Как получить справку о смене фамилии из архива загса через госуслуги: Порядок получения справки о смене фамилии: куда обращаться

Содержание

Как получить справку о регистрации брака через «Госуслуги»

Оформление официальных бумаг отнимает много сил и энергии. Для экономии ресурсов можно обратиться к интернет-сервисам, например, получить справку о регистрации брака через «Госуслуги».

Что это за справка и для чего она нужна

Юридическое название этого документа — справка о государственной регистрации брака. Начало брачных отношений регистрируется записью в книге актов гражданского состояния. Сведения об этом событии находятся в структурах ЗАГСа. Таким образом, гражданин может запросить необходимую выписку.

Она требуется для оформления социальных выплат или назначения пенсии. Этим документом подтверждается смена фамилии в результате развода. Такую выписку выдают, если потеряно свидетельство о заключении брака.

Получать справку имеют право супруг или опекун, а также родственник или человек, располагающий доверенностью, подтвержденной нотариусом.

Как можно получить

Получают справку о заключении брака несколькими способами: лично или с помощью представителя, также можно обратиться в МФЦ или получить справку о браке через «Госуслуги».

Для заказа документа подают заявление и оплачивают госпошлину.

Отправляют заявку и через интернет-сервис. Подавая ее, придется выбрать конкретный орган ЗАГС, в который направят заявление. Если же необходимо взять выписку в отделе, находящемся в другом районе или городе, придется указать его адрес и почтовый индекс.

Срок подготовки справки — 1-3 рабочих дня. Заявителя своевременно ставят об этом в известность. Получают документ, обратившись в ЗАГС либо через доверенное лицо.

Получение архивной справки

Этот вид выписки запрашивают, когда данные уже перенесены в архив. Заявление о выдаче подается непосредственно в архив либо через органы ЗАГС. Можно получить справку из архива ЗАГСа через «Госуслуги». Это удобно, если человек живет в другом городе, регионе или стране.

Может возникнуть ситуация, когда у гражданина не получается подать заявление в ЗАГС через «Госуслуги». Так происходит, если услуга не оказывается интернет-сервисом по месту жительства заявителя.

Исходя из содержания запроса предоставляется документ по формам 5 или 6.

Порядок получения удостоверения о состоянии в браке по форме 5

Удостоверение выписывается, когда выдавать дубликат о заключении брака не нужно или невозможно.

Органами ЗАГС установлена специальная форма заявления. Его могут подавать супруги. Таким правом обладают также опекуны недееспособных граждан или доверенные представители.

Для получения удостоверения необходимо оплатить госпошлину. Личное обращение не единственный вариант, можно получить справку о регистрации брака через «Госуслуги».

Порядок получения документа по форме 6

Документ выдается супругам, которые официально оформили развод. Его содержание является подтверждением, что брак был заключен, а затем расторгнут.

За таким документом могут обращаться также представители супруга с доверенностью, заверенной нотариусом. Это право имеют и родственники, если человек, состоявший в официальном браке, умер.

Также потребуется оплата госпошлины — 200 р. Подать заявление можно онлайн, если граждане желают получить справку о браке через «Госуслуги».

Как оформить заявку на портале «Госуслуг»

Удобно отправить заявку и получить справку о регистрации брака через «Госуслуги».

Заказывать через портал несложно, объяснения даются пошагово.

Прежде всего на интернет-ресурсе у человека, желающего оформить заявку, должна иметься учетная запись.

Чтобы начать подачу заявления, нужно выбрать раздел «Услуги» и нажать значок «Семья и дети». Появится страница с перечнем услуг и житейских ситуаций.

Если в списке услуг, доступных в месте проживания заявителя, есть отправка заявки с помощью сайта, следует:

  • отыскать раздел с необходимым отделом ЗАГСа;
  • нажать значок «Справка о заключении брака или разводе».

На следующей странице заявитель будет ознакомлен с дальнейшими действиями по получению справки о заключении брака через «Госуслуги». Затем нужно:

  • выбрать значок «Получить услугу»;
  • заполнить заявление, появившееся на мониторе;
  • оплатить пошлину онлайн.

Когда действия будут выполнены, электронная заявка зарегистрируется.

Заявителю потребуется выбрать, каким способом получить результат.

После следует нажать кнопку «Отправить», а по готовности получить справку из ЗАГСа через портал госуслуг.

Сколько действительна полученная справка

Виды документов о заключении семейного союза, выданные сотрудниками ЗАГСа, бессрочны. Они могут потерять актуальность, если гражданское состояние супругов изменилось.

Возможные проблемы при оформлении

Существуют два условия, почему гражданину могут отказать в выдаче выписки. Первое условие — отсутствие обязательных документов. Также она не будет выдана, если заявитель не является лицом, которое имеет право на ее оформление.

Получить справку из ЗАГСа через «Госуслуги» — это удобный способ, экономящий время и помогающий быстро оформить документ.

Как мне получить справку о смене фамилии. В 1990 г вступал в брак в Беларуси, взял фамилию жены, в 2007 развелись уже в России.

Максим!

Вам следует обратиться в дипломатическое представительство Республики Беларусь в России.

На сайте Посольства Беларуси в России имеется на этот счет следующая информация:

"Белорусские граждане и лица без гражданства, проживающие за границей, а также иностранные граждане могут истребовать из Республики Беларусь через дипломатические представительства, имеющиеся в стране их проживания или гражданства, документы органов ЗАГС, выданные на территории Республики Беларусь.

Заинтересованные лица заполняют по два экземпляра анкеты установленного образца на каждый истребуемый документ.

Заявления белорусских, иностранных граждан и лиц без гражданства, проживающих за границей, поступившие непосредственно в белорусские учреждения и государственные архивы и относящиеся к их компетенции, исполняются в установленном порядке, истребованные документы направляются вместе с копиями заявлений в Консульское управление МИД Республики Беларусь для отправки в соответствующее консульское учреждение Республики Беларусь за границей и вручения заявителю, уплатившему консульский сбор за истребование документа".

Архив органов ЗАГС Брестской области

Адрес: 224030 Брестская обл., г. Брест, пл. Свободы, 18

Телефон: (+375162) 21 17 38

Архив органов ЗАГС Гомельской области

Адрес: 246050 Гомельская обл., г. Гомель, ул. Крестьянская, 20

Телефон: (+375232) 74 63 63

Архив органов ЗАГС Гродненской области

Адрес: 230005 Гродненская обл., г. Гродно, ул. Социалистическая, 35

Телефон: (+375152) 77 09 54

Архив органов ЗАГС Минской области

Адрес: 220030 г. Минск, ул. Красноармейская, 24 а

Телефон: (+37517) 227 70 33

Архив органов ЗАГС Могилевской области

Адрес: 212030 Могилевская обл., г. Могилев, ул. Первомайская, 71-26

Телефон: (+375222) 32 67 90

Архив органов ЗАГС города Минска

Адрес: 220141 г. Минск, ул. Русинова, 24

Телефон: (+37517) 287 05 99

Архив органов ЗАГС Витебской области

Адрес: 210010, Витебская область, г. Витебск, ул. Правды 18

Телефон: (+375212) 366281

Источник: http://www.embassybel.ru/consular-questions/law-questions/Istrebovanie-dokumentov.html

На этом же сайте Вы можете скачать анкету по истребованию документов.

Как получить справку о смене фамилии из ЗАГСа?

Справка о смене фамилии из загса — не слишком часто встречающийся документ, однако в некоторых случаях она нужна. Как именно ее получить и куда нужно обращаться за такой справкой?

Зачем нужна справка о смене фамилии?

После того как у человека сменилась фамилия, ему потребуется менять кучу документов — от паспорта (внутреннего или заграничного) до водительских прав. Для замены же требуется подтвердить, что фамилия действительно теперь новая.

Проще всего в этом случае тем, кто менял фамилию в результате замужества или развода. Им достаточно предъявить лишь копию соответствующего свидетельства, выданного в загсе. Однако российское законодательство разрешает гражданину менять имя или фамилию и по своему желанию. И вот как раз для таких случаев может потребоваться справка о том, что фамилия была изменена.

Но особенно важна такая справка для тех, кто занимается оформлением наследства и хочет подтвердить свое родство с умершим. Если фамилии не совпадают из-за того, что наследник или наследодатель когда-то ее менял, потребуется обратиться в архив соответствующего загса.

 
Скачать форму искового заявления

Как получить справку из загса?

Чтобы получить документ, подтверждающий смену имени или фамилии, гражданину придется обратиться именно в тот загс, куда он подавал заявление. По закону оно подается:

  • по зарегистрированному месту жительства;
  • по месту рождения (для несовершеннолетних, не имеющих паспорта).

Бланк заявления и образец его заполнения можно либо взять в самом загсе, либо скачать с официального сайта. При подаче платится госпошлина в установленном налоговым законодательством размере. Справка выдается в срок не позднее месяца с того момента, как подано заявление.

 
Скачать форму записи

Как получить архивную справку?

В том случае, если запрашивается архивная справка, обращаться придется в тот загс, где регистрировалась смена фамилии. Если гражданин при этом проживает в другом городе, ехать в загс лично не обязательно: отправить заявление можно по почте, приложив квитанцию из банка об уплате госпошлины. Но в этом случае придется указать адрес загса, в котором вы планируете получать документ, т. к. в адрес обычного гражданина его не вышлют.

 

Способы дистанционного получения документов из ЗАГСа Казахстана.

Приветик друзья !  И снова  фишка от меня !

  Как всегда только безумно дефицитная и креативная информация о том, как получить, куда обратиться и что сказать при обращении для получения документов из ЗАГСа Казахстана. Даю Вам гарантию, что такую информацию вы нигде не найдёте.  А если и найдёте, то вам придётся идти в институты для переучивания, потому что вся информация будет такая замудренная… А я вам даю чёткую, конкретную и лаконичную информацию. 😉

  И, таким образом, если вы находитесь за пределами своей исторической родины – Казахстана и, возникла острая необходимость в получении документов из ЗАГСА Казахстана, то в этом случае, Вам  нужно изучить несколько способов, как дистанционного, так и личного обращения в органы ЗАГС.

АЙНАШ
+77085546810 вайбер, вацап, телеграмм   
+77053005131 
mail : [email protected]

  Существует  5 способов получения документов ЗАГС из Казахстана

  1. Получение через посольство Республики Казахстан
  2. Получение при личном обращении
  3. Получение через родственников или друзей
  4. Получение через местные органы ЗАГС из страны своего постоянного места жительства
  5. Получение через доверенное лицо
                                          ZAGS, apostille, Kazakhstan

Рассмотрим подробнее каждый способ.

  1. Получение через посольство Республики Казахстан. Почти в каждом государстве мира, есть посольство Республики Казахстан. Территориально Казахстанское посольство оказывает дистанционную помощь в оказании услуг гражданам Казахстана или соотечественникам в получении документов ЗАГС. Например, если вы родились на территории Казахстана, то повторное свидетельство о рождении вы можете получить при личном обращении в посольство.

Достоинства : удобный способ получения всех видов документов ЗАГС и справок. Неостаток номер один : справки и свидетельства ЗАГС полученные через из посольства не всегда принимаются на территориях других государств. Если посольство находится на территории западного государства, входящего в состав стран Гаагской Конвенции от 1961 г, то такой документ не подлежит легализации или апостилю. Потому что посольство не располагает полномочиями проставления штампа апостиль (apostille). Этими действиями занимаются уполномоченные учреждения Республики Казахстан. Таким образом, такой вид получения документов делает неэффективным этот способ получения документов.

+77085546810 вайбер, вацап, телеграмм   
+77053005131 
mail : [email protected]

Недостаток номер два.  Главным недостатком такого способа получения является длительность исполнения вашего обращения. При обращении из-за рубежа, посольство отправляет ваше заявление в МИД Казахстана, затем этот документ попадает в МинЮст Казахстана – оттуда он распределяется в органы ЗАГС, которые заведуют информацией о регистрации  или отсутствия того или иного акта гражданского состояния. Обратно документ идёт по той же цепочке. Если в документе есть ошибка, то вы её заметите при получении. Длительность процедуры от 2 месяцев.

