none
Root CA Migration W2K3 nach W2K8R2 RRS feed

Antworten

  • Möglichkeit 1

    DC auf der Root-CA runterstufen, CA sichern, Rechner ausschalten, Computerkonto löschen, w2k8 DC mit diesem Namen aufsetzen, Zertifikatsdienste mit dem alten Zertifikat installieren, Sicherung der CA-Datenbank wiederherstellen .... Dann bleibt di CA aber auf dem DC ...

    Möglichkeit 2

    DC auf der Root-CA runterstufen und als Memberserver bestehen lassen. Der neue DC braucht dann natürlich einen neuen Namen.

    Möglichkeit 3 wäre dann ein Neuaufbau der PKI, ausrollen der Computerzertifikate, Sperren der alten Zertifikate. Dabei sollte aber die alte Sperrliste erhalten bleiben. Ich empfehle aber dafür eine Analyse der vorhanden PKI und ein Konzept für die Umstellung.


    Viele Grüße Carsten
    Donnerstag, 13. Januar 2011 10:51

Alle Antworten

  • Hallo,

    der Server muss (empfehlung sogar sollte) kein DC sein. Ich würde eine Root-CA überhaupt nicht in die Domäne aufnehmen.

    Bei div. Kunden konnte ich eine Root nach änlicher Methode (aus em Artikel) so aus der Domäne entfernen. Wichtig für die Zertifikatsdienste ist aber, das der neue Server den gleichen Namen verwendet wie der aktuelle Server. Das kann natürlich zum Problem werden weil dazu der alte Server verschwinden muss .....


    Viele Grüße Carsten
    Mittwoch, 12. Januar 2011 15:18
  • Hi Anastasia,

    es reicht aus,wenn der 2008er R2 Server ein member Server ist. Dazu ergänzend: http://www.scottfeltmann.com/index.php/2010/03/02/move-root-ca-from-w2k3-to-w2k8/

    Gruß

    Martin

    Mittwoch, 12. Januar 2011 15:22
  • Der neue Root CA Server wird auf jeden Fall einen neuen Namen bekommen. Das ist doch, laut dem Wordpress Artikel auch kein Problem oder?
    Mittwoch, 12. Januar 2011 15:26
  • In dem Artikel habe ich keinen Hinweis darauf gefunden ... Wenn du aber Zertifikatsdienste auf einem Server installierst, bekommst du schon beim Setup die Warnmeldung, das sich der Name des Servers nicht mehr ändern darf, solage die Zertifikatsdienste verwendet werden.

    Der Name steht im Zertifikat und wenn der Name im Zertifikat nicht mit dem Namen des Servers übereinstimmt, ist das zertifikat ungültig ...


    Viele Grüße Carsten
    Mittwoch, 12. Januar 2011 15:34
  • Hm, stimmt. Gibt es denn wirklich keine Möglichkeit eine existierende Root CA auf einen neuen Server mit neuem Namen zu migirieren, so dass auch vorhandene Zertifikate z.B. auf VPN Clients immer noch funktionieren?

    Viele Grüße, runnerz

    Donnerstag, 13. Januar 2011 08:41
  • Leider nicht.

    Wenn du einen anderen Servernamen wählen musst, bleibt nur der Neuafbau einer PKI. Der Aufwand dafür ist natürlich stark davon abhängig, was ihr mit der vorhanden PKI macht.

    Welche Zertifikatsvorlagen kommen zum einsatz und wieviele Zertifikate wurden bisher ausgerollt ?


    Viele Grüße Carsten
    Donnerstag, 13. Januar 2011 10:25
  • Wir verwenden die IPSec Zertifikate für ca. 200 VPN Clients.

    Das ist jetzt echt Mist, denn den DC wollte ich "frei" von div. Diensten machen, damit ich ihn mit gleichem Namen wieder als W2K8R2 Server und DC verwenden kann. Dafür müsste aber die Root CA runter bekommen, die ja den Namen behalten muss.

    Hm, was mache ich denn jetzt am Besten, um

    a) die DC´s mit W2K8R2 auszurollen

    b) die Root CA zu behalten.

