明されているすべての移行は、次の表で指定されているように、移行先サーバーが Windows Server 2012 R2 を実行していることが想定されています。
移行元サーバーのプロセッサ |
移行元サーバーのオペレーティング システム |
移行先サーバーのオペレーティング システム |
移行先サーバーのプロセッサ |
|---|---|---|---|
x64 ベース |
Windows Server 2012 R2 |
Windows Server 2012 R2、GUI 使用サーバーのみ (Server Core や Minimal Server Interface を除く) |
x64 ベース |
x64 ベース |
Windows Server 2012 |
Windows Server 2012 R2 または Windows Server 2012、GUI 使用サーバーのみ (Server Core や Minimal Server Interface を除く) |
x64 ベース |
x64 ベース |
Windows Server 2008 R2 |
Windows Server 2012 R2 または Windows Server 2012、GUI 使用サーバーのみ (Server Core や Minimal Server Interface を除く)、あるいは Windows Server 2008 R2、フル インストール オプションと Server Core インストール オプションの両方 |
x64 ベース |
x86 ベースまたは x64 ベース |
Windows Server 2008 |
Windows Server 2012 R2 または Windows Server 2012、GUI 使用サーバーのみ (Server Core や Minimal Server Interface を除く)、あるいは Windows Server 2008 R2、フル インストール オプションと Server Core インストール オプションの両方 |
x64 ベース |
x86 ベースまたは x64 ベース |
Windows Server 2003 R2 |
Windows Server 2012 R2 または Windows Server 2012、GUI 使用サーバーのみ (Server Core や Minimal Server Interface を除く)、あるいは Windows Server 2008 R2、フル インストール オプションと Server Core インストール オプションの両方 |
x64 ベース |
x86 ベースまたは x64 ベース |
Windows Server 2003 Service Pack 2 |
Windows Server 2012 R2 または Windows Server 2012、GUI 使用サーバーのみ (Server Core や Minimal Server Interface を除く)、あるいは Windows Server 2008 R2、フル インストール オプションと Server Core インストール オプションの両方 |
x64 ベース |
注意
Windows Server 2003 Service Pack 2 または Windows Server 2003 R2 から Windows Server 2012 R2 への直接のインプレース アップグレードはサポートされません。 x64 ベースのコンピューターを実行している場合は、まず CA 役割サービスを Windows Server 2003 Service Pack 2 または Windows Server 2003 R2 から Windows Server 2008 または Windows Server 2008 R2 にアップグレードしてから、Windows Server 2012 R2 または Windows Server 2012 にアップグレードできます。
このガイドで説明されていないもの
Windows Server 2012 R2、Windows Server 2012、または Windows Server 2008 R2 にアップグレードする手順
その他のサーバーの役割を移行する手順
その他の AD CS 役割サービスを移行する手順
通常、次の AD CS 役割サービスについては移行の必要はありません。 代わりに、役割サービスのインストール手順を実行することで、Windows Server 2008 R2 または Windows Server 2012 を実行しているコンピューターにこれらの役割サービスをインストールして構成することができます。 その他の AD CS 役割サービスでの CA 移行による影響の詳細については、「企業内の他のコンピューターに波及する移行の影響」を参照してください。
オンライン レスポンダー (https://go.microsoft.com/fwlink/?LinkId=143098)
ネットワーク デバイスの登録 (https://go.microsoft.com/fwlink/?LinkId=179362)
証明書の登録 Web サービス (https://go.microsoft.com/fwlink/?LinkId=179363)
CA の移行の概要
証明機関 (CA) の移行には、次のセクションで説明するいくつかの手順が含まれます。
警告
移行の実行中、既存の CA (コンピューター、または少なくとも CA サービス) をオフにするように求められます。 移行先 CA に対して、元の CA と同じ名前を付けるように求められます。 コンピューター名 (ホスト名または NetBIOS 名) は、元の CA と一致する必要はありません。 ただし、移行先 CA の名前が移行元 CA と一致する必要があります。 また、移行先 CA の名前を、移行先コンピューターの名前と同じにすることはできません。
注意
既存の PKI 階層を引き続き活用しながら、新しい PKI 階層をインストールすることが可能です。 ただし、そのためには 新しい PKI を設計する必要がありますが、それについてはこのガイドでは説明していません。 組織のデュアル PKI の機能に関する非公式の概要については、Ask DS ブログ記事「単一の Microsoft CA から Microsoft 推奨 PKI への組織の移行」を参照してください。
移行の準備
証明機関の移行
フェールオーバー クラスタリングのための追加の手順 (省略可能)
移行の検証
移行後のタスク
移行の影響
移行元サーバーに波及する移行の影響
このガイドで説明されている CA の移行手順には、移行が完了して移行先サーバー上の CA 機能が検証された後に、移行元サーバーを使用停止にする手順が含まれます。 移行元サーバーを使用停止にしない場合は、移行元サーバーと移行先サーバーの名前が異なる必要があります。 移行先サーバーの名前が移行元サーバーの名前と異なる場合は、移行先サーバー上の CA 構成を更新するための追加の手順が必要となります。
企業内の他のコンピューターに波及する移行の影響
移行中に、CA は 証明書を発行したり CRL を発行したりできません。
CA の移行中にドメイン メンバーが失効状態を確認できるようにするには、計画された移行期間以降も有効な CRL を発行する必要があります。
以前に発行された証明書の機関識別アクセスおよび CRL 配布ポイント拡張機能は、移行元 CA の名前を参照する場合があるため、同じ場所に対する CA 証明書および CRL を引き続き発行するか、またはリダイレクト ソリューションを指定する必要があります。 IIS リダイレクトの構成の例については、「IIS 6.0 で Web サイトをリダイレクトする」を参照してください。
移行を完了するために必要なアクセス許可
エンタープライズ CA またはスタンドアロン CA をドメイン メンバー コンピューターにインストールするには、Enterprise Admins グループまたはドメイン内の Domain Admins グループのメンバーである必要があります。 スタンドアロン CA をドメイン メンバーではないサーバーにインストールするには、ローカルの Administrators グループのメンバーである必要があります。 移行元サーバーから CA 役割サービスを削除する場合、グループ メンバーシップの要件はインストール時と同じです。
推定所要時間
最も単純な CA 移行は、通常は 1 ~ 2 時間以内に実行できます。 CA 移行の実際の所要時間は、CA の数と CA データベースのサイズによって異なります。