  1. Получение при личном обращении. Самый простой способ получение копии, дубликатов, повторных документов ЗАГСа, а так же справок, является личное обращение в архивы ЗАГС Республики Казахстан. Территориально вам могут помочь ЦОНы Казахстана, которые так же содействуют дистанционному получению документов.

Достоинства : дешивизна услуги.  Высокая скорость.

+77085546810 вайбер, вацап, телеграмм   
+77053005131 
mail : [email protected]

Недостатки : ошибку чиновника или должностного лица, при  заполнении документа вы можете не заметить и легализовать документ для использования. Ошибку вы можете заметить в момент применения документов на территории иностранного государства. Если, вы используете документ за пределами Казахстана, то исправить ошибку будет ВОЗМОЖНО, НО КРАЙНЕ ДОРОГО. Помимо этого, кроме специалистов вам никто не сможет определить список и регламент документов необходимый при использовании ваших личных документов в другом государстве. Вы можете получить не те документы или документы не имеющие своим свойством для использования по прямому назначению. К примеру, вы можете получить копию актовой записи о расторгнутом браке, не имея представления, что вам нужен другой документ — СПРАВКА О БРАЧНОЙ ПРАВОСПОСОБНОСТИ. 

  1. Получение через родственников или друзей. Одним  из простых способов получения документов является обращение к родственникам или друзьям. При этом их нужно снабдить необходимыми документами.

Достоинства : дешевизна, скорость.

Недостатки : человеческий фактор при выполнении данной задачи.  Ошибка при заполнении документов.  Не знание способов получения и легализации документов ЗАГС.  Получения документов  предназначенных для косвенных, а не прямых задач. 

+77085546810 вайбер, вацап, телеграмм   
+77053005131 
mail : [email protected]

  1. Получение через местные органы ЗАГС из страны своего постоянного места жительства.

Если гражданин находится в СНГ, он может обратиться в местный орган ЗАГСа с заявлением  о получении копии, повторных, дубликатов свидетельств и справок ЗАГС из Республики Казахстан. Например, если гражданин проживает в Российской Федерации или Узбекистане, то он может получить документы ЗАГС через обращения в местные органы ЗАГС.  По заявлению гражданина выполняется запрос на выдачу затребованного документа из ЗАГСа Казахстана.  Цепочка действий такая :  местный ЗАГС из СНГ – областное управление юстиции  — МинЮст страны постоянного места жительства гражданина – МИД страны постоянного места жительства гражданина – МИД Казахстана – МинЮст Казахстана – областное управление юстиции в Казахстане-ЗАГС в Казахстане.

Достоинства : Согласно Минской Конвенции СНГ от 1992 г., документы ЗАГС и свидетельства из архива ЗАГС Казахстана, по прибытии в местный органы ЗАГС на территории СНГ  выдаются бесплатно обратившемуся гражданину.

Недостатки :  после длительного и изнурительного ожидания документы ЗАГС из Казахстана могут поступить с ошибками. Длительность получения услуги – от 3 месяцев

  1. Получение через доверенных лиц.  Как я уже и писал, доверенным лицом может выступать любое компетентное лицо, имеющий опыт работы с документами. Выше, я описал доверенных лиц : родственники или друзья претендента  на получение свидетельства о рождении  или иного документа из ЗАГСа или ЦОНа Казахстана.

     Но, описанные недостатки могут быть только из-за некомпетентности лиц, взявшихся за такой вид помощи. Почему это так, читайте далее…

+77085546810 вайбер, вацап, телеграмм   
+77053005131 
mail : [email protected]

  При обращения в ЦОНы Казахстана могут быть обнаружены множество проблем :  1. Текст доверенности может не соответствовать целям и требованиям законодательства Республики Казахстан. 2. Получение заведомо неправильно оформленного документа из ЦОНа из-за человеческого фактора. 3. Переправка документов непроверенными операторами. 4. Отсутствие легализации или апостиля на документе.

  Поэтому, всю процедуру истребования, повторного получения, легализации, проставления штампа Апостиль (apostille)  всегда важно передавать компетентным профессионалам своего дела.  Даже если вы,  как-то лично не знакомы с исполнителем услуги, стоит  с ним познакомиться через своих друзей, которые находятся в Казахстане, получить гарантию на исполнение услуги. Профессиональное исполнение  апостиля, выбор способа легализации, профессиональное получение документов во многом зависит от квалификации вашего исполнителя.  Например, обратившись ко мне, вы, кроме всего,  получите профессиональную консультацию.  Это очень удобный сервис.  Например, если вы вступаете в брачные узы, то для заключения брака необходимо иметь при себе 2 документа – свидетельство о рождении и справку о брачной правоспособности. Если вы меняли до этого свою фамилию, то нужно иметь справку о перемене фамилии или актовую запись о смене фамилии. Все эти элементы очень важны и об этом вы просто не можете знать, так как может быть у вас иная сфера деятельности.  В итоге, обращение к профессионалу сэкономит вам кучу денег, времени и нервов !

Обращайтесь ко мне !  🙂

АЙНАШ
+77085546810 вайбер, вацап, телеграмм   
+77053005131 
mail : [email protected]

Меткиapostille, апостиль, без личного присутствия, брачная справка, Вайбер, Вацап, восстановить, дистанционно, документы, документы ЗАГС, дубликат, копия, легализация, не приезжая, повторное, получить, свидетельство о рождении, справка о брачной правоспособности Казахстан, Справка о несудимости ИЦ МВД Каз., Телеграмм и Скайп, ЦОН Казахстана

Измените свой адрес и другие услуги почтового отделения США

Найдите ответы на самые популярные вопросы почтового отделения.

Измените свой адрес

Вы переезжаете или хотите арендовать почтовый ящик? Узнайте, как изменить свой адрес, чтобы и дальше получать почту, или зарезервируйте ящик в местном почтовом отделении.

Как изменить свой адрес с помощью почтовой службы

Чтобы почтовое отделение знало, что вы собираетесь изменить свой адрес и хотите, чтобы ваша почта пересылалась на новое место, у вас есть два варианта:

  • Перейти в USPS.com / move, чтобы изменить свой адрес в Интернете.
    • Это самый быстрый и простой способ, и вы сразу же получите электронное письмо с подтверждением изменения.
    • За изменение адреса в Интернете взимается плата в размере 1,05 доллара США. Вам понадобится кредитная или дебетовая карта и действующий адрес электронной почты. Списание 1,05 доллара с вашей карты - это плата за проверку личности, чтобы предотвратить мошенничество и убедиться, что вы вносите изменения.
    • Предупреждение: вам не нужно платить отдельной компании, чтобы изменить свой адрес. Мошенники могут взимать 40 долларов или более за то, что вы можете сделать всего за 1 доллар.05 в подвижном разделе официального сайта USPS.com.
  • Сходите в местное почтовое отделение и запросите пакет Mover / s Guide.
    • Внутри пакета находится форма PS 3575. Заполните эту форму изменения адреса и отдайте ее работнику почты за стойкой. Или бросьте его в слот для писем внутри почтового отделения.
    • Вы получите письмо с подтверждением на новый адрес в течение пяти рабочих дней.

Как временно изменить свой почтовый адрес или оставить почту в почтовом отделении

Как изменить или отменить свой запрос

  • Если вы хотите отменить или внести какие-либо изменения в свой запрос на изменение адреса, вы потребуется ваш номер подтверждения.Найдите этот номер в письме или электронном письме, которое вы получили, когда сделали первоначальный запрос. Просмотрите, обновите или отмените свой запрос онлайн.

Измените свой адрес в других государственных учреждениях

Как арендовать или продлить почтовый ящик

Узнайте, как зарезервировать или продлить и оплатить онлайн за почтовый ящик.

Как подать жалобу на почтовое отделение

Узнайте, как подать жалобу в Почтовую службу США.

Пересылать или держать почту

Вы собираетесь временно переехать или уезжаете за город? U.S. Почтовая служба (USPS) может пересылать вашу почту на новый адрес или хранить ее в вашем местном почтовом отделении в течение ограниченного времени.

Переслать почту

Если ваш переезд носит временный характер, USPS может пересылать вашу почту со старого адреса на новый в течение от 15 дней до одного года.

Храните почту

Если вы отсутствуете от трех до 30 дней, USPS может хранить вашу почту в местном почтовом отделении до вашего возвращения. Обычно вы можете запросить эту услугу уже за 30 дней или не позднее, чем за день до начала удержания.

  • Начните с создания или входа в свою учетную запись USPS. Вы можете проверить, доступна ли услуга отложенной почты для вашего адреса, и выбрать даты для своего запроса на отложенную почту.

    • Примечание. USPS добавила дополнительную одноразовую меру безопасности для онлайн-запросов удержания почты. Вам нужно будет подтвердить свою личность онлайн с помощью кода доступа мобильного телефона. Или вы можете запросить пароль для подтверждения личности, который будет отправлен на ваш адрес. Если вы не можете пройти проверку личности онлайн, вы все равно можете приостановить получение почты, перейдя в местное почтовое отделение.

  • Если вы хотите, чтобы ваша почта задерживалась более 30 дней, подпишитесь на службу пересылки почты USPS.

Для постоянного переезда узнайте, как изменить свой адрес с помощью USPS.

Подать жалобу в Почтовую службу США

У вас есть жалоба, комплимент или предложение в адрес Почтовой службы США (USPS)? Возможно, вам нужна дополнительная информация об услугах USPS. Есть несколько способов сообщить им об этом:

  • Воспользуйтесь формой электронной почты на веб-сайте USPS.Выберите тип запроса, наиболее тесно связанный с вашей жалобой или вопросом. На сайте вы также можете подать претензию или запросить возврат средств за доставку.

  • Позвоните по телефону 1-800-ASK-USPS (1-800-275-8777) или телетайпу: 1-800-877-8339.

  • Поговорите с начальником станции (почтмейстером) в местном почтовом отделении.

  • Напишите в офис защиты прав потребителей Почтовой службы США по телефону:

Почтовая служба США

Офис защиты прав потребителей

475 L ’Enfant Plaza, SW

Вашингтон, округ Колумбия.C. 20260-2200

Кража, мошенничество или растрата со стороны USPS или сотрудника USPS

Подайте жалобу в Управление генерального инспектора (OIG) USPS по:

Подделка почты или кража физическим лицом или компанией

Почтовая инспекционная служба США - федеральное правоохранительное учреждение, которое защищает почтовую систему. Свяжитесь с ними, чтобы сообщить:

Комментировать или пожаловаться на изменение политики

Чтобы прокомментировать или пожаловаться на серьезное изменение политики, такое как почтовые тарифы, свяжитесь с Комиссией по регулированию почтовой связи (PRC).Вы можете сделать это, используя их онлайн-форму для связи.

Найдите почтовые индексы и почтовые отделения

Вы можете найти почтовые индексы и адреса почтовых отделений, а также отследить посылку с помощью онлайн-инструментов Почтовой службы США (USPS).

Почтовый индекс

Используйте инструмент поиска почтового индекса для поиска почтового индекса по адресу, городу, названию компании или частичному адресу. Вы также можете искать все города / города по почтовому индексу.

Почтовое отделение

Используйте локатор почтового отделения для поиска почтовых отделений, утвержденных почтовых поставщиков, киосков самообслуживания, ящиков для сбора и других услуг.

У вас есть вопрос?

Задайте реальному человеку любой вопрос, связанный с государством, бесплатно. Они дадут вам ответ или сообщат, где его найти.

Последнее обновление: 18 августа 2020 г.

Перенос центра сертификации | Документы Microsoft

  • 36 минут для чтения

В этой статье

Применимо к: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

Просмотрите все процедуры в этом разделе и выполните только те процедуры, которые требуются для вашего сценария миграции.

