4
PKI von aktuellem AD-DC trennen
Hallo zusammen,
ich habe da ein paar Fragen bzgl. PKI Umzug zu einem neuen Server. Ich würde mich freuen wenn mir dazu jemand etwas helfen könnte.
Laut Google gibt es so einige Anleitungen zu einem erfolgreichem Umzug einer PKI (zB: https://pits-online.info/2010/12/23/windows-root-zertifizierungsstelle-m ..).
Ich würde aber gerne nur eine bestehende PKI von unserem aktuellem DC1 entfernen und auf einen separaten Server als eigenen Zert-Server ablegen.
Laut Anleitung Theoretisch machbar, ich weiß aber nicht wie sich das danach verhält mit der AD auf dem DC1. Ob diese dann noch funktioniert, oder ob da noch was weiteres angepasst werden muss.
Ich würde mich um eine kleine Hilfestellung freuen.
MfG
ich habe da ein paar Fragen bzgl. PKI Umzug zu einem neuen Server. Ich würde mich freuen wenn mir dazu jemand etwas helfen könnte.
Laut Google gibt es so einige Anleitungen zu einem erfolgreichem Umzug einer PKI (zB: https://pits-online.info/2010/12/23/windows-root-zertifizierungsstelle-m ..).
Ich würde aber gerne nur eine bestehende PKI von unserem aktuellem DC1 entfernen und auf einen separaten Server als eigenen Zert-Server ablegen.
Laut Anleitung Theoretisch machbar, ich weiß aber nicht wie sich das danach verhält mit der AD auf dem DC1. Ob diese dann noch funktioniert, oder ob da noch was weiteres angepasst werden muss.
Ich würde mich um eine kleine Hilfestellung freuen.
MfG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 349089
Url: https://administrator.de/contentid/349089
Printed on: April 23, 2024 at 11:04 o'clock
4 Comments
Latest comment
Hi,
warum sollte das AD nicht mehr funktionieren? Es wäre eher umgedreht zu beachten: Wenn Du den DC demotest, dann läuft hinterher die CA nicht mehr. Aber wenn Du die CA vom DC entfernst dann läuft der DC unbeeindruckt weiter.
E.
warum sollte das AD nicht mehr funktionieren? Es wäre eher umgedreht zu beachten: Wenn Du den DC demotest, dann läuft hinterher die CA nicht mehr. Aber wenn Du die CA vom DC entfernst dann läuft der DC unbeeindruckt weiter.
E.
Moin,
@emeriks hat schon Recht, allerdings würde ich das so ausdrücken:
"Die Deinstallation der CA dürfte den DC nicht sonderlcih stören. Das AD sollte danach noch wie gewohnt funktionieren"
Das ist ja nicht dein einziger DC, oder? ODER?!?
lg,
Slainte
@emeriks hat schon Recht, allerdings würde ich das so ausdrücken:
"Die Deinstallation der CA dürfte den DC nicht sonderlcih stören. Das AD sollte danach noch wie gewohnt funktionieren"
Das ist ja nicht dein einziger DC, oder? ODER?!?
lg,
Slainte
Nein ist nicht der einzige ;) Schon mal vielen Dank für die schnellen Antworten !
Mein Kollege meinte ich müsste da aber noch auf den Revocation-Check achten ?
Mein Kollege meinte ich müsste da aber noch auf den Revocation-Check achten ?
Moin,
Das kannst du natürlich bei der Installation der Rolle bzw. Migration anpassen. Dies gilt danach für alle neuausgestellten Zertifikate.
Wenn die Möglichkeit hast, würde ich folgendes umsetzen:
- neue VM aufsetzen, dort die ADDS-Rollen installieren, als weiteren DC in die Domäne aufnehmen.
- alten DC herunterfahren und schauen, ob alles noch funktioniert
- bisherigen DC herunterstufen, aber in der Domöne lassen
- Dienste wie DHCP oder Printserver auf den neuen DC migrieren
- neue VM aufsetzen, Rolle Zertifizierungsstelle installieren
- PKI auf die neue VM migrieren und die Konfigurationsanpassungen durchführen (Only HTTP, Alias für HTTP, etc...)
- Wenn alles funktioniert den alten Server aus der Domäne entfernen und den Servernamen ebenfalls als DNS CName auf den FQDN des neuen Servers auf dem die PKI läuft einrichten. Somit musst du die existieren Zertifikate nicht neu ausstellen.
Gruß,
Dani
Mein Kollege meinte ich müsste da aber noch auf den Revocation-Check achten ?
da hat der Kollege wahrscheinlich recht. Denn viele Admins vergessen bei der Einrichtung der PKI einen DNS Alias für die Veröffentlichung, RevocationList, etc... einzurichten. Da gibt es noch ein paar Stoplersteine...Das kannst du natürlich bei der Installation der Rolle bzw. Migration anpassen. Dies gilt danach für alle neuausgestellten Zertifikate.
Wenn die Möglichkeit hast, würde ich folgendes umsetzen:
- neue VM aufsetzen, dort die ADDS-Rollen installieren, als weiteren DC in die Domäne aufnehmen.
- alten DC herunterfahren und schauen, ob alles noch funktioniert
- bisherigen DC herunterstufen, aber in der Domöne lassen
- Dienste wie DHCP oder Printserver auf den neuen DC migrieren
- neue VM aufsetzen, Rolle Zertifizierungsstelle installieren
- PKI auf die neue VM migrieren und die Konfigurationsanpassungen durchführen (Only HTTP, Alias für HTTP, etc...)
- Wenn alles funktioniert den alten Server aus der Domäne entfernen und den Servernamen ebenfalls als DNS CName auf den FQDN des neuen Servers auf dem die PKI läuft einrichten. Somit musst du die existieren Zertifikate nicht neu ausstellen.
Gruß,
Dani
