Системный администратор с двухлетним опытом случайно обрушил корпоративную инфраструктуру при попытке обновить просроченный SSL-сертификат на контроллере домена. ADFS-сервис не запускается, выдавая ошибку 1064, а журналы событий забиты критическими сообщениями.
История началась с ухода предыдущего IT-руководителя. Перед увольнением он удалил все личные заметки по Active Directory, Office 365 и телефонной системе со словами «Удачи». Новому администратору пришлось разбираться с инфраструктурой самостоятельно — два контроллера домена, где основной DC A хранит сертификаты и службу WSUS.
Цепочка критических ошибок
При обновлении сертификата через DigiCert администратор допустил несколько фатальных ошибок:
- Удалил старые сертификаты «для порядка» в процессе работы
- Четыре раза переиздавал сертификат из-за проблем с созданием закрытого ключа
- Импортировал новый сертификат, но ADFS продолжает искать старый
- Попытался исправить ситуацию через netsh и обновление SSL-привязок
Журнал событий Windows показывает ошибки 381, 249 и критическую 102. ADFS отказывается запускаться, так как не может найти исходный сертификат с закрытым ключом. Попытка установить старый сертификат из резервного хранилища провалилась — приватного ключа там не оказалось.
Замкнутый круг
Администратор столкнулся с классической дилеммой: для смены сертификата в ADFS нужно, чтобы служба работала, но она не запускается без правильного сертификата. PowerShell-командлеты типа Set-ADFSCertificate требуют активной службы федерации.
Единственное использование LDAP в компании — интеграция с платформой KnowBe4 для обучения кибербезопасности, которая через месяц будет заменена на SCIM-интеграцию с Entra ID.
Пути решения
У администратора есть несколько вариантов: восстановление из бэкапа, привлечение внешних специалистов или временное отключение ADFS до миграции на Entra ID. Последний вариант может оказаться наиболее практичным, учитывая планируемые изменения в инфраструктуре.
Случай демонстрирует важность документирования процедур и постепенного перехода знаний при смене IT-персонала — особенно критично для небольших команд без дублирования компетенций.