Резервное копирование базы данных ЦС и закрытого ключа

Вы можете создать резервную копию базы данных ЦС и закрытого ключа с помощью оснастки центра сертификации или с помощью Certutil.exe в командной строке. Выполните одну из процедур резервного копирования, описанных в этом разделе.

Примечание

Если CA использует аппаратный модуль безопасности (HSM), создайте резервную копию закрытых ключей, следуя процедурам, предоставленным поставщиком HSM.

После завершения шагов резервного копирования необходимо остановить службу сертификатов Active Directory (Certsvc), чтобы предотвратить выдачу дополнительных сертификатов.Перед добавлением службы роли ЦС на целевой сервер эту службу роли ЦС следует удалить с исходного сервера.

Файлы резервных копий, созданные во время этих процедур, должны храниться в том же месте, чтобы упростить миграцию. Местоположение должно быть доступно с целевого сервера; например, съемный носитель или общая папка на конечном сервере или другом члене домена.

Резервное копирование базы данных ЦС и закрытого ключа с помощью оснастки центра сертификации

В следующей процедуре описываются шаги по резервному копированию базы данных и закрытого ключа CA с помощью оснастки Certification Authority при входе в исходный CA.

Примечание

При желании вы можете использовать приложение certutil для резервного копирования базы данных CA и закрытого ключа. Использование certutil для резервного копирования CA рассматривается в следующем разделе.

Вы должны использовать учетную запись администратора CA. В ЦС предприятия конфигурация по умолчанию для администраторов ЦС включает группу локальных администраторов, группу администраторов предприятия и группу администраторов домена. В автономном ЦС конфигурация по умолчанию для администраторов ЦС включает локальную группу администраторов.

Для резервного копирования базы данных ЦС и закрытого ключа с помощью оснастки центра сертификации
  1. Выберите место для резервной копии и при необходимости прикрепите носитель.

  2. Войдите в исходный CA.

  3. Откройте оснастку центра сертификации .

  4. Щелкните правой кнопкой мыши узел с именем CA, укажите на All Tasks , а затем щелкните Back Up CA .

  5. На странице Добро пожаловать, мастера резервного копирования CA нажмите Далее .

  6. На странице элементов для резервного копирования установите флажки закрытый ключ и сертификат CA и База данных сертификатов и журнал базы данных сертификатов , укажите расположение резервной копии и нажмите Далее .

  7. На странице Select a Password введите пароль для защиты закрытого ключа CA и нажмите Next .

    Примечание по безопасности

    Используйте надежный пароль; например, не менее восьми символов с комбинацией прописных и строчных букв, цифр и знаков пунктуации.

  8. На странице Завершение мастера резервного копирования нажмите Готово .

  9. После завершения резервного копирования проверьте следующие файлы в указанном месте:

    • CAName .p12, содержащий сертификат CA и закрытый ключ

    • Папка базы данных, содержащая файлы certbkxp.dat, edb #####. Log и CAName .edb

  10. Откройте окно командной строки и введите net stop certsvc , чтобы остановить службу сертификатов Active Directory.

    Важно

    Служба должна быть остановлена, чтобы предотвратить выдачу дополнительных сертификатов. Если сертификаты выдаются исходным ЦС после завершения резервного копирования базы данных, повторите процедуру резервного копирования базы данных ЦС, чтобы убедиться, что резервная копия базы данных содержит все выданные сертификаты.

  11. Скопируйте все файлы резервных копий в место, доступное с целевого сервера; например, сетевой ресурс или съемный носитель.

    Примечание по безопасности

    Закрытый ключ должен быть защищен от взлома.Защитите общую папку, ограничив ее список контроля доступа авторизованными администраторами CA. Защитите съемный носитель от несанкционированного доступа и повреждения.

Резервное копирование базы данных ЦС и закрытого ключа с помощью Windows PowerShell

В следующей процедуре описываются шаги по резервному копированию базы данных и закрытого ключа CA с помощью командлета Backup-CARoleService при входе в исходный CA.

Важно

Вы должны использовать учетную запись администратора CA.В ЦС предприятия конфигурация по умолчанию для администраторов ЦС включает группу локальных администраторов, группу администраторов предприятия и группу администраторов домена. В автономном ЦС конфигурация по умолчанию для администраторов ЦС включает локальную группу администраторов.

Для резервного копирования базы данных ЦС и закрытого ключа с помощью Windows PowerShell
  1. Войдите на компьютер CA с учетными данными локального администратора.

  2. Щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора .

  3. Введите следующую команду и нажмите ENTER:

      Backup-CARoleService –path 
      

    Примечание

    BackupDirectory указывает каталог, в котором создаются файлы резервных копий. Указанное значение может быть относительным или абсолютным путем. Если указанный каталог не существует, он создается. Файлы резервных копий создаются в подкаталоге с именем Database.

  4. Служба должна быть остановлена, чтобы предотвратить выдачу дополнительных сертификатов.Введите следующую команду и нажмите ENTER:

      Стоп-сервис certsvc
      
  5. После завершения резервного копирования проверьте следующие файлы в указанном месте:

    • CAName .p12, содержащий сертификат CA и закрытый ключ

    • Папка базы данных, содержащая файлы certbkxp.dat, edb #####. Log и CAName .edb

  6. Скопируйте все файлы резервных копий в место, доступное с целевого сервера; например, сетевой ресурс или съемный носитель.

    Примечание по безопасности

    Закрытый ключ должен быть защищен от взлома. Защитите общую папку, предоставив разрешение только авторизованным администраторам ЦС. Защитите съемный носитель от несанкционированного доступа и повреждения.

Резервное копирование базы данных ЦС и закрытого ключа с помощью Certutil.exe

Следующая процедура описывает шаги по резервному копированию базы данных CA и закрытого ключа с помощью Certutil.exe при входе в исходный ЦС.

Важно

Вы должны использовать учетную запись администратора CA. В ЦС предприятия конфигурация по умолчанию для администраторов ЦС включает группу локальных администраторов, группу администраторов предприятия и группу администраторов домена. В автономном ЦС конфигурация по умолчанию для администраторов ЦС включает локальную группу администраторов.

Для резервного копирования базы данных ЦС и закрытого ключа с помощью Certutil.exe
  1. Войдите на компьютер CA с учетными данными локального администратора.

  2. Откройте окно командной строки.

  3. Введите Certutil.exe –backupdb и нажмите ENTER.

  4. Введите Certutil.exe –backupkey и нажмите ENTER.

    Примечание

    BackupDirectory указывает каталог, в котором создаются файлы резервных копий. Указанное значение может быть относительным или абсолютным путем. Если указанный каталог не существует, он создается.Файлы резервных копий создаются в подкаталоге с именем Database.

  5. Введите пароль в командной строке и нажмите ENTER. Вы должны сохранить копию пароля для доступа к ключу во время установки CA на конечном сервере.

    Примечание по безопасности

    Используйте надежный пароль; например, не менее восьми символов с комбинацией прописных и строчных букв, цифр и символов.

  6. Введите net stop certsvc и нажмите клавишу ВВОД, чтобы остановить службу служб сертификации Active Directory. Службу необходимо остановить, чтобы предотвратить выдачу дополнительных сертификатов.

  7. После завершения резервного копирования проверьте следующие файлы в указанном месте:

    • CAName .p12, содержащий сертификат CA и закрытый ключ

    • Папка базы данных, содержащая файлы certbkxp.dat, edb #####. log и CAName .edb

  8. Скопируйте все файлы резервных копий в место, доступное с целевого сервера; например, сетевой ресурс или съемный носитель.

    Примечание по безопасности

    Закрытый ключ должен быть защищен от взлома. Защитите общую папку, предоставив разрешение только авторизованным администраторам ЦС. Защитите съемный носитель от несанкционированного доступа и повреждения.

Резервное копирование настроек реестра CA

Выполните одну из следующих процедур для резервного копирования настроек реестра CA.

Файлы, созданные во время процедуры резервного копирования, должны храниться в том же месте, что и файлы резервных копий базы данных и закрытого ключа, чтобы упростить миграцию. Местоположение должно быть доступно с целевого сервера; например, съемный носитель или общая папка на конечном сервере или другом члене домена.

Вы должны войти в исходный центр сертификации, используя учетную запись, которая является членом локальной группы администраторов.

Для резервного копирования настроек реестра CA с помощью Regedit.exe

  1. Щелкните Start , укажите на Run и введите regedit , чтобы открыть редактор реестра.

  2. В HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc щелкните правой кнопкой мыши Configuration , а затем нажмите Export .

  3. Укажите расположение и имя файла, а затем нажмите Сохранить . Это создает файл реестра, содержащий данные конфигурации CA из исходного CA.

  4. Скопируйте файл реестра в место, доступное с целевого сервера; например, общая папка или съемный носитель.

Для резервного копирования настроек реестра CA с помощью Reg.exe

  1. Откройте окно командной строки.

  2. Введите reg export HKLM \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration <выходной файл> .reg и нажмите ENTER.

  3. Скопируйте файл реестра в место, доступное с целевого сервера; например, общая папка или съемный носитель.

Резервное копирование CAPolicy.inf

Если исходный ЦС использует настраиваемый файл CAPolicy.inf, необходимо скопировать файл в то же место, что и резервные файлы исходного ЦС.

Файл CAPolicy.inf находится в каталоге% SystemRoot%, обычно это C: \ Windows.

Удаление службы роли ЦС с исходного сервера

Важно удалить службу роли ЦС с исходного сервера после завершения процедур резервного копирования и перед установкой службы роли ЦС на целевом сервере.Центры сертификации предприятия и автономные центры сертификации, являющиеся членами домена, хранят в доменных службах Active Directory (AD DS) данные конфигурации, связанные с общим именем центра сертификации. При удалении службы роли ЦС также удаляются данные конфигурации ЦС из AD DS. Поскольку исходный ЦС и ЦС назначения имеют одно и то же общее имя, удаление службы роли ЦС с исходного сервера после установки службы роли ЦС на целевом сервере удаляет данные конфигурации, которые требуются ЦС назначения, и мешает его работе.

База данных ЦС, закрытый ключ и сертификат не удаляются с исходного сервера при удалении службы роли ЦС. Таким образом, переустановка службы роли ЦС на исходном сервере восстанавливает исходный ЦС, если миграция не удалась и требуется выполнить откат. См. Восстановление служб сертификатов Active Directory (AD CS) на исходный сервер в случае сбоя миграции.

Предупреждение

Хотя это не рекомендуется, некоторые администраторы могут оставить службу роли ЦС установленной на исходном сервере, чтобы исходный ЦС мог быстро подключиться к сети в случае сбоя миграции.Если вы решите не удалять службу роли ЦС с исходного сервера перед установкой службы роли ЦС на конечном сервере, важно отключить службу служб сертификации Active Directory (Certsvc) и выключить исходный сервер перед установкой ЦС. роль службы на конечном сервере. Не удаляйте службу роли ЦС с исходного сервера после завершения миграции на целевой сервер. Удаление службы роли ЦС с исходного сервера после миграции на целевой сервер мешает работе ЦС назначения.

  • Чтобы удалить центр сертификации на компьютере под управлением Windows Server 2003, используйте мастер «Установка и удаление компонентов Windows».

  • Чтобы удалить центр сертификации на компьютере под управлением Windows Server 2008 или более поздней версии, используйте мастер удаления ролей и компонентов в диспетчере сервера.

Удаление исходного сервера из домена

Поскольку имена компьютеров должны быть уникальными в пределах домена Active Directory, необходимо удалить исходный сервер из его домена и удалить связанную учетную запись компьютера из Active Directory перед присоединением целевого сервера к домену.

Если у вас есть доступ к компьютеру-члену домена под управлением Windows Server 2008 или более поздней версии, выполните следующую процедуру, чтобы удалить исходный сервер из домена с помощью Netdom.exe.

Если у вас нет доступа к компьютеру под управлением Windows Server 2008 или более поздней версии, выполните процедуру «Присоединиться к рабочей группе» (https://go.microsoft.com/fwlink/?LinkId=207683). Присоединение к рабочей группе также удаляет компьютер-член домена из ее домена.

