Pourquoi ne pas installer une autorité de certification sur un contrôleur de domaine ?

Bonjour

Lors d’un projet de migration des contrôleurs de domaine de Windows 2003 vers Windows 2008 R2, j’ai été confronté à la problématique de la migration du serveur d’autorité de certification d’entreprise.  Ce dernier était installé sur un contrôleur de domaine. Hors je devais rétrograder ce serveur en serveur membre pour finaliser la migration des contrôleurs de domaine vers Windows 2008 R2 et configurer la forêt en mode natif 2008 R2.

PROBLEME :
Lorsque j’ai exécuté l’assistant DCPROMO sur le contrôleur de domaine / serveur d’autorité de certification, j’ai obtenu le message d’erreur suivant :
« Avant de pouvoir installer ou désinstaller Active Directory, vous devez supprimer le composant Autorité de certification ».
Il s’agit d’une contrainte Microsoft et non d’un bug.

SOLUTION :
La solution consiste à :
– Sauvegarder l’autorité de certification depuis la console « Autorité de certification ».
– Sauvegarder les certificats sur votre serveur (faire une exportation au format PFX). Pour cela, lancer une MMC vierge (mmc.exe) et ajouter le composant logiciel enfichable certificat. Faire l’ajout pour l’ordinateur et pour l’utilisation. Faire une exportation de vos certificats en exportant la clé privée (format PFX).
– Sauvegarder la configuration du service CERTSVC avec REGEDT32 en sauvegardant la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ CertSvc\Configuration\CA_NAME.
– Vérifier l’emplacement du service autorité de certification !
– Taper “certutil –shutdown” pour arrêter le service d’autorité de certification.
– Taper “certutil –key” pour avoir des informations sur le certificat d’autorité de certification.
– Taper “certutil –delkey CA_NAME” pour supprimer le certificat de l’autorité de certification.
– Supprimer le composant « Autorité de certification » du serveur. Voir : http://support.microsoft.com/kb/298138/fr
– Lancer DCPROMO sur le serveur pour lui retirer le rôle de contrôleur de domaine.
– Installer de nouveau le composant autorité de certification sur le serveur en réutilisant le certificat de l’autorité de certification sauvegardée. Utiliser le même chemin.
– Restaurer la sauvegarde de l’autorité de certification.
– Tester le redémarrage de la CA.
– Si cela fonctionne, faire une sauvegarde de :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\ Configuration\CA_NAME.
– Supprimer cette clé et toutes les sous clés.
– Restaurer l’ancienne configuration de votre CA en double cliquant sur le fichier .REG obtenu avant de supprimer la CA d’origine.

Pour plus d’informations :
http://support.microsoft.com/kb/555012/en-us
http://www.windowsitpro.com/article/tips/moving-a-certificate-authority-ca-to-another-dc–
http://support.microsoft.com/kb/298138/en-us

Dans certains cas, il n’est pas possible de démarrer le service autorité de certification. Le message d’erreur « Clé incorrecte. Ox80090003 (-2146893821) ». On a un message d’erreur Source CertSvc EVENTID 100 dans le journal d’événement. On a ce problème quand le composant « Autorité de certification » a été réinstallé vers un emplacement différent. La solution est alors de supprimer / réinstaller l’autorité de certification. Si vous ne retrouvez pas l’ancien emplacement de la CA, ne réimporter pas les anciens paramètres du service d’autorité de certification. Pour plus d’informations :
http://blogs.msdn.com/b/danpark/archive/2005/07/19/440524.aspx

Remarque :
Pour rappel, il est n’est pas possible de renommer un serveur avec le composant « Autorité de certification », la solution proposée dans les articles ci-dessus est d’ajouter un nom de service supplémentaire (SPN) au niveau du compte ordinateur du serveur cible. Dans mon cas je voulais conserver l’autorité de certification sur ce serveur. Pas besoin d’appliquer cette technique.

A+
Guillaume MATHIEU
PROSERVIA
La connaissance s’accroît quand on la partage.
http://msreport.free.fr