2.2. 从丢失一个常规副本的情况下进行恢复
要替换不是证书颁发机构 (CA) 续订服务器的副本,请从拓扑中删除丢失的副本,并在该位置安装一个新的副本。
先决条件
- CA 续订服务器正在正确运行。如果 CA 续订服务器丢失,请参阅恢复丢失 CA 续订服务器。
流程
- 删除丢失的服务器的复制协议。请参阅卸载 IdM 服务器。
- 使用所需服务(CA、KRA、DNS)部署新副本。请参阅 安装 IdM 副本。
- 更新 DNS 以反应副本拓扑的更改。如果使用 IdM DNS,则会自动更新 DNS 服务记录。
- 验证 IdM 客户端可访问 IdM 服务器。请参阅在恢复过程中调整 IdM 客户端。
验证步骤
以 IdM 用户身份成功检索 Kerberos Ticket-Granting-Ticket 在新副本中测试 Kerberos 服务器。
[root@newreplica ~]# kinit admin Password for admin@EXAMPLE.COM: [root@newreplica ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 15:51:37 11/01/2019 15:51:02 HTTP/server.example.com@EXAMPLE.COM 10/31/2019 15:51:08 11/01/2019 15:51:02 krbtgt/EXAMPLE.COM@EXAMPLE.COM
通过检索用户信息,测试新副本上的 Directory 服务器和 SSSD 配置。
[root@newreplica ~]# ipa user-show admin User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@EXAMPLE.COM UID: 1965200000 GID: 1965200000 Account disabled: False Password: True Member of groups: admins, trust admins Kerberos keys available: True