Для удаления исходного сервера из домена с помощью Netdom.exe

  1. На компьютере-члене домена под управлением Windows Server 2008 или более поздней версии откройте окно командной строки с повышенными привилегиями.

  2. Введите netdom remove <имя исходного сервера> / d: <имя домена> / ud: <учетная запись пользователя домена> / pd: * и нажмите ENTER. Дополнительные параметры командной строки см. В разделе Синтаксис удаления Netdom (https://go.microsoft.com/fwlink/?LinkID=207681).

  3. Выключите исходный сервер.

После удаления исходного сервера из своего домена удалите учетную запись компьютера исходного сервера из AD DS, выполнив процедуру удаления учетной записи компьютера (https://go.microsoft.com/fwlink/?LinkID=138386).

Присоединение целевого сервера к домену

Перед присоединением целевого сервера к домену измените имя компьютера на то же имя, что и у исходного сервера. Затем завершите процедуру присоединения целевого сервера к домену.

Если на вашем конечном сервере используется вариант установки Server Core, необходимо использовать процедуру командной строки.

Чтобы переименовать целевой сервер, вы должны быть членом локальной группы администраторов. Чтобы присоединить сервер к домену, вы должны быть членом групп «Администраторы домена» или «Администраторы предприятия» или иметь делегированные разрешения на присоединение целевого сервера к организационной единице (OU) в домене.

Важно

Если вы переносите автономный ЦС, который не является членом домена, выполните только действия по переименованию целевого сервера и не присоединяйте целевой сервер к домену.

Присоединение целевого сервера к домену с помощью Netdom.exe

  1. На конечном сервере откройте окно командной строки с повышенными привилегиями.

  2. Введите netdom renamecomputer <имя компьютера> / newname: <новое имя компьютера>

    Подсказка

    Используя Windows PowerShell, вы можете выполнить команду: rename-computer <новое имя компьютера>

  3. Перезапустите целевой сервер.

  4. После перезапуска конечного сервера войдите в систему, используя учетную запись, которая имеет разрешение на присоединение компьютеров к домену.

  5. Откройте окно командной строки с повышенными привилегиями, введите netdom join <имя компьютера> / d: <имя домена> / ud: <учетная запись пользователя домена> / pd: * [/ ou: ] и нажмите ENTER. Дополнительные параметры командной строки см. В разделе Синтаксис соединения Netdom (https://go.microsoft.com / fwlink /? LinkID = 207680).

  6. Перезапустите целевой сервер.

Добавление службы роли ЦС на сервер назначения

В этом разделе описаны две разные процедуры для добавления службы роли ЦС на целевой сервер, включая специальные инструкции по использованию отказоустойчивой кластеризации.

Просмотрите следующие утверждения, чтобы определить, какие процедуры необходимо выполнить.

Особые инструкции по переходу на отказоустойчивый кластер

Если вы переходите на отказоустойчивый кластер, процедуры импорта сертификата ЦС и добавления службы роли ЦС должны быть выполнены на каждом узле кластера.После добавления службы роли ЦС к каждому узлу следует остановить службу служб сертификации Active Directory (Certsvc).

Кроме того, важно убедиться, что общее хранилище, используемое центром сертификации, находится в оперативном режиме и назначено узлу, на который вы добавляете службу роли центра сертификации.

База данных CA и файлы журнала должны находиться в общем хранилище. Укажите общее хранилище на шаге 12 процедуры установки CA.

Для проверки наличия общего хранилища в сети
  1. Войдите на целевой сервер.

  2. Запустить диспетчер сервера.

  3. В дереве консоли дважды щелкните Хранилище и щелкните Управление дисками .

  4. Убедитесь, что общее хранилище находится в оперативном режиме и назначено узлу, на который вы вошли.

Импорт сертификата CA

Если вы добавляете службу роли ЦС с помощью диспетчера сервера, необходимо выполнить следующую процедуру для импорта сертификата ЦС.

Для импорта сертификата ЦС
  1. Запустите оснастку «Сертификаты» для учетной записи локального компьютера.

  2. В дереве консоли дважды щелкните Сертификаты (локальный компьютер) и щелкните Личный .

  3. В меню Действие щелкните Все задачи , а затем щелкните Импорт , чтобы открыть мастер импорта сертификатов. Нажмите Далее .

  4. Найдите .p12, созданный сертификатом ЦС и резервной копией закрытого ключа в исходном ЦС, и нажмите Открыть .

  5. Введите пароль и нажмите OK .

  6. Щелкните Поместите все сертификаты в следующее хранилище .

  7. Убедитесь, что Личный отображается в Хранилище сертификатов . Если это не так, нажмите Обзор , нажмите Личный , нажмите ОК .

    Примечание

    Если вы используете сетевой HSM, выполните шаги с 8 по 10, чтобы восстановить связь между импортированным сертификатом CA и секретным ключом, который хранится в HSM.В противном случае нажмите Finish , чтобы завершить работу мастера, и нажмите OK , чтобы подтвердить, что сертификат был успешно импортирован.

  8. В дереве консоли дважды щелкните Личные сертификаты и щелкните импортированный сертификат ЦС.

  9. В меню Действие щелкните Открыть . Щелкните вкладку Details , скопируйте серийный номер в буфер обмена, а затем нажмите OK .

  10. Откройте окно командной строки, введите certutil –repairstore My "{Serialnumber}" и нажмите клавишу ВВОД.

Добавление службы роли ЦС с помощью диспетчера сервера

Если целевой сервер является членом домена, необходимо использовать учетную запись, которая является членом группы администраторов домена или администраторов предприятия, чтобы мастер установки мог получить доступ к объектам в AD DS.

Важно

Если вы сделали резервную копию файла CAPolicy.inf из исходного ЦС, проверьте настройки и при необходимости внесите изменения. Скопируйте файл CAPolicy.inf в папку% windir% (по умолчанию C: \ Windows) целевого ЦС перед добавлением службы роли ЦС.

Чтобы добавить службу роли ЦС с помощью диспетчера сервера
  1. Войдите на целевой сервер и запустите диспетчер сервера.

  2. В дереве консоли щелкните Роли .

  3. В меню Действие щелкните Добавить роли .

  4. Если появится страница Перед началом работы , щелкните Далее .

  5. На странице Select Server Roles установите флажок Active Directory Certificate Services и нажмите Next .

  6. На странице Introduction to AD CS нажмите Next .

  7. На странице Role Services установите флажок Certification Authority и нажмите Next .

    Примечание

    Если вы планируете установить другие службы ролей на конечном сервере, необходимо сначала завершить установку CA, а затем отдельно установить другие службы ролей. Процедуры установки других служб ролей AD CS в этом руководстве не описаны.

  8. На странице Укажите тип установки укажите либо Enterprise , либо Standalone , чтобы соответствовать исходному ЦС, и нажмите Далее .

  9. На странице Укажите тип CA укажите либо Root CA , либо Subordinate CA , чтобы соответствовать исходному CA, и нажмите Next .

  10. На странице Настроить закрытый ключ выберите Использовать существующий закрытый ключ и Выберите сертификат и используйте связанный с ним закрытый ключ .

    Примечание

    Если CA использует HSM, выберите закрытый ключ, следуя процедурам, предоставленным поставщиком HSM.

  11. В списке Сертификаты щелкните импортированный сертификат CA, а затем щелкните Далее .

    Примечание

    Если вы используете настраиваемый CSP, который требует надежной защиты закрытого ключа, щелкните Разрешить взаимодействие с администратором, когда к закрытому ключу обращается CA . CSP, включенные в Windows Server, не требуют включения этого параметра.

  12. На странице База данных ЦС укажите расположения для базы данных ЦС и файлов журнала.

    Примечание

    Если вы переносите центр сертификации на отказоустойчивый кластер, указанные расположения для файлов базы данных и журналов должны находиться в общем хранилище, подключенном ко всем узлам. Поскольку расположение является общим для узлов кластера, нажмите Да , чтобы перезаписать существующую базу данных ЦС при добавлении службы роли ЦС к другим узлам.

    Важно

    Если вы указываете расположения, которые отличаются от расположений, используемых в исходном ЦС, то перед восстановлением ЦС необходимо также отредактировать файл резервной копии параметров реестра.Если местоположения, указанные во время установки, отличаются от местоположений, указанных в параметрах реестра, центр сертификации не может запуститься.

  13. На странице Подтверждение просмотрите сообщения и нажмите Настроить .

  14. Если вы переходите на отказоустойчивый кластер, остановите службу сертификатов Active Directory (Certsvc) и службу HSM, если ваш центр сертификации использует HSM. Затем повторите процедуры для импорта сертификата ЦС и добавления службы роли ЦС на другие узлы кластера.

Добавление службы роли ЦС с помощью Windows PowerShell

Используйте следующую процедуру, чтобы добавить службу роли ЦС с помощью командлета Install-ADCSCertificateAuthority с ExistingCertificateParameterSet:

  Install-AdcsCertificationAuthority [-AllowAdministratorInteraction []] [-CAType ]
[-CertFile ] [-CertFilePassword ] [-CertificateID ] [-Credential ]
[-DatabaseDirectory ] [-Force []] [-LogDirectory ] [-OverwriteExistingDatabase
[]] [-OverwriteExistingKey []] [-Confirm []] [-WhatIf
[]] []
  

ExistingCertificateParameterSet является предпочтительным для миграции, потому что вы можете использовать параметр -CertificateID для идентификации сертификата CA из раздела Импорт сертификата CA для настройки для CA.Значение -CertificateID может быть отпечатком или серийным номером импортированного сертификата.

Чтобы добавить службу роли ЦС с помощью Windows PowerShell
  1. Щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора .

  2. Чтобы установить двоичные файлы службы роли CA с помощью инструментов MMC центра сертификации и шаблонов сертификатов, введите следующую команду и нажмите ENTER:

      Add-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools
      
  3. Введите командлет Install-AdcsCertificationAuthority с соответствующими параметрами и нажмите клавишу ВВОД.Например, чтобы восстановить подчиненный ЦС предприятия с помощью сертификата, импортированного в разделе Импорт сертификата ЦС, введите следующую команду и нажмите клавишу ВВОД:

      Install-AdcsCertificationAuthority –CAType EnterpriseSubordinateCA –CertificateID "YourCertSerialNumber или YourCertThumbprint" –credential (get-credential domain \ administrator)
      

    Введите пароль для члена группы администраторов предприятия или группы администраторов домена, если необходимо.

Дополнительные сведения об использовании Windows PowerShell для установки других служб ролей AD CS см. В разделе Развертывание AD CS с помощью Windows PowerShell.Дополнительные общие сведения о командлетах Windows PowerShell для AD CS см. В разделе Командлеты развертывания AD CS в Windows PowerShell.

Восстановление базы данных CA и конфигурации на конечном сервере

Процедуры в этом разделе следует выполнять только после того, как служба роли ЦС будет установлена ​​на целевом сервере.

Если вы переходите на отказоустойчивый кластер, добавьте службу роли ЦС на все узлы кластера перед восстановлением базы данных ЦС. База данных CA должна быть восстановлена ​​только на одном узле кластера и должна находиться в общем хранилище.

Восстановление резервной копии исходного ЦС включает следующие задачи:

Восстановление исходной базы ЦС на конечном сервере

В этом разделе описываются две различные процедуры восстановления резервной копии исходной базы данных ЦС на целевом сервере.

При переходе на установку Server Core необходимо использовать процедуру «Восстановление базы данных ЦС с помощью Certutil.exe» или «Восстановление базы данных ЦС с помощью Windows PowerShell». В общем, можно удаленно управлять центром сертификации, работающим на установке Server Core, с помощью оснастки центра сертификации и диспетчера сервера; однако восстановить базу данных центра сертификации можно только удаленно с помощью Windows PowerShell.

При переходе на отказоустойчивый кластер убедитесь, что общее хранилище находится в оперативном режиме, и восстановите базу данных CA только на одном узле кластера.

