การกู้คืนข้อมูล (Restore) ของ Active Directory Certificate Service (AD CS)

0
1688

ในกรณีที่เครื่องคอมพิวเตอร์ซึ่งทำหน้าที่เป็น Certificate Authority เกิดปัญหาในการทำการ จะส่งให้โครงสร้างพื้นฐานเกี่ยวกับการจัดการกุญแจ (Public Key Infrastructure หรือ PKI) ไม่สามารถดำเนินการได้อย่างถูกต้อง จะส่งผลให้ไม่สามารถดำเนินการสร้างกุญแจใหม่ หรือทำการพิสูจน์ตัวตนที่เกี่ยวข้องกับ PKI ได้ ดังนั้นในกรณีที่ได้ทำการสำรองข้อมูลของ Certificate Authority ไว้แล้วนั้น เราสามารถนำข้อมูลที่สำรองไว้มากู้คืนระบบได้ ด้วยวฺิธีการดังต่อไปนี้

ด้วยเหตุที่ในการสำรองข้อมูลระบบ (System State) นั้น ไม่มีการทำการสำรอง Private Key ของ Certificate Authority ดังนั้นภายหลังจากการกู้คืนระบบคอมพิวเตอร์โดยใช้ System State เสร็จสิ้นแล้ว จะต้องดำเนินการเพิ่มเติมบางประการดังต่อไปนี้

 

ขั้นตอนที่ 1 กู้คืน System State ของเครื่องคอมพิวเตอร์

เป็นการกู้คืนการทำงานต่างๆ เช่น Roles และ Features ต่างที่ติดตั้งไว้ในเครื่อง ให้กลับมาใช้งานได้ตามปกติ ดูรายละเอียดเพิ่มเติม

ขั้นตอนที่ 2 กู้คืนข้อมูลของ Certificate Authority มาไว้ในแหล่งเก็บข้อมูลชั่วคราว

นำข้อมูลของ Certificate Authority (CA) ที่ได้สำรองไว้โดยใช้ Windows Server Backup ไว้ก่อนหน้ามา กลับมาไว้ในเครื่อง ดูรายละเอียดเพิ่มเติม ซึ่งเมื่อเสร็จสิ้นกระบวนการจะได้ File ที่เรา Backup ไว้กลับมาอยู่ใน C:\BackupCA หรือ Folder อื่นๆ ที่ต้องการ ดังรูป

clip_image001

ขั้นตอนที่ 3 หยุดการทำงานของ Certificate Authority

  • ขั้นตอนนี้ให้เข้าไปที่ “Services.msc” และตรวจสอบการทำงานของบริการ “Active Directory Certificate Services” ให้มี Status เป็น “ว่าง” ดังรูป ซึ่งแสดงว่าบริการนี้ไม่ได้ทำงานอยู่

clip_image002

ขั้นตอนที่ 4 กู้คืน Registry ที่เกี่ยวข้องกับการทำงานของ Certificate Authority

  • ใช้ Windows Explorer ไปที่ “C:\BackupCA” และ Double Click ที่ File นามสกุล .reg ที่ Backup มา ดังตัวอย่าง

clip_image003

  • ยืนยันการดำเนินการเกี่ยวกับ Registry โดยการคลิก “[YES]”

clip_image004

  • เมื่อดำเนินการเสร็จ คลิก “[OK]”

clip_image005

ขั้นตอนที่ 5 กู้คืน Private Key และ Database ของ Certificate Authority

  • เปิด Certificate Authority snapin จาก Start –> Administrative Tools –> Certificate Authority (ถ้าไม่มีให้ดำเนินการ Add Snapin เพิ่มเติม ดังนี้)
  • คลิกขวาที่ชื่อเครื่องคอมพิวเตอร์ เลือก “All Tasks” และ “Restore CA” ตามลำดับ

clip_image006

  • ในหน้าต่าง Welcome to the Certification Authority Restore Wizard คลิก “[NEXT]”

clip_image007

  • ในหน้าต่าง Items to Restore ให้เลือก “Private key and CA Certificate” และ “Certificate Database and Certificate Database log”
    จากนั้น เลือก Path ที่เก็บข้อมูลที่ Backup ไว้ และคลิก “[NEXT]”

clip_image008

  • กรอกรหัสผ่านของ Private Key (เป็นรหัสผ่านที่ใส่ใน certutil –password xxx ตอน Backup ไว้นั่นแหละครับ) จากนั้นคลิก “[NEXT]”

clip_image009

  • จากนั้นคลิก “[Finish]”

clip_image010

  • จากนั้นจะปรากฎข้อความให้ยืนยันการ Restart Service ให้ตอบ “[YES]”

clip_image011

  • Certificate Authority พร้อมที่ทำงานสังเกตได้จากมี icon รูปเครื่องหมายถูกสีเขียวอยู่ด้านหน้า

clip_image012