In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 R2 oder 2016 zu Windows Server 2019

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

Anstelle eines In-Place Upgrades wird dringend empfohlen, die Zertifizierungsstelle auf einen anderen Server mit einem aktuellen Betriebssystem zu migrieren. Siehe Artikel "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server".

Wird ein Hardware Security Modul (HSM) eingesetzt, muss vor der Durchführung des In-Place Upgrades mit dem Hersteller des HSM geklärt werden, ob dessen Key Storage Provider (KSP) das neue Betriebssystem unterstützt. Nebst einem Update des Key Storage Providers kann es als Abhängigkeit auch erforderlich sein, die Firmware des Hardware Security Moduls zu aktualisieren.

Das Downgrade einer Windows-Edition z.B. von Windows Server Datacenter auf Windows Server Standard wird nicht unterstützt.

Laut der offiziellen Dokumentation von Microsoft zum Thema In-Place Upgrade wird das direkte Upgrade von Windows Server 2012 auf 2019 nicht unterstützt, ist aber technisch möglich, da der Installationsassistent diese Kombination nicht untersagt. Dennoch ist hiervon für produktive Systeme abzuraten.

Vorbereitende Arbeiten

Durchführung des Upgrades

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Nachdem der Datenträger für das neue Betriebssystem eingelegt wurde, kann die Installation gestartet werden.

Üblicherweise verfügen Serversysteme ohnehin über keine Internetverbindung, sodass hier die Option, Updates herunterzuladen, abgewählt werden kann. Bitte jedoch beachten, dass der Server in diesem Fall ohne Sicherheitsupdates wieder hochfahren wird. Dies wird dazu führen, dass die Remotedesktopverbindung von einem aktuellen Client aus nicht mehr funktionieren wird, da das Update für die Sicherheitslücke CVE-2018-0866 noch nicht installiert wurde.

Im nächsten Dialog muss der Product Key eingegeben werden. Bitte beachten, dass der Lizenzschlüssel zur Windows-Edition passen muss. War das alte Betriebssystem eine Standard Edition, muss das neue System ebenfalls eine Standard Edition sein.

Microsoft hat den Installationsassistenten für Windows Server 2019 zum August 2020 hin bearbeitet, sodass kein Lizenzschlüssel mehr abgefragt wird. Grund hierfür war offenbar, dass die vorigen Installationsassistenten bei einem In-Place Upgrade aufgrund eines Fehlers mit dem Lizenzschlüssel das Upgrade abgebrochen hatten. Es sollte daher bevorzugterweise ein Installationsdatenträger vom Stand August 2020 oder später verwendet werden, welcher diesen Fehler nicht hat.

Da Zertifizierungsstellen üblicherweise mit graphischer Oberfläche installiert werden, sollte im nächsten Dialog die Option "Desktop Experience" gewählt werden.

Im nächsten Dialog werden die Lizenzbedingungen akzeptiert, um fortfahren zu können.

Im nächsten Dialog muss unbedingt die Option "Keep personal files and apps" ausgewählt werden, damit die Zertifizierungsstellen-Installation erhalten bleibt. Ist hier nur die Option "Nothing" auswählbar, passt entweder die Betriebssystem-Sprache oder die Betriebssystem-Edition nicht zusammen.

Im letzten Dialog wird eine Zusammenfassung des ausgewählten Optionen angezeigt und anschließend die Installation gestartet.

Anschließend erfolgt die Installation des neuen Betriebssystems. Der Server wird mehrfach neu starten, bevor er mit dem neuen Betriebssystem wieder genutzt werden kann.

Problemlösungen

Keine Möglichkeit, während des Upgrades Apps und Dateien zu behalten

Ein Downgrade der Windows-Editionen wird nicht unterstützt. In diesem Fall ist im Dialog "Choose what to keep" nur die Option "Nothing" verfügbar. Es darf keinesfalls fortgefahren werden, da andernfalls eine Neuinstallation des Betriebssystems erfolgt und alle vorhandenen Daten gelöscht werden.

Das Upgrade schlägt fehl mit Fehlermeldung "The installation failed in the SAFE_OS phase with an error during SET_PRODUCT_KEY operation"

Die Windows Server 2019 Datenträger vor August 2020 enthalten einen Fehler in der Installationsroutine, welcher bewirkt, dass das Upgrade abbricht und folgenden Fehler erzeugt:

0x80070490 0x2000E
The installation failed in the SAFE_OS phase with an error during SET_PRODUCT_KEY operation

In diesem Fall sollte sichergestellt werden, dass man einen Datenträger vom Stand August 2020 oder später verwendet.

Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade

Dieser Fehler sollte nicht auftreten, wenn ein aktuelles Installationsmedium vom Stand August 2020, wie zuvor empfohlen, verwendet wird.

Sehr wahrscheinlich wird nach dem In-Place Upgrade keine Remotedesktopverbindung zum Server möglich sein. Für den Grund und die Lösung siehe Artikel "Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems".

Nacharbeiten

  • Windows aktivieren, sofern erforderlich. Nach dem Upgrade muss der Server unter Umständen noch mit einem KMS-Server verbunden, oder das Betriebssystem aktiviert werden.
  • Aktuelle Windows-Updates installieren. Der Server startet ohne Sicherheitsupdates, daher müssen diese umgehend installiert werden.
  • Wurde ein Upgrade ausgehend von einer Zertifizierungsstelle, die auf Windows Server 2008 R2 oder älter lief vorgenommen, kann es sinnvoll sein, die Erzeugung der Seriennummern für ausgestellte Zertifikate auf den neuen Standard anzupassen. Näheres hierzu siehe Artikel "Wie wird die Seriennummer eines Zertifikats gebildet?".
  • Funktionstest für die Zertifizierungsstelle durchführen. Siehe Artikel "Funktionstest durchführen für eine Zertifizierungsstelle".
  • Aktuelle Sicherung (Backup) erstellen. Siehe hierzu Artikel "Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen".

Weiterführende Links:

Externe Quellen

2 Gedanken zu „In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 R2 oder 2016 zu Windows Server 2019“

Kommentare sind geschlossen.

de_DEDeutsch