none
Active Directory Zertifizierungsstelle umziehen RRS feed

  • Frage

  • Hallo zusammen,

    mir ist bewusst, dass dieses Thema schon oft im Internet zu finden ist, jedoch kann ich nirgends die gleiche Konstellation finden, die wir hier haben. Deshalb möchte ich euch bitten, mir zu helfen.

    Im ersten Schritt geht es darum eine Active Directory Zertifizierungsstelle (Unternehmenszertifizierungsstelle) auf einen anderen Server umzuziehen. Der andere Server soll einen anderen Namen haben und die Zertifizierungsstelle soll ebenfalls anders heißen. Ich weiß, das ist ein größeres Unterfangen und wird nicht empfohlen. Leider hat aber die IT-Firma, die das bei uns früher eingerichtet hat, manche Dinge gegen BestPractise gemacht und auch den Namen der Zertifizierungsstelle kann nicht so bleiben (es wurde einfach eine fortlaufende Nummer bei den Server gegeben).

    Also zu unserer Umgebung:

    - 2 x VM-Hosts mit Windows Server 2019 auf denen jeweils einige virtuelle Maschinen laufen

    - Auf je einem VM-Host läuft ein Domain Controller (DC01 und DC02) mit Windows Server 2019 (wegen Ausfallsicherheit!)

    - Der Server mit der Zertifizierungsstelle ist noch ein Windows Server 2008 R2 (ja ich weiß, der ist schon aus der Wartung...) und darauf laufen ebenfalls Active Directory mit DNS, GPO (DHCP-Rolle hab ich schon umgezogen). Außerdem läuft dort auch noch ein Exchange 2010 drauf. Also insgesamt alles gegen jegliche BestPractise..

    - Alle FSMO-Rollen wurden schon vor längerer Zeit fehlerfrei auf den DC01 übertragen.

    Jetzt würde ich gern eine ein- oder zweistufige Zertifizierungsstelle aufbauen und danach natürlich den Exchange 2010 durch einen Exchange 2019 ersetzen.

    Wie gehe ich hier am besten vor?

    Mein Vorgehen (bei einstufiger Zertifizierungsstelle) sieht aktuell so aus:

    1. Neuen virtuellen Server (Windows Server 2019) mit neuem Namen aufsetzen und dort eine neue Zertifizierungsstelle (mit neuem Namem) einrichten

    2. Zertifikate von diesem Server neu ausstellen lassen (u.a. auch neues Zertifikat für Exchange und das dort anbinden)

    3. Testen

    4. Wenn alles passt, die alte Zertifizierungsstelle deaktivieren und entfernen

    5. Danach auf altem Server "dcpromo", damit er auch kein Domain Controller mehr ist (macht das Probleme mit dem installierten Exchange 2010?)

    6. Neuen Exchange Server 2019 aufsetzen und Postfächer umziehen

    7. Danach alten Exchange 2010 aus der Domäne und abschalten.

    Ist mein Vorgehen korrekt? Theoretisch könnte ich den Schritt 5 auch erst nach dem Schritt 6 durchführen, falls es Probleme mit installiertem ActiveDirectory + Exchange 2010 gibt.

    Vielen Dank, wenn ihr mich dabei unterstützen könnt!

    Grüße,

    Benjamin

    Dienstag, 24. März 2020 19:53

Antworten

  • Moin,

    ich würde Dir empfehlen, die Frage nach der Exchange-Migration in einen separaten Thread im entsprechenden Subforum auszugliedern, denn mit der PKI-Migration hat das an sich erst mal nichts zu tun.

    Soviel sei aber zu Exchange gesagt:

    1. Den 2010er musst Du ordentlich deinstallieren - und danach klappt auch dcpromo auf der Maschine ohne Artefakte , Folgen und Tränen. 
    2. 2010 auf 2019 sind *zwei* Schritte, die beiden Versionen können nicht in einem Forest koexistieren. Also nimm erst mal 2016, dann kann das 2008er Geraffel weg, und dann kannst Du schauen, ob Du dir die zweite Migration antun willst - funktional hast Du davon keine Vorteile, und der Lifecycle endet für beide Stand heute genau am selben Tag: guckst Du hier

    Nun aber zur PKI. Servernamen einer CA ändern wird nicht nur nicht empfohlen, sonder ganz klar nicht supported. Technisch ist es allerdings kein Ding, wenn man in etwa weiß, was man tut. Den CA-Namen hingegen kannst Du nicht ändern, das ist dann eine neue CