1
Windows Domain PKI Umzug unbekannte Domainserverzertifikate
Hallo,
ich habe die PKI einer W2k8 R2 Domain Umgebung von einen W2k3 auf einen W2k12 R2 "umgezogen". Eine herkömliche Migration per Backup und Wiederherstellung war es nicht. Ich habe eine neue Installation gemacht und alle Zertifikate der alten PKI in der Neuen erstellt. Das funktionierte alles bestens und die neue Domain PKI wird unter Active Directory Standorte und Dienste aufgeführt.
Nun wundert mich nur noch eins. In der alten PKI sind von den Domaincontrollern jeweils ein Zertifkat mit der Zertifikatsvorlage "Domaincontroller" ausgestellt wurden. Diese Zertifikate werden für Client/Serverauthentifizierung benötigt. Also haben die Domaincontroller sich selbst ein Zertifkat ausgestellt.
Hier ein Bild:
Daraus ergeben sich folgende Fragen?
- Wie weiße ich die Domaincontroller an, dies mit der neuen PKI zu wiederholen, damit ich die alte nun entgültig zurückbauen kann?
- Weißt die Tatsache, dass die Domaincontroller dies noch nicht mit der neuen PKI gemacht haben, darauf hin, dass sie die neue PKI nicht annehmen/nutzen?
Vielen Dank für eure Hilfe,
mexx
ich habe die PKI einer W2k8 R2 Domain Umgebung von einen W2k3 auf einen W2k12 R2 "umgezogen". Eine herkömliche Migration per Backup und Wiederherstellung war es nicht. Ich habe eine neue Installation gemacht und alle Zertifikate der alten PKI in der Neuen erstellt. Das funktionierte alles bestens und die neue Domain PKI wird unter Active Directory Standorte und Dienste aufgeführt.
Nun wundert mich nur noch eins. In der alten PKI sind von den Domaincontrollern jeweils ein Zertifkat mit der Zertifikatsvorlage "Domaincontroller" ausgestellt wurden. Diese Zertifikate werden für Client/Serverauthentifizierung benötigt. Also haben die Domaincontroller sich selbst ein Zertifkat ausgestellt.
Hier ein Bild:
Daraus ergeben sich folgende Fragen?
- Wie weiße ich die Domaincontroller an, dies mit der neuen PKI zu wiederholen, damit ich die alte nun entgültig zurückbauen kann?
- Weißt die Tatsache, dass die Domaincontroller dies noch nicht mit der neuen PKI gemacht haben, darauf hin, dass sie die neue PKI nicht annehmen/nutzen?
Vielen Dank für eure Hilfe,
mexx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 306424
Url: https://administrator.de/contentid/306424
Printed on: April 19, 2024 at 00:04 o'clock
1 Comment
Als erstes solltest Du auf Deiner Tastatur mal das "ß" überprüfen. 
Die DC werden sich von der neuen CA ein neues Zertifikat holen, sobald das Zertifikat, welches sie noch haben, abgelaufen ist. Oder Du löschst es einfach auf den DC's mittels der MMC "Zertifikate" --> lokaler Computer.
- Wie weiße ich die Domaincontroller an, dies mit der neuen PKI zu wiederholen, damit ich die alte nun entgültig zurückbauen kann?
Die alte kann weg. Du musst nur dafür sorgen, dass das öffentliche Root-CA-Zertikat weiterhin vom AD ausgerollt wird. Solange, bis das letzte von der alten CA ausgestellte und noch im Einsatz befindliche Zertifikat abgelaufen ist.- Weißt die Tatsache, dass die Domaincontroller dies noch nicht mit der neuen PKI gemacht haben, darauf hin, dass sie die neue PKI nicht
annehmen/nutzen?Die DC werden sich von der neuen CA ein neues Zertifikat holen, sobald das Zertifikat, welches sie noch haben, abgelaufen ist. Oder Du löschst es einfach auf den DC's mittels der MMC "Zertifikate" --> lokaler Computer.