    Viele Grüße, Anastasia

    Donnerstag, 13. Januar 2011 10:37
  • Möglichkeit 1

    DC auf der Root-CA runterstufen, CA sichern, Rechner ausschalten, Computerkonto löschen, w2k8 DC mit diesem Namen aufsetzen, Zertifikatsdienste mit dem alten Zertifikat installieren, Sicherung der CA-Datenbank wiederherstellen .... Dann bleibt di CA aber auf dem DC ...

    Möglichkeit 2

    DC auf der Root-CA runterstufen und als Memberserver bestehen lassen. Der neue DC braucht dann natürlich einen neuen Namen.

    Möglichkeit 3 wäre dann ein Neuaufbau der PKI, ausrollen der Computerzertifikate, Sperren der alten Zertifikate. Dabei sollte aber die alte Sperrliste erhalten bleiben. Ich empfehle aber dafür eine Analyse der vorhanden PKI und ein Konzept für die Umstellung.


    Viele Grüße Carsten
    Donnerstag, 13. Januar 2011 10:51
  • Hallo Anastasia

    ist das Problem noch aktuell? Konnten Carstens Tipps weiterhelfen?

    Gruß
    Andrei

    Mittwoch, 19. Januar 2011 15:02
    Moderator
  • Hallo Andrei,

    ja, das Problem ist noch aktuell. In der Zwischenzeit habe ich mich entschlossen die Möglichkeit 1 von Carsten auszuprobieren.

    Ich werde mich dann bestimmt nochmal melden ;-)

    Bis dahin: Ein dickes Lob an Euch für die Hilfen!

    Danke!

    Viele Grüße, Anastasia

    Donnerstag, 20. Januar 2011 07:49
  • Hi,

    habe die standalone Root CA vom alten W2K3 DC heruntergenommen (und vorher gesichert). Dann den W2K3 DC runtergestuft, umbenannt und IP geändert.

    Den neuen W2K8R2 Server habe ich mit gleichem Namen und gleicher IP installiert und als DC hochgestuft.

    Nun bin ich beim restoren der Root CA. Habe die Zertifizierungsdienste als Rolle hinzugefügt (standalone Root CA, existing private key ausgewählt). Dann noch das alte REG File bzgl. certsvc importiert und neu gestartet. Die Root CA ist wieder da, aber unter issued certificates finde ich nicht die alten ausgestellten Zertifikate der alten Root CA.

    Was kann ich falsch gemacht haben. Der Name der Root CA ist wie der alte.

    Kann ich nachträglich die Zertifikate importieren?

    Einen Fehler habe ich im Eventlog der Certificatio Authority:

    Log Name:      Application
    Source:        Microsoft-Windows-CertificationAuthority
    Date:          15.02.2011 12:53:35
    Event ID:      126
    Task Category: None
    Level:         Error
    Keywords:      Classic
    User:          SYSTEM
    Computer:      xxx
    Description:
    Current information about advanced features supported by this Certification Authority is not available from the domain controller. Stop and restart Certificate Services in order to update this information. Element not found. 0x80070490 (WIN32: 1168)
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
        <EventID Qualifiers="49754">126</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2011-02-15T11:53:35.000000000Z" />
        <EventRecordID>926</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>xxx</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData Name="MSG_E_CA_ADVANCED_SETTING_NOT_UPDATED">
        <Data Name="ErrorCode">Element not found. 0x80070490 (WIN32: 1168)</Data>
      </EventData>
    </Event>

    Hat der Fehler was damit zu tun?

    Danke für Eure Hilfe.

    Viele Grüße, Anastasia

     

    Dienstag, 15. Februar 2011 12:50
  • Hi Anastasia,

     

    vermisse in deiner Aufzählung vom Backup/Restore das Sichern und dann zurückspielen der CA Datenbank und Logfiles. In der DB sollten deine fehlenden Infos drin stehen. Privater Schlüssel und Regkey ist nur ein Teil der Sicherung einer CA.

     

    Viele Grüsse

    Bastian

    Dienstag, 15. Februar 2011 13:14
  • Stimmt, da war doch noch was... Habe über "Restore CA" den private key und die database zurückgespielt und siehe da... da sind sie alle wieder.