Для восстановления базы данных ЦС с помощью оснастки центра сертификации
  1. Войдите на конечный сервер, используя учетную запись администратора центра сертификации.

  2. Запустите оснастку центра сертификации.

  3. Щелкните правой кнопкой мыши узел с именем CA, укажите на All Tasks , а затем щелкните Restore CA .

  4. На странице Добро пожаловать, щелкните Далее .

  5. На странице Элементы для восстановления выберите База данных сертификатов и журнал базы данных сертификатов .

  6. Щелкните Обзор . Перейдите в родительскую папку, в которой находится папка Database (папка, содержащая файлы базы данных CA, созданные во время резервного копирования базы данных CA).

    Предупреждение

    Не выбирайте папку База данных .Выберите его родительскую папку.

  7. Нажмите Далее , а затем нажмите Готово .

  8. Нажмите Да , чтобы запустить службу CA (certsvc).

Для восстановления только базы данных CA с помощью Windows PowerShell
  1. Войдите на конечный сервер, используя учетную запись администратора центра сертификации.

  2. Щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора .

  3. Введите следующую команду, чтобы остановить службу CA, и нажмите ENTER:

      Стоп-сервис certsvc
      
  4. Введите следующую команду и нажмите ENTER:

      Restore-CARoleService –path <каталог резервного копирования базы данных CA> -DatabaseOnly - Force
      

    Примечание

    Значение <Каталог резервного копирования базы данных CA> - это родительский каталог для каталога базы данных . Например, если файлы резервных копий базы данных CA расположены в C: \ Temp \ Database, то значение <Каталог резервных копий базы данных CA> будет C: \ Temp.Включите флаг принудительного выполнения, потому что пустая база данных ЦС уже будет присутствовать после выполнения шагов, описанных в разделе Добавление службы роли ЦС с помощью диспетчера сервера.

  5. Введите следующую команду, чтобы перезапустить службу CA, и нажмите ENTER:

      Start-service certsvc
      
Для восстановления единственной базы данных CA с помощью Certutil.exe
  1. Войдите на конечный сервер, используя учетную запись администратора центра сертификации.

  2. Откройте окно командной строки.

  3. Введите следующую команду, чтобы остановить службу CA, и нажмите ENTER:

      Чистая остановка certsvc
      
  4. Введите certutil.exe -f -restoredb <Каталог резервного копирования базы данных CA> и нажмите ENTER.

    Примечание

    Значение <Каталог резервного копирования базы данных CA> - это родительский каталог для каталога базы данных .Например, если файлы резервных копий базы данных CA расположены в C: \ Temp \ Database, то значение <Каталог резервных копий базы данных CA> будет C: \ Temp.

  5. Введите следующую команду, чтобы перезапустить службу CA, и нажмите ENTER:

      Чистый старт certsvc
      

Восстановление параметров реестра исходного ЦС на конечном сервере

Информация о конфигурации CA хранится в реестре по адресу: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc

Перед импортом параметров реестра из исходного ЦС в целевой ЦС создайте резервную копию конфигурации реестра целевого ЦС по умолчанию, используя процедуру Резервное копирование параметров реестра ЦС.Обязательно выполните эти действия на целевом ЦС и дайте файлу реестра имя, например «DefaultRegCfgBackup.reg», чтобы избежать путаницы.

Важно

Некоторые параметры реестра следует переносить без изменений с исходного компьютера CA, а некоторые не следует переносить. Если они переносятся, они должны быть обновлены в целевой системе после миграции, потому что некоторые значения связаны с самим центром сертификации, тогда как другие связаны со средой домена, физическим хостом, версией Windows или другими факторами, которые могут отличаться в целевая система.

Предлагаемый способ выполнения импорта конфигурации реестра - сначала открыть файл реестра, который вы экспортировали из исходного ЦС, в текстовом редакторе и проанализировать его на предмет параметров, которые, возможно, потребуется изменить или удалить. В следующей таблице показаны параметры конфигурации, которые необходимо передать от исходного ЦС к ЦС назначения.

Место регистрации

Параметр конфигурации

HKEY_LOCAL_MACHINE \ system \ currentcontrolset \ services \ certsvc \ Configuration

LDAPFlags

HKEY_LOCAL_MACHINE \ system \ currentcontrolset \ services \ certsvc \ Configuration \ Имя CA

DSConfigDN

ForceTeletex

CRLEditFlags

CRLFlags

InterfaceFlags (требуется, только если было изменено вручную)

EnforceX500 Имя Длина

Шаблон темы

Срок действия

ValidityPeriodUnits

KRACertHash

KRACertCount

KRAFlags

CRLPublicationURL

CRL Период

CRLPeriodUnits

CRLOverlapPeriod

CRLOverlapUnits

CRLDeltaPeriod

CRLDeltaPeriodUnits

CRLDeltaOverlapPeriod

CRLDeltaOverlapUnits

CACertPublicationURL (проверьте наличие пользовательских записей с жестко заданными именами хостов или другими данными, специфичными для исходного ЦС)

CACertHash

HKEY_LOCAL_MACHINE \ system \ currentcontrolset \ services \ certsvc \ Configuration \ CAname \ ExitModules \ CertificateAuthority_MicrosoftDefault.Выход

PublishCertFlags

HKEY_LOCAL_MACHINE \ system \ currentcontrolset \ services \ certsvc \ Configuration \ Имя CA \ PolicyModules \ CertificateAuthority_MicrosoftDefault.Policy

EnableRequestExtensionList

EnableEnrolleeRequestExtensionList

DisableExtensionList

SubjectAltName

SubjectAltName2

RequestDisposition

EditFlags

Для анализа файла реестра
  1. Щелкните правой кнопкой мыши файл.reg текстовый файл, созданный путем экспорта настроек из исходного ЦС.

  2. Нажмите Изменить , чтобы открыть файл в текстовом редакторе.

  3. Если имя компьютера целевого ЦС отличается от имени компьютера исходного ЦС, найдите файл по имени хоста компьютера исходного ЦС. Для каждого найденного экземпляра имени хоста убедитесь, что это соответствующее значение для целевой среды. При необходимости измените имя хоста. Обновите значение CAServerName .

    Важно

    Если имя хоста находится в файле .reg как часть имени CA, например, в значении Active в ключе конфигурации или в значении CommonName в ключе CAName , не изменяйте настройка. Имя CA нельзя изменять в процессе миграции. Это означает, что новый целевой ЦС должен иметь имя старого ЦС, даже если часть этого имени является именем хоста старого ЦС.

  4. Проверьте все значения реестра, которые указывают пути к локальным файлам, например следующие, чтобы убедиться, что имена букв дисков и пути верны для целевого ЦС.Если существует несоответствие между исходным и целевым ЦС, либо обновите значения в файле, либо удалите их из файла, чтобы настройки по умолчанию были сохранены в целевом ЦС.

    Эти настройки места хранения выбираются во время установки CA. Они существуют в разделе реестра конфигурации:

    • DBDirectory

    • DBLogDirectory

    • DBSystemDirectory

    • DBTempDirectory

    Следующие параметры в разделе реестра Configuration \ { CA Name } содержат в своих значениях по умолчанию локальный путь.(Кроме того, вы можете обновить эти значения после их импорта с помощью оснастки Certification Authority. Значения находятся на вкладке свойств CA Extensions .)

    • CACertPublicationURLs

    • CRLPublicationURL

Предупреждение

Некоторые значения реестра связаны с центром сертификации, в то время как другие связаны со средой домена, физическим хост-компьютером, версией Windows или даже другими службами ролей.Следовательно, некоторые параметры реестра следует переносить без изменений с исходного компьютера CA, а другие - нет. Любое значение, не указанное в текстовом файле .reg, восстановленном в целевом ЦС, сохраняет свои существующие настройки или значения по умолчанию. Проблема, которая может возникнуть, если значения реестра не проверены должным образом, описана в следующей статье TechNet Wiki: AD: Ошибка конфигурации веб-регистрации центра сертификации 0x80070057 (WIN32: 87).

Удалите все значения реестра, которые вы не хотите импортировать в целевой ЦС.После редактирования текстового файла .reg его можно импортировать в целевой ЦС. Путем импорта резервной копии параметров реестра исходного сервера на целевой сервер конфигурация исходного ЦС переносится на целевой сервер.

Для импорта резервной копии реестра исходного ЦС в ЦС назначения
  1. Войдите на конечный сервер как член локальной группы администраторов.

  2. Откройте окно командной строки.

  3. Введите net stop certsvc и нажмите ENTER.

  4. Введите reg import и нажмите ENTER.

Для редактирования параметров реестра CA
  1. Щелкните Start , введите regedit.exe в поле поиска программ и файлов и нажмите ENTER, чтобы открыть редактор реестра.

  2. В дереве консоли найдите раздел HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration и щелкните Configuration .

  3. В области сведений дважды щелкните DBSessionCount .

  4. Щелкните Шестнадцатеричный . В поле Value data введите 64 , а затем нажмите OK .

  5. Убедитесь, что местоположения, указанные в следующих параметрах, являются правильными для вашего целевого сервера, и при необходимости измените их, чтобы указать местоположение базы данных CA и файлов журнала.

    • DBDirectory

    • DBLogDirectory

    • DBSystemDirectory

    • DBTempDirectory

    Важно

    Выполните шаги с 6 по 8, только если имя вашего целевого сервера отличается от имени исходного сервера.

  6. В дереве консоли редактора реестра разверните Конфигурация и щелкните свое имя CA.

  7. Измените значения следующих параметров реестра, заменив имя исходного сервера именем целевого сервера.

    Примечание

    В следующем списке значения CACertFileName и ConfigurationDirectory создаются только при указании определенных параметров установки CA. Если эти две настройки не отображаются, вы можете перейти к следующему шагу.

Проверка расширений сертификатов в ЦС назначения

Шаги, описанные для импорта параметров реестра исходного ЦС и редактирования реестра в случае изменения имени сервера, предназначены для сохранения сетевых расположений, которые использовались исходным ЦС для публикации списков отзыва сертификатов и сертификатов ЦС. Если исходный ЦС был опубликован в расположения Active Directory по умолчанию, после выполнения предыдущей процедуры должно быть расширение с включенными параметрами публикации и URL-адрес LDAP, который ссылается на имя NetBIOS исходного сервера; например, ldap: /// CN = , CN = , CN = CDP, CN = Public Key Services, CN = Services, .

Поскольку многие администраторы настраивают расширения, адаптированные к их сетевой среде, невозможно предоставить точные инструкции по настройке точки распространения CRL и расширений доступа к информации о полномочиях.

Тщательно проверьте настроенные расположения и параметры публикации и убедитесь, что расширения соответствуют требованиям вашей организации.

Для проверки расширений с помощью оснастки центра сертификации
  1. Просмотрите и измените точку распространения CRL и расширения доступа к информации о полномочиях и параметры публикации, следуя примерам процедур, описанным в разделе Указание точек распространения CRL (https: // go.microsoft.com/fwlink/?LinkID=145848).

  2. Если имя целевого сервера отличается от имени исходного сервера, добавьте URL-адрес LDAP, указывающий местоположение, которое ссылается на имя NetBIOS целевого сервера, с переменной подстановки ; например ldap: /// CN = , CN = , CN = CDP, CN = Public Key Services, CN = Services, .

  3. Убедитесь, что параметры CDP установлены таким образом, что прежнее расположение CDP не включено в расширение CDP вновь выданных сертификатов или в расширение самого свежего CRL списков отзыва сертификатов.

Восстановление списка шаблонов сертификатов

Следующая процедура требуется только для ЦС предприятия. Автономный ЦС не имеет шаблонов сертификатов.

Назначение шаблонов сертификатов ЦС назначения
  1. Войдите с учетными данными администратора в целевой ЦС.

  2. Откройте окно командной строки.

  3. Введите certutil -setcatemplates + <список шаблонов> и нажмите ENTER.

    Примечание

    Замените списком разделенных запятыми имен шаблонов, которые перечислены в файле catemplates.txt, созданном во время процедуры «Запись списка шаблонов CA с помощью Certutil.exe». Например, certutil -setcatemplates + Administrator, User, DomainController . Просмотрите список шаблонов, созданных во время резервного копирования списка шаблонов ЦС.

Предоставление разрешений на контейнеры AIA и CDP

Если имя конечного сервера отличается от имени исходного сервера, конечному серверу должны быть предоставлены разрешения в контейнерах CDP и AIA исходного сервера в AD DS для публикации списков отзыва сертификатов и сертификатов CA.Выполните следующую процедуру в случае изменения имени сервера.

Для предоставления разрешений на контейнеры AIA и CDP

  1. Войдите как член группы администраторов предприятия на компьютер, на котором установлена ​​оснастка «Сайты и службы Active Directory». Откройте сайты и службы Active Directory (dssite.msc).

  2. В дереве консоли щелкните верхний узел.

  3. В меню Просмотр щелкните Показать узел служб .

  4. В дереве консоли разверните Services , разверните Public Key Services , а затем щелкните AIA .

  5. В области сведений щелкните правой кнопкой мыши имя центра сертификации и выберите Свойства .

  6. Щелкните вкладку Security , а затем щелкните Добавить .

  7. Щелкните Типы объектов , щелкните Компьютеры , а затем щелкните OK .

  8. Введите имя CA и нажмите OK .

  9. В столбце Разрешить щелкните Полный доступ , а затем Применить .

  10. Предыдущий компьютерный объект CA отображается (как Неизвестная учетная запись с идентификатором безопасности после него) в группе или именах пользователей . Вы можете удалить эту учетную запись. Для этого выберите его и нажмите Удалить . Нажмите ОК .

  11. В дереве консоли разверните CDP , а затем щелкните папку с тем же именем, что и CA.

  12. В области сведений щелкните правой кнопкой мыши элемент cRLDistributionPoint в верхней части списка, а затем выберите Свойства .

  13. Щелкните вкладку Security , а затем щелкните Добавить .

  14. Щелкните Типы объектов , щелкните Компьютеры , а затем щелкните OK .

  15. Введите имя целевого сервера и нажмите OK .

  16. В столбце Разрешить щелкните Полный доступ , а затем Применить .

  17. Предыдущий компьютерный объект CA отображается (как Неизвестная учетная запись с идентификатором безопасности после него) в группе или именах пользователей . Вы можете удалить эту учетную запись. Для этого выберите его и нажмите Удалить . Нажмите ОК .

  18. Повторите шаги с 13 по 18 для каждого элемента cRLDistributionPoint .

Примечание

Если вы используете синтаксис file // \ computer \ share в расширениях CDP для публикации CRL в расположении общей папки, то вам может потребоваться настроить разрешения для этой общей папки, чтобы целевой ЦС имел возможность записи в это место. Если вы размещаете CDP на конечном сервере и используете путь AIA или CDP, который включает псевдоним (например, pki.contoso.com) для места назначения, вам может потребоваться настроить запись DNS, чтобы она указывала на правильный IP-адрес назначения.

Дополнительные процедуры отказоустойчивой кластеризации

Если вы переходите на отказоустойчивый кластер, выполните следующие процедуры после того, как база данных ЦС и параметры реестра были перенесены на целевой сервер.

Примечание

Миграция ЦС в отказоустойчивый кластер, работающий в варианте установки Server Core Windows Server 2008 R2, в этом руководстве не описывается.

Настройка отказоустойчивого кластера для целевого CA

При переходе на отказоустойчивый кластер выполните следующие процедуры, чтобы настроить отказоустойчивый кластер для AD CS.

Для настройки AD CS в качестве ресурса кластера
  1. Щелкните Start , укажите на Run , введите Cluadmin.msc , а затем щелкните OK .

  2. В дереве консоли оснастки «Управление отказоустойчивым кластером» щелкните Службы и приложения .

  3. В меню Действие щелкните Настроить службу или приложение . Если появится страница Прежде чем начать , щелкните Далее .

  4. В списке служб и приложений выберите Generic Service и нажмите Next .

  5. В списке служб выберите Службы сертификатов Active Directory и нажмите Далее .

  6. Укажите имя службы и нажмите Далее .

  7. Выберите дисковое хранилище, которое все еще подключено к узлу, и нажмите Далее .

  8. Чтобы настроить куст общего реестра, нажмите Добавить , введите SYSTEM \ CurrentControlSet \ Services \ CertSvc , а затем нажмите OK . Дважды щелкните Далее .

  9. Щелкните Finish , чтобы завершить настройку аварийного переключения для AD CS.

  10. В дереве консоли дважды щелкните Services and Applications и выберите вновь созданную кластерную службу.

  11. В области сведений щелкните Generic Service . В меню Action выберите Properties .

  12. Измените имя ресурса на Центр сертификации и нажмите OK .

Если вы используете аппаратный модуль безопасности (HSM) для своего центра сертификации, выполните следующую процедуру.

Для создания зависимости между CA и сетевой службой HSM
  1. Откройте оснастку «Управление отказоустойчивым кластером».В дереве консоли щелкните Службы и приложения .

  2. В области сведений выберите ранее созданное имя кластеризованной службы.

  3. В меню Action щелкните Добавить ресурс , а затем щелкните Generic Service .

  4. В списке доступных служб, отображаемом мастером New Resource , щелкните имя службы, которая была установлена ​​для подключения к HSM вашей сети.Дважды нажмите Далее , а затем нажмите Готово .

  5. В разделе Службы и приложения в дереве консоли щелкните имя кластеризованных служб.

  6. В области сведений выберите только что созданную универсальную службу . В меню Action выберите Properties .

  7. На вкладке Общие при необходимости измените имя службы и нажмите OK .Убедитесь, что служба находится в сети.

  8. В области сведений выберите службу, ранее называвшуюся Центр сертификации . В меню Action выберите Properties .

  9. На вкладке Зависимости нажмите Вставить , выберите сетевой сервис HSM из списка и нажмите ОК .

Предоставление разрешений для контейнеров открытых ключей

При миграции на отказоустойчивый кластер выполните следующие процедуры, чтобы предоставить всем узлам кластера разрешения для следующих контейнеров AD DS:

  • Контейнер AIA

  • Контейнер регистрации

  • Контейнер КРА

Для предоставления разрешений на контейнеры открытого ключа в AD DS
  1. Войдите в систему на компьютере-члене домена как член группы администраторов домена или группы администраторов предприятия.

  2. Щелкните Start , укажите на Run , введите dssite.msc , а затем щелкните OK .

  3. В дереве консоли щелкните верхний узел.

  4. В меню Просмотр щелкните Показать узел служб .

  5. В дереве консоли разверните Services , затем Public Key Services , а затем щелкните AIA .

  6. В области сведений щелкните правой кнопкой мыши имя исходного ЦС и выберите Свойства .

  7. Щелкните вкладку Security , а затем щелкните Добавить .

  8. Щелкните Типы объектов , щелкните Компьютеры , а затем щелкните OK .

  9. Введите имена учетных записей компьютеров всех узлов кластера и нажмите OK .

  10. В столбце Разрешить установите флажок Полный доступ рядом с каждым узлом кластера и нажмите ОК .

  11. В дереве консоли щелкните Enrollment Services .

  12. В области сведений щелкните правой кнопкой мыши имя исходного ЦС и выберите Свойства .

  13. Щелкните вкладку Security , а затем щелкните Добавить .

  14. Щелкните Типы объектов , щелкните Компьютеры , а затем щелкните OK .

  15. Введите имена учетных записей компьютеров всех узлов кластера и нажмите OK .

  16. В столбце Разрешить установите флажок Полный доступ рядом с каждым узлом кластера и нажмите ОК .

  17. В дереве консоли щелкните KRA .

  18. В области сведений щелкните правой кнопкой мыши имя исходного ЦС, затем выберите Свойства .

  19. Щелкните вкладку Security , а затем щелкните Добавить .

  20. Щелкните Типы объектов , щелкните Компьютеры , а затем щелкните OK .

  21. Введите имена всех узлов кластера и нажмите OK .

  22. В столбце Разрешить установите флажок Полный доступ рядом с каждым узлом кластера и нажмите ОК .

Редактирование DNS-имени для кластерного центра сертификации в AD DS

Когда служба CA была установлена ​​на первом узле кластера, был создан объект Enrollment Services, и DNS-имя этого узла кластера было добавлено в атрибут dNSHostName объекта Enrollment Services.Поскольку центр сертификации должен работать на всех узлах кластера, значением атрибута dNSHostName объекта служб регистрации должно быть имя службы, указанное на шаге 6 процедуры «Настройка AD CS в качестве ресурса кластера».

Если вы переходите на кластерный центр сертификации, выполните следующую процедуру на активном узле кластера. Необходимо выполнить процедуру только на одном узле кластера.

Чтобы изменить DNS-имя для кластерного центра сертификации в AD DS
  1. Войдите в активный узел кластера как член группы администраторов предприятия.

  2. Щелкните Start , укажите на Run , введите adsiedit.msc и нажмите OK .

  3. В дереве консоли щелкните ADSI Edit .

  4. В меню Действие щелкните Подключиться к .

  5. В списке общеизвестных контекстов именования щелкните Конфигурация и нажмите ОК .

  6. В дереве консоли разверните Configuration , Services и Public Key Services и щелкните Enrollment Services .

  7. В области сведений щелкните правой кнопкой мыши имя центра сертификации кластера и выберите Свойства .

  8. Щелкните dNSHostName и щелкните Edit .

  9. Введите имя службы центра сертификации, как показано в разделе Failover Cluster Management в оснастке Failover Cluster Manager, и нажмите OK .

  10. Нажмите ОК , чтобы сохранить изменения.

Настройка точек распространения списков отзыва сертификатов для отказоустойчивых кластеров

В конфигурации ЦС по умолчанию короткое имя сервера используется как часть точки распространения списков отзыва сертификатов и мест доступа к авторитетной информации.

Когда ЦС работает в отказоустойчивом кластере, короткое имя сервера должно быть заменено коротким именем кластера в точках распространения списков отзыва сертификатов и местах доступа к информации о полномочиях. Чтобы опубликовать CRL в AD DS, необходимо вручную добавить контейнер точки распространения CRL.

Важно

На активном узле кластера необходимо выполнить следующие процедуры.

Для изменения настроенных точек распространения списков отзыва сертификатов
  1. Войдите в активный узел кластера как член локальной группы администраторов.

  2. Щелкните Start , щелкните Run , введите regedit , а затем щелкните OK .

  3. Найдите раздел реестра \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration .

  4. Щелкните имя центра сертификации.

  5. На правой панели дважды щелкните CRLPublicationURLs .

  6. Во второй строке замените % 2 именем службы, указанным на шаге 6 процедуры «Настройка AD CS в качестве ресурса кластера.«

    Подсказка

    Имя службы также отображается в оснастке «Управление отказоустойчивым кластером» в разделе «Службы и приложения » .

  7. Перезапустите службу CA.

  8. Откройте командную строку, введите certutil -CRL и нажмите клавишу ВВОД.

    Примечание

    Если отображается сообщение об ошибке «Объект каталога не найден», выполните следующую процедуру, чтобы создать контейнер точки распространения CRL в AD DS.

Чтобы создать контейнер точки распространения CRL в AD DS
  1. В командной строке введите cd% windir% \ System32 \ CertSrv \ CertEnroll и нажмите клавишу ВВОД.Файл CRL, созданный командой certutil –CRL, должен находиться в этом каталоге.

  2. Чтобы опубликовать CRL в AD DS, введите certutil -f -dspublish «CRLFile.crl» и нажмите клавишу ВВОД.

Следующие шаги

После завершения процедур миграции ЦС необходимо выполнить процедуры, описанные в разделе «Проверка миграции центра сертификации».

См. Также

Реестр Windows

для опытных пользователей - Windows Server

  • 11 минут на чтение

В этой статье

В этой статье описывается реестр Windows и предоставляется информация о том, как его редактировать и создавать резервные копии.

