none
CA aus 2003/2008 Domäne entfernen RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    wir haben bei einem Kunden folgendes Szenario:

    Zwei alte Windows 2003 x86-32bit DomainController ( server 1 und server 3 ) sollen durch 2 neue Windows Server 2008 R2 x86-64bit ersetzt werden. ( server 4 und server 5 ). Weiterhin wird auf Server 5 noch Exchange 2007 SP3 installiert.

    Server 4 und 5 wurden von uns soweit schon zu DC angehoben. Auch der Umzug auf Exchange 2007 ist vollzogen.

    Leider ist uns erst jetzt aufgefallen, dass auf einem der alten Servern ( server 3 ) von unseren Vorgängern eine Unternehmens CA installiert wurde. Diese hat natürlich schon Zertifikate an die neuen Domänen Controller ausgegeben. Habe testweise auf einem der neuen DomainControllern (server 4) das ServerCert exportiert und entfernt. Windows quitierte dies mit Fehlermeldungen im Eventlog ("LDAP über SSL steht zur Zeit nicht zur Verfügung", und halt noch Fehler das die automatische Zertifikatsregistrierung nicht funktioniert. Zur Info: Habe die CA auf dem SRV03 deaktiviert)

    Noch läuf der DC. Auf dem neuen ExchangeServer möchte ich das lieber garnicht erst probieren, das Zert zu entfernen.

    Im Internet kursieren Anleitungen zum Umheben der CA auf einen anderen Server. Würde ich gerne tun. Ich kann nur dem neuen Server nicht den Namen des Alten geben.

    Was meint Ihr was sinnvoller wäre?

    1.) Löschen der CA und entfernen der Zertifikate von den neuen DCs

    oder

    2.) Umzug der CA auf neuen Server

    Vielen Dank

     

    Florian

     

    Dienstag, 28. Dezember 2010 11:23
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    ganz ehrlich, ich würd die alte CA platt machen und sauber aus der AD über entsprechenden KB Artikel entfernen. Hast schon?

    Die Computerzertifikate auf den DC sollten von alleine ungültig werden und die DC Kommunikation altbekannte Wege gehen. Evtl. treten kleinere Fehler auf die entweder keine direkten Auswirkungen haben, oder schnell zu lösen sind (so war es bei mir wenn ich aus Kraut und Rüben, nen sauberes getreidefeld gemacht habe^^). Achte vorher drauf das keine Unternehmenskritischen Dienste auf die CA zurückgreifen, entweder über die Doku oder über ausgestellte Zertifikate zu erkennen. Z.B. Webserver-, benutzer-, Computerzertifikate.

    Anschliesend in einer VM als Stand Alone Domänemember eine neue CA hochziehen. Die Upgradepfade werden für die Zukunft sauberer und einfacher.

    der zweite Weg ist zwar unter umständen im Moment einfacher, langfristig könnte da ein riesen rattenschwanz dran hängen.

     

    Letztenendes ist es deine Entscheidung

    Versuche für die CA technet Artikel und KB Artikel zu verwenden, klone vorher die Umgebung in eine VM Umgebung um ganz sicher zu sein.

    Links schick ich keine mit, gibt soooo viele^^

     

    Grüße

    Dienstag, 28. Dezember 2010 15:37
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    ich würde als erstes prüfen, ob die CA noch läuft und wieviele Zertifikate sie ausgestellt hat. Danach kann man entscheiden, ob man einen Weg findet, diese zu migrieren. Der Computername muss allerdings gleich sein, da sonst das Zertifikat der CA nicht gültig ist.

    Alternative ist der Neuafbau einer PKI. Danach können dann alle Zertifikate ausgetauscht werden.

    Viele Grüße Carsten
    Dienstag, 28. Dezember 2010 16:31
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Howdie!
     
    Am 28.12.2010 17:31, schrieb Wolverine74:
    > ich würde als erstes prüfen, ob die CA noch läuft und wieviele
    > Zertifikate sie ausgestellt hat. Danach kann man entscheiden, ob man
    > einen Weg findet, diese zu migrieren. Der Computername muss allerdings
    > gleich sein, da sonst das Zertifikat der CA nicht gültig ist.
     
    Dem würde ich zustimmen. Hierbei spielt das Alter der zuletzt
    ausgestellten Zertifikate eine Rolle. Hat die CA in letzter Zeit
    überhaupt Zertifikate ausgestellt? Wenn ja, welche und wem?
     
    Soweit ich mich erinnere, musst du auf Autoenrollment-Zertifikate für
    Domänencontroller keine Rücksicht nehmen, wenn du kein IPSec für
    DC-DC-Kommunikation einsetzt (gibt's Leute, die das überhaupt einsetzen!?)
     
    > Alternative ist der Neuafbau einer PKI. Danach können dann alle
    > Zertifikate ausgetauscht werden.
     
    In jedem Fall würde ich die CA sauber sichern und den Server nicht
    vollständig platt machen, sondern noch ein Weile, auch wenn die CA
    deinstalliert und die Kiste demotet wurde, physisch bereit halten. Man
    weiß ja nie...
     
    Cheers,
    Florian
     
    The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer.
    Mittwoch, 29. Dezember 2010 10:37
    |