Cmdlet di Windows PowerShell per il backup e ripristino di una CA
Autore: Justin Turner, Senior Support Escalation Engineer del gruppo Windows
Nota
Questo contenuto è stato redatto da un ingegnere del Supporto tecnico Microsoft ed è destinato ad amministratori esperti e architetti di sistemi che desiderano una spiegazione tecnica delle funzionalità e delle soluzioni relative a Windows Server 2012 R2 più approfondita rispetto agli argomenti solitamente disponibili su TechNet. Non è stato tuttavia sottoposto agli stessi passaggi redazionali e, di conseguenza, per alcune lingue potrebbe essere meno accurato della documentazione che si trova in genere su TechNet.
Panoramica
Il modulo ADCSAdministration di Windows PowerShell è stato introdotto in Window Server 2012. A questo modulo sono stati aggiunti due nuovi cmdlet in Window Server 2012 R2 per supportare il backup e il ripristino di una CA.
Backup-CARoleService
Restore-CARoleService
Backup-CARoleService
Cmdlet ADCSAdministration: Backup-CARoleService
| Argomenti: gli argomenti in grassetto sono obbligatori | Descrizione |
|---|---|
| -Path | - Stringa: percorso per salvare il backup - Questo è l'unico parametro senza nome - parametri posizionali Esempio Backup-CARoleService.-Path c:\adcsbackup1 Backup-CARoleService c:\adcsbackup2 |
| -KeyOnly | - Eseguire il backup del certificato della CA senza il database Esempio Backup-CARoleService c:\adcsbackup3 -KeyOnly |
| -Password | - Specifica la password per proteggere i certificati e le chiavi private della CA - Deve essere una stringa sicura - Non valido con il parametro -DatabaseOnly Esempio: Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt "Password:" -AsSecureString) Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force) |
| -DatabaseOnly | - Eseguire il backup del database senza il certificato della CA Backup-CARoleService c:\adcsbackup6 -DatabaseOnly |
| -Force | 1. Consente di sovrascrivere il backup preesistente nel percorso specificato nel parametro -Path Backup-CARoleService c:\adcsbackup1 -Force |
| -Incremental | - Eseguire un backup incrementale Backup-CARoleService c:\adcsbackup7 -Incremental |
| -KeepLog | 1. Indica al comando di mantenere i file di log. Se l'opzione non è specificata, i file di log vengono troncati per impostazione predefinita, ad eccezione dello scenario incrementale Backup-CARoleService c:\adcsbackup7 -KeepLog |
-Password <Secure String>
Se viene usato il parametro -Password, la password specificata deve essere una stringa sicura. Usare il cmdlet Read-Host per avviare una richiesta interattiva di immissione della password sicura o usare il cmdlet ConvertTo-SecureString per specificare la password in linea.
Esaminare gli esempi seguenti
Specifica di una stringa sicura per il parametro Password tramite Read-Host
Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt "Password:" -AsSecureString)
Specifica di una stringa sicura per il parametro Password tramite ConvertTo-SecureString
Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force)
Restore-CARoleService
ADCSAdministration Cmdlet: Restore-CARoleService
| Argomenti: gli argomenti in grassetto sono obbligatori | Descrizione |
|---|---|
| -Path | - Stringa: percorso da cui ripristinare il backup - Questo è l'unico parametro senza nome - parametri posizionali Esempio Restore-CARoleService.-Path c:\adcsbackup1 -Force Restore-CARoleService c:\adcsbackup2 -Force |
| -KeyOnly | - Ripristinare il certificato della CA senza il database - Deve essere specificato se il backup è stato eseguito con l'opzione -KeyOnly Esempio Restore-CARoleService c:\adcsbackup3 -KeyOnly -Force |
| -Password | - Specifica la password dei certificati della CA e delle chiavi private - Deve essere una stringa sicura Esempio Restore-CARoleService c:\adcsbackup4 -Password (read-host -prompt "Password:" -AsSecureString) -Force Restore-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString "Pa55w0rd!" -AsPlainText -Force) -Force |
| -DatabaseOnly | - Ripristinare il database senza il certificato CA Restore-CARoleService c:\adcsbackup6 -DatabaseOnly |
| -Force | - Consente di sovrascrivere le chiavi preesistenti - È un parametro facoltativo, ma quando si ripristina sul posto, è probabile che sia necessario Restore-CARoleService c:\adcsbackup1 -Force |
Problemi
Se la funzione ConvertTo-SecureString ha esito negativo quando si usa Backup-CARoleService con il parametro -Password, viene eseguito un backup protetto senza password.
Errori comuni
| Azione | Errore | Commento |
|---|---|---|
| Restore-CARoleService C:\ADCSBackup | Restore-CARoleService: il processo non può accedere al file perché viene usato da un altro processo. (Eccezione da HRESULT: 0x80070020) |
Arrestare il servizio Servizi certificati Active Directory prima di eseguire il cmdlet Restore-CARoleService |
| Restore-CARoleService C:\ADCSBackup | Restore-CARoleService: la directory non è vuota. (Eccezione da HRESULT: 0x80070091) | Usare il parametro -Force per sovrascrivere le chiavi preesistenti |
| Backup-CARoleService C:\ADCSBackup -Password (Read-Host -Prompt "Password:" -AsSecureString) -DatabaseOnly | Backup-CARoleService: il set di parametri non può essere risolto usando i parametri denominati specificati. | Il parametro -Password viene usato solo per proteggere le chiavi private e pertanto non è valido quando non si esegue il backup |
| Restore-CARoleService C:\ADCSBack15 -Password (Read-Host -Prompt "Password:" -AsSecureString) -DatabaseOnly | Restore-CARoleService: il set di parametri non può essere risolto usando i parametri denominati specificati. | Il parametro -Password viene usato solo per proteggere le chiavi private e pertanto non è valido quando non vengono ripristinate |
| Restore-CARoleService C:\ADCSBack14 -Password (Read-Host -Prompt "Password:" -AsSecureString) | Restore-CARoleService: il sistema non riesce a trovare il file specificato. (Eccezione da HRESULT: 0x80070002) | Il percorso specificato non contiene un backup valido del database. Il percorso non è valido o il backup è stato eseguito con l'opzione -KeysOnly? |
Risorse aggiuntive
Guida alla migrazione di Servizi certificati Active Directory
Backup di un database e di una chiave privata della CA
Ripristino del database e della configurazione CA nel server di destinazione
Provare a eseguire il backup della CA nel lab usando Windows PowerShell
Usare i comandi di questa lezione per eseguire il backup del database della CA e della chiave privata protetti con una password.
Non effettuare il ripristino della CA in questo momento.