РАЗРАБОТКА

Админ с двухлетним стажем уронил Active Directory при замене SSL-сертификатов

Молодой системный администратор сломал Active Directory, обновляя SSL-сертификаты после ухода старшего коллеги. Разбираем ошибки и пути восстановления.

✍️ Редакция iTech News | 03.03.2026 | ⏱ 2 мин | 👁 3 | Источник: Reddit r/sysadmin
🔗

Системный администратор с двухлетним опытом случайно уронил Active Directory, заменяя SSL-сертификаты. Служба ADFS перестала запускаться после удаления старых сертификатов — теперь система ищет несуществующий ключ. История попала на Reddit, где коллеги предлагают варианты восстановления.

Проблема началась после увольнения старшего коллеги в начале года. Уходящий руководитель удалил все личные записи по администрированию AD, Office 365 и телефонной системы. Молодой админ остался один на один со сложной инфраструктурой.

Цепочка роковых ошибок

У компании два контроллера домена — основной DC A с сертификатами и службами WSUS, и резервный DC B для репликации. Когда истёк SSL-сертификат на основном сервере, администратор:

  • Обновил сертификат через DigiCert
  • Создал новый CSR через утилиту сертификатов
  • Несколько раз переделывал приватный ключ
  • Удалил старые сертификаты «для порядка»

После четвёртой попытки переиздания служба ADFS перестала запускаться с ошибкой 1064. В журнале событий — ошибки 381, 249 и критическая 102.

«ADFS ищет старый сертификат, которого больше нет. А чтобы его поменять, служба должна работать — замкнутый круг», — описывает проблему администратор.

Знания в одних руках

Случай показывает типичную проблему IT-отделов — критически важная экспертиза концентрируется у одного человека. Молодой админ признаётся: минимальный опыт с Active Directory и SSL-сертификатами, а бывший руководитель намеренно не обучал этим вопросам.

Усложняет ситуацию архитектура — на контроллере домена установлены лишние службы вроде ADFS, что противоречит рекомендациям Microsoft. Но у единственного администратора нет ресурсов на реструктуризацию.

Варианты спасения

IT-сообщество предложило несколько путей восстановления:

  • Откат из резервной копии (самый надёжный вариант)
  • Установка старого сертификата с приватным ключом
  • Полная переустановка ADFS
  • Временное отключение службы до миграции на Azure SCIM

Администратор планирует через месяц отказаться от LDAP в пользу SCIM-интеграции с Microsoft Entra. Поэтому рассматривает просто оставить ADFS выключенным до миграции.

Мораль: документируйте критические процедуры и создавайте подробные инструкции — особенно если в IT-отделе работает один человек.

active-directory adfs ldap ssl системное-администрирование
Поделиться: Telegram X LinkedIn
📖 ЧИТАЙТЕ ТАКЖЕ
Учения США с ядерным сценарием в космосе
БЕЗОПАСНОСТЬ 4 часа назад

Командование Космических Сил США провело учения с ядерным сценарием в космосе

⏱ 2 мин
Неандертальцы провели первую стоматологическую процедуру 59000 лет назад
АРТЕФАКТЫ 4 часа назад

Неандерталец вырезал зуб в 59000 лет назад — первая стоматология

⏱ 1 мин
10 рогаликов с живыми сообществами и активной поддержкой
OPEN SOURCE 6 часов назад

10 рогаликов с живыми сообществами, которые не умирают

⏱ 2 мин