    Vielen Dank für den Hinweis.

    Viele Grüße, Anastasia

    Dienstag, 15. Februar 2011 15:10
  • Hi Anastasia,

    sprich der Plan hat funktioniert oder gibt es noch irgendwo Probleme ?

     


    Viele Grüße Carsten
    Dienstag, 15. Februar 2011 16:32
  • Hi Carsten,

    so wie es zur Zeit aussieht, hat der Plan funktioniert.

    Alle Dinste laufen wieder.

    Habe nur noch ein Problem mit einem Rechner mit Samba, auf dessen Freigaben man nicht mehr die Domänenauthentifizierung zugreifen kann. Das OS scheint die neue Gesamtstruktur W2K8R2 nicht zu mögen.

    Viele Grüße, Anastasia 

    Mittwoch, 16. Februar 2011 10:45
  • Hi, das hat was mit SMB 2.0 zu tun ;) Empfehlung ist: Samba wenn möglich dazu bringen, das auch SMB 2.0 unterstützt wird. Alternative: SMB 2.0 deaktivieren (geht natürlich etwas gewonnene Sicherheit wieder verloren. http://www.petri.co.il/how-to-disable-smb-2-on-windows-vista-or-server-2008.htm
    Viele Grüße Carsten
    Mittwoch, 16. Februar 2011 11:47
  • * Wolverine74 (Wed, 16 Feb 2011 11:47:40 +0000)

    Hi, das hat was mit SMB 2.0 zu tun ;) Empfehlung ist: Samba wenn möglich dazu bringen, das auch SMB 2.0 unterstützt wird.

    Das sollte man tunlichst sein lassen, denn es ist "currently               marked experimental".

    Alternative: SMB 2.0 deaktivieren (geht natürlich etwas gewonnene
    Sicherheit wieder verloren.
    http://www.petri.co.il/how-to-disable-smb-2-on-windows-vista-or-serve
    r-2008.htm

    Was soll eigentlich immer der Quatsch mit dem "deaktivieren" ("SMB2 deaktivieren", "SMB Signing deaktivieren")...? "The automatic negotiation phase in the SMB protocol takes care of choosing the appropriate protocol."

    Thorsten

    Mittwoch, 16. Februar 2011 13:04
  • Kann Dein Samba SMB-Signing? Klappts per IP? Oder reden die Kerberos, und Samba kann mit AES nix anfangen? Kommt "Access denied" oder was anderes? Fragen über Fragen ;-) aber "nicht mehr zugreifen kann" ist auch etwas "dünn" als Fehlerbeschreibung.

    mfg Martin

    Mittwoch, 16. Februar 2011 22:00
  • Das Problem mit dem Samba Zugriff ist ein wenig komplexer:

    Wir haben einen NAS mit GuardianOS, der über Samba shares im Netz zur Verfügung stellt. Dazu kann der NAS Server in die ADS mit einem Computerkonto aufgenommen werden, was jetzt nicht mehr funktioniert, somit keiner mehr mit der Domänenauthentifizierung auf die shares kommt, brrrrr.

    Das ist erst mit der Aktualisierung des Active Directory von Windows Server 2003 auf Windows Server 2008 R2 passiert (Gesamtstruktur, Domäne).

    Viele Grüße, Anastasia

    Donnerstag, 17. Februar 2011 11:26
  • Hallo Anastasia,

     

    ich tippe auf nicht mehr kompatible/zu schwache Kryptografie Algorithmen deiner NAS beim Aufbau eines Secured Channels zu deinen DCs:

    http://support.microsoft.com/kb/942564/en-us/

    Symtom 4 dürfte dein Problem sein?!

     

    Gruss

    Bastian

     

    Donnerstag, 17. Februar 2011 11:47
  • Seltsam ist, dass ich keinen Eventlog Eintrag auf dem DC habe, wenn ich versuche das NAS in die ADS aufzunehmen.

    Viele Grüße, Anastasia 

    Donnerstag, 17. Februar 2011 15:20