Исходная версия продукта: Windows 10 - все выпуски, Windows Server 2012 R2 Оригинальный номер базы знаний: 256986

Описание реестра

Компьютерный словарь Microsoft , пятое издание определяет реестр как:

Центральная иерархическая база данных, используемая в Windows 98, Windows CE, Windows NT и Windows 2000, используемая для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.

Реестр содержит информацию, на которую Windows постоянно ссылается во время работы, такую ​​как профили для каждого пользователя, приложения, установленные на компьютере, и типы документов, которые каждый может создавать, настройки окна свойств для папок и значков приложений, какое оборудование существует в системе , и используемые порты.

Реестр заменяет большинство текстовых файлов .ini, которые используются в файлах конфигурации Windows 3.x и MS-DOS, таких как Autoexec.bat и Config.sys. Хотя реестр является общим для нескольких операционных систем Windows, между ними есть некоторые различия. Куст реестра - это группа ключей, подразделов и значений в реестре, имеющая набор вспомогательных файлов, содержащих резервные копии его данных. Вспомогательные файлы для всех кустов, кроме HKEY_CURRENT_USER, находятся в папке% SystemRoot% \ System32 \ Config в Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista. Вспомогательные файлы для HKEY_CURRENT_USER находятся в папке % SystemRoot% \ Profiles \ Username .Расширения имен файлов в этих папках указывают на тип данных, которые они содержат. Кроме того, отсутствие расширения иногда может указывать на тип данных, которые они содержат.

Улей реестра Вспомогательные файлы
HKEY_LOCAL_MACHINE \ SAM Сэм, Sam.log, Sam.sav
HKEY_LOCAL_MACHINE \ Security Безопасность, Security.log, Security.sav
HKEY_LOCAL_MACHINE \ Программное обеспечение Программное обеспечение, Программное обеспечение.журнал, Software.sav
HKEY_LOCAL_MACHINE \ System Система, System.alt, System.log, System.sav
HKEY_CURRENT_CONFIG Система, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log
HKEY_USERS \ DEFAULT По умолчанию, Default.log, Default.sav

В Windows 98 файлы реестра называются User.dat и System.dat. В Windows Millennium Edition файлы реестра называются Classes.dat, User.dat и System.dat.

Примечание

Функции безопасности в Windows позволяют администратору контролировать доступ к разделам реестра.

В следующей таблице перечислены предварительно определенные ключи, используемые системой. Максимальный размер имени ключа - 255 символов.

Папка / предопределенный ключ Описание
HKEY_CURRENT_USER Содержит корень информации о конфигурации для пользователя, который в настоящее время вошел в систему.Здесь хранятся папки пользователя, цвета экрана и настройки панели управления. Эта информация связана с профилем пользователя. Этот ключ иногда обозначается аббревиатурой HKCU .
HKEY_USERS Содержит все активно загружаемые профили пользователей на компьютере. HKEY_CURRENT_USER - это подраздел HKEY_USERS. HKEY_USERS иногда сокращается до HKU .
HKEY_LOCAL_MACHINE Содержит информацию о конфигурации, относящуюся к компьютеру (для любого пользователя).Этот ключ иногда обозначается аббревиатурой HKLM .
HKEY_CLASSES_ROOT Является подразделом HKEY_LOCAL_MACHINE \ Software . Информация, которая хранится здесь, гарантирует, что правильная программа открывается при открытии файла с помощью проводника Windows. Этот ключ иногда обозначается как HKCR . Начиная с Windows 2000, эта информация хранится под ключами HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Ключ HKEY_LOCAL_MACHINE \ Software \ Classes содержит настройки по умолчанию, которые могут применяться ко всем пользователям на локальном компьютере.Ключ HKEY_CURRENT_USER \ Software \ Classes содержит параметры, которые переопределяют параметры по умолчанию и применяются только к интерактивному пользователю. Ключ HKEY_CLASSES_ROOT обеспечивает представление реестра, объединяющего информацию из этих двух источников. HKEY_CLASSES_ROOT также предоставляет это объединенное представление для программ, разработанных для более ранних версий Windows. Чтобы изменить настройки для интерактивного пользователя, изменения должны быть сделаны в разделе HKEY_CURRENT_USER \ Software \ Classes , а не в HKEY_CLASSES_ROOT.Чтобы изменить настройки по умолчанию, необходимо внести изменения в HKEY_LOCAL_MACHINE \ Software \ Classes . Если вы пишете ключи к ключу в HKEY_CLASSES_ROOT, система сохраняет информацию в HKEY_LOCAL_MACHINE \ Software \ Classes . Если вы записываете значения в ключ под HKEY_CLASSES_ROOT, а ключ уже существует под HKEY_CURRENT_USER \ Software \ Classes , система сохранит информацию там, а не под HKEY_LOCAL_MACHINE \ Software \ Classes .
HKEY_CURRENT_CONFIG Содержит информацию о профиле оборудования, который используется локальным компьютером при запуске системы.

Примечание

Реестр в 64-битных версиях Windows XP, Windows Server 2003 и Windows Vista разделен на 32-битные и 64-битные ключи. Многие из 32-битных ключей имеют те же имена, что и их 64-битные аналоги, и наоборот. В 64-разрядной версии редактора реестра по умолчанию, которая входит в состав 64-разрядных версий Windows XP, Windows Server 2003 и Windows Vista, 32-разрядные ключи отображаются в узле HKEY_LOCAL_MACHINE \ Software \ WOW6432Node .Дополнительные сведения о просмотре реестра в 64-разрядных версиях Windows см. В разделе Как просмотреть системный реестр в 64-битных версиях Windows.

В следующей таблице перечислены типы данных, которые определены в настоящее время и используются Windows. Максимальный размер имени значения:

  • Windows Server 2003, Windows XP и Windows Vista: 16 383 символа
  • Windows 2000: 260 символов ANSI или 16 383 символа Unicode
  • Windows Millennium Edition / Windows 98 / Windows 95: 255 символов

Длинные значения (более 2048 байт) должны храниться в виде файлов с именами файлов, хранящимися в реестре.Это помогает реестру работать эффективно. Максимальный размер значения:

  • Windows NT 4.0 / Windows 2000 / Windows XP / Windows Server 2003 / Windows Vista: доступная память
  • Windows Millennium Edition / Windows 98 / Windows 95: 16 300 байт

Примечание

Существует ограничение в 64 КБ для общего размера всех значений ключа.

Имя Тип данных Описание
Двоичное значение REG_BINARY Необработанные двоичные данные.Большая часть информации о компонентах оборудования хранится в виде двоичных данных и отображается в редакторе реестра в шестнадцатеричном формате.
Значение DWORD REG_DWORD Данные представлены числом длиной 4 байта (32-битное целое число). Многие параметры для драйверов устройств и служб относятся к этому типу и отображаются в редакторе реестра в двоичном, шестнадцатеричном или десятичном формате. Связанные значения: DWORD_LITTLE_ENDIAN (младший байт находится в младшем адресе) и REG_DWORD_BIG_ENDIAN (младший байт находится в старшем адресе).
Расширяемое строковое значение REG_EXPAND_SZ Строка данных переменной длины. Этот тип данных включает переменные, которые разрешаются, когда программа или служба используют данные.
Многострочное значение REG_MULTI_SZ Множественная строка. К этому типу обычно относятся значения, содержащие списки или несколько значений в форме, доступной для чтения. Записи разделяются пробелами, запятыми или другими знаками.
Строковое значение REG_SZ Текстовая строка фиксированной длины.
Двоичное значение REG_RESOURCE_LIST Серия вложенных массивов, предназначенная для хранения списка ресурсов, который используется драйвером оборудования или одним из физических устройств, которыми он управляет. Эти данные обнаруживаются и записываются системой в дереве \ ResourceMap и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение.
Двоичное значение REG_RESOURCE_REQUIREMENTS_LIST Серия вложенных массивов, предназначенная для хранения списка драйверов устройства возможных аппаратных ресурсов, которые драйвер или одно из физических устройств, которыми он управляет, могут использовать.Система записывает подмножество этого списка в дерево \ ResourceMap. Эти данные обнаруживаются системой и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение.
Двоичное значение REG_FULL_RESOURCE_DESCRIPTOR Серия вложенных массивов, предназначенная для хранения списка ресурсов, используемого физическим аппаратным устройством. Эти данные обнаруживаются и записываются системой в дереве \ HardwareDescription и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение.
Нет REG_NONE Данные без определенного типа. Эти данные записываются в реестр системой или приложениями и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение
Ссылка REG_LINK Строка Unicode, называющая символическую ссылку.
QWORD Значение REG_QWORD Данные представлены числом, которое является 64-битным целым числом. Эти данные отображаются в редакторе реестра как двоичное значение и были введены в Windows 2000.

Резервное копирование реестра

Перед тем, как редактировать реестр, экспортируйте ключи реестра, которые вы планируете редактировать, или сделайте резервную копию всего реестра. В случае возникновения проблемы вы можете выполнить действия, описанные в разделе «Восстановление реестра», чтобы восстановить реестр до его предыдущего состояния. Чтобы создать резервную копию всего реестра, используйте утилиту резервного копирования для резервного копирования состояния системы. Состояние системы включает в себя реестр, базу данных регистрации классов COM + и ваши загрузочные файлы.Дополнительные сведения о том, как использовать утилиту резервного копирования для резервного копирования состояния системы, см. В следующих статьях:

Редактировать реестр

Для изменения данных реестра программа должна использовать функции реестра, определенные в разделе «Функции реестра».

Администраторы могут изменять реестр с помощью редактора реестра (Regedit.exe или Regedt32.exe), файлов групповой политики, системной политики, реестра (.reg) или путем запуска сценариев, например файлов сценариев VisualBasic.

Используйте пользовательский интерфейс Windows

Мы рекомендуем вам использовать пользовательский интерфейс Windows для изменения системных настроек вместо ручного редактирования реестра.Однако редактирование реестра иногда может быть лучшим методом решения проблемы с продуктом. Если проблема задокументирована в базе знаний Microsoft, будет доступна статья с пошаговыми инструкциями по редактированию реестра для решения этой проблемы. Мы рекомендуем вам точно следовать этим инструкциям.

Используйте редактор реестра

Предупреждение

Серьезные проблемы могут возникнуть, если вы измените реестр некорректно с помощью редактора реестра или другим способом. Эти проблемы могут потребовать переустановки операционной системы.Майкрософт не может гарантировать, что эти проблемы могут быть решены. Вы вносите изменения в реестр на свой страх и риск.

Вы можете использовать редактор реестра для выполнения следующих действий:

  • Найдите поддерево, ключ, подключ или значение
  • Добавить подраздел или значение
  • Изменить значение
  • Удалить подраздел или значение
  • Переименовать подраздел или значение

В области навигации редактора реестра отображаются папки. Каждая папка представляет собой предопределенный ключ на локальном компьютере.При доступе к реестру удаленного компьютера появляются только два предопределенных ключа: HKEY_USERS и HKEY_LOCAL_MACHINE.

Использовать групповую политику

Microsoft Management Console (MMC) содержит инструменты администрирования, которые можно использовать для администрирования сетей, компьютеров, служб и других компонентов системы. Оснастка MMC групповой политики позволяет администраторам определять параметры политики, которые применяются к компьютерам или пользователям. Вы можете реализовать групповую политику на локальных компьютерах с помощью оснастки локальной групповой политики MMC, Gpedit.msc. Вы можете реализовать групповую политику в Active Directory с помощью оснастки MMC «Пользователи и компьютеры Active Directory». Дополнительные сведения об использовании групповой политики см. В разделах справки в соответствующей оснастке MMC групповой политики.

Используйте файл регистрационных записей (.reg)

Создайте файл регистрационных записей (.reg), содержащий изменения реестра, а затем запустите файл .reg на компьютере, на котором вы хотите внести изменения. Вы можете запустить REG-файл вручную или с помощью сценария входа в систему.Дополнительные сведения см. В разделе «Добавление, изменение или удаление подразделов и значений реестра с помощью файла регистрационных записей (.reg)».

Используйте Windows Script Host

Узел сценариев Windows позволяет запускать сценарии VBScript и JScript непосредственно в операционной системе. Вы можете создавать файлы VBScript и JScript, которые используют методы Windows Script Host для удаления, чтения и записи ключей и значений реестра. Дополнительные сведения об этих методах см. На следующих веб-сайтах корпорации Майкрософт:

Используйте инструментарий управления Windows

Windows Management Instrumentation (WMI) является компонентом операционной системы Microsoft Windows и реализацией Microsoft для управления предприятием через Интернет (WBEM).WBEM - это отраслевая инициатива по разработке стандартной технологии доступа к управленческой информации в корпоративной среде. Вы можете использовать WMI для автоматизации административных задач (например, редактирования реестра) в корпоративной среде. Вы можете использовать WMI в языках сценариев, которые имеют движок в Windows и обрабатывают объекты Microsoft ActiveX. Вы также можете использовать служебную программу командной строки WMI (Wmic.exe) для изменения реестра Windows.

Для получения дополнительных сведений о WMI см. Инструментарий управления Windows.

Дополнительные сведения о служебной программе командной строки WMI см. В разделе Описание служебной программы командной строки инструментария управления Windows (WMI) (Wmic.exe).

Используйте инструмент реестра консоли для Windows

Для редактирования реестра можно использовать Console Registry Tool для Windows (Reg.exe). Чтобы получить справку по инструменту Reg.exe, введите reg /? в командной строке, а затем нажмите ОК .

Восстановить реестр

Для восстановления реестра используйте соответствующий метод.

Метод 1. Восстановить ключи реестра

Чтобы восстановить экспортированные подразделы реестра, дважды щелкните файл регистрационных записей (.reg), который вы сохранили в разделе «Экспорт подразделов реестра». Или вы можете восстановить весь реестр из резервной копии. Дополнительные сведения о том, как восстановить весь реестр, см. В разделе «Метод 2: восстановление всего реестра» далее в этой статье.

Метод 2: восстановить весь реестр

Чтобы восстановить весь реестр, восстановите состояние системы из резервной копии.Дополнительные сведения о том, как восстановить состояние системы из резервной копии, см. В разделе Как использовать резервную копию для защиты данных и восстановления файлов и папок на вашем компьютере в Windows XP и Windows Vista.

Примечание

Резервное копирование состояния системы также создает обновленные копии файлов реестра в папке % SystemRoot% \ Repair .

Список литературы

Для получения дополнительной информации посетите следующие веб-сайты:

Каталог протестированных продуктов Windows Server - это справочник по продуктам, которые были протестированы на совместимость с Windows Server.

Data Protection Manager (DPM) является ключевым членом семейства продуктов управления Microsoft System Center и разработан, чтобы помочь ИТ-специалистам управлять своей средой Windows. DPM - это новый стандарт резервного копирования и восстановления Windows, обеспечивающий непрерывную защиту данных для приложений и файловых серверов Microsoft, которые используют интегрированные дисковые и ленточные носители. Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows XP и Windows Vista.

Изменить дату истечения срока действия сертификатов - Windows Server

  • 3 минуты на чтение

В этой статье

В этой статье описывается, как изменить срок действия сертификата, выданного центром сертификации (ЦС).

Исходная версия продукта: Windows 10 - все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 254632

Сводка

По умолчанию срок действия сертификата, выпущенного автономным центром сертификации, составляет один год.По истечении одного года срок действия сертификата истекает, и его использование не допускается. Могут возникнуть ситуации, когда вам придется переопределить дату истечения срока действия по умолчанию для сертификатов, выпущенных промежуточным или выдающим ЦС.

Срок действия, определенный в реестре, влияет на все сертификаты, выданные автономными и корпоративными центрами сертификации. Для корпоративных центров сертификации параметр реестра по умолчанию составляет два года. Для автономных центров сертификации параметр реестра по умолчанию составляет один год. Для сертификатов, которые выдаются автономными центрами сертификации, срок действия определяется записью реестра, описанной далее в этой статье.Это значение применяется ко всем сертификатам, выданным ЦС.

Для сертификатов, которые выдаются центрами сертификации предприятия, срок действия определяется в шаблоне, который используется для создания сертификата. Windows 2000 и Windows Server 2003 Standard Edition не поддерживают изменение этих шаблонов. Windows Server 2003 Enterprise Edition поддерживает шаблоны сертификатов версии 2, которые можно изменять. Срок действия, определенный в шаблоне, применяется ко всем сертификатам, выданным любым центром сертификации предприятия в лесу Active Directory.Сертификат, выданный центром сертификации, действителен как минимум в течение следующих периодов времени:

  • Срок действия реестра, указанный ранее в этой статье.

    Это относится к сертификатам автономного ЦС и подчиненного ЦС, выданным ЦС предприятия.

  • Срок действия шаблона.

Это относится к ЦС предприятия. Шаблоны, поддерживаемые Windows 2000 и Windows Server 2003 Standard Edition, изменить нельзя.Шаблоны, поддерживаемые Windows Server Enterprise Edition (шаблоны версии 2), поддерживают изменение.

Для ЦС предприятия срок действия выданного сертификата установлен на минимум из следующих значений:

  • Срок действия реестра CA (например: ValidityPeriod == Years, ValidityPeriodUnits == 1)
  • Срок действия шаблона
  • Оставшийся срок действия сертификата подписи ЦС
  • Если бит EDITF_ATTRIBUTEENDDATE включен в значении реестра EditFlags модуля политики, период действия, указанный в атрибутах запроса (ExpirationDate: Date или ValidityPeriod: Years \ nValidityPeriodUnits: 1)

Примечание

  • Синтаксис ExpirationDate: Date не поддерживался до Windows Server 2008.
  • Для автономного центра сертификации шаблоны не обрабатываются. Следовательно, срок действия шаблона не применяется.

Срок действия сертификата ЦС

ЦС не может выдать сертификат с более длительным сроком действия, чем его собственный сертификат ЦС.

Примечание

Имя атрибута запроса состоит из пар строки значений, которые сопровождают запрос и определяют период действия. По умолчанию это включено параметром реестра только в автономном ЦС.

Изменить дату истечения срока действия сертификатов, выданных ЦС

Чтобы изменить настройки срока действия для CA, выполните следующие действия.

Важно

Этот раздел, метод или задача содержат шаги, которые говорят вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр в случае возникновения проблемы.Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows.

  1. Щелкните Start , а затем щелкните Run .

  2. В поле Открыть введите regedit , а затем щелкните OK .

  3. Найдите и щелкните следующий раздел реестра:

    HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ CertSvc \ Configuration \

  4. На правой панели дважды щелкните ValidityPeriod .

  5. В поле Value data введите одно из следующих значений и нажмите OK :

  6. На правой панели дважды щелкните ValidityPeriodUnits .

  7. В поле Значение данных введите нужное числовое значение и нажмите OK . Например, введите 2 .

  8. Остановите, а затем перезапустите службу сертификации. Для этого:

    1. Щелкните Start , а затем щелкните Run .

    2. В поле Open введите cmd , а затем щелкните OK .

    3. В командной строке введите следующие строки. Нажимайте ENTER после каждой строки.

        net stop certsvc
      чистый старт certsvc
        
    4. Введите exit, чтобы закрыть командную строку.

Как изменить / продлить срок действия сертификатов, выданных центром сертификации Windows Server 2008 или Windows Server 2003 - Статьи TechNet - США (английский)



1.Необходимо изменить / продлить срок действия сертификата подчиненного ЦС

2. Сертификат CA и шаблон действительны в течение 5 лет, но выданные сертификаты имеют срок действия только 2 года.

3. Сертификаты, выданные ЦС, должны быть действительны только в течение 3 месяцев независимо от срока действия шаблона или срока действия ЦС.

Срок действия сертификата зависит от следующих значений:
а. Оставшийся срок действия сертификата ЦС, выдавшего сертификат.
б. Срок действия, указанный в шаблоне сертификата.
c. Записи реестра в ЦС, как описано в http://support.microsoft.com/kb/254632/

Выданный сертификат будет иметь наименьшее из указанных выше значений в качестве срока действия сертификата.

1. Необходимо изменить / продлить срок действия сертификата подчиненного ЦС

В корневом / родительском ЦС проверьте следующие записи реестра.

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ CertSvc \ Configuration \

Срок действия

ValidityPeriodUnits

ValidityPeriod может иметь значения "Дни" "Недели" "Месяцы" "Годы".

ValidityPeriodUnits может быть целым числом в соответствии с требованиями.

Перезапустите службы сертификатов в корневом / родительском ЦС.

Обновите сертификат подчиненного ЦС.

2. Сертификат CA и шаблон действительны в течение 5 лет, но выданные сертификаты имеют срок действия только 2 года. Необходимы сертификаты, выданные на основе срока действия шаблона.

Проверьте раздел реестра на выдающем ЦС и при необходимости обновите значения.

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ CertSvc \ Configuration \

ValidityPeriod может иметь значения «Дни», «Недели», «Месяцы», «Годы».Установите "Годы"

Установите ValidityPeriodUnits, эквивалентную сроку действия сертификата CA.

Перезапустите службы сертификации в выдающем ЦС.

Выдать / обновить сертификат.

3. Сертификаты, выпущенные ЦС, должны быть действительны только в течение 3 месяцев независимо от срока действия шаблона или срока действия сертификата ЦС.

В выпускающем ЦС откройте реестр.

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ CertSvc \ Configuration \

Установите ValidityPeriod равным "Месяцам"

Установите ValidityPeriodUnits равным 3.

Перезапустите службы сертификации в выдающем ЦС.

Выдать / обновить сертификат.

изменений адреса | Налоговая служба

Ответ

Есть несколько способов сообщить нам, что ваш адрес изменился:

Способы изменения адреса
Метод Действие
Устное уведомление

Сообщите нам лично или по телефону.Нам потребуется, чтобы вы подтвердили свою личность и адрес, который у нас есть для вас. Приготовьте ваши:

  • полное наименование
  • новый адрес
  • старый адрес
  • дата рождения
  • Номер социального страхования
  • , ITIN или EIN

Мы можем запросить дополнительную информацию для подтверждения вашей личности.

Форма IRS Используйте форму 8822, изменение адреса или форму 8822-B, изменение адреса или ответственной стороны - бизнес
Налоговая декларация Используйте свой новый адрес при подаче заявки
Письменное заявление

Отправьте нам подписанное письменное заявление с вашим:

  • полное наименование
  • старый адрес
  • новый адрес
  • Номер социального страхования
  • , ITIN или EIN


Отправьте подписанное заявление по адресу, по которому вы подавали последний отчет.

Если вы подали совместную декларацию и все еще проживаете с одним и тем же супругом, вы и ваш супруг должны указать свои имена, номера социального страхования, новый адрес и подписи в форме или заявлении.

Если вы подали совместную декларацию и теперь у вас есть отдельные адреса, каждый из вас должен сообщить нам свои новые отдельные адреса.

Уполномоченные представители, заполняющие форму или письменное заявление об изменении адреса налогоплательщика, должны приложить копию своей доверенности или форму 2848, Доверенность и Декларацию представителя.Неуполномоченные третьи лица не могут изменить адрес налогоплательщика.

Изменения адреса через Почтовую службу США (USPS) могут обновить ваш адрес записи в файле с нами на основе того, что они хранят в своей базе данных об изменении национального адреса (NCOA). Однако даже когда вы уведомляете USPS, не все почтовые отделения пересылают государственные чеки, поэтому вы все равно должны уведомить нас.

Для изменения адреса, относящегося к декларации о найме на работу, мы выпускаем уведомления о подтверждении (уведомления 148A и 148B) об изменении как нового, так и старого адреса.

Полная обработка запроса на изменение адреса может занять от четырех до шести недель после получения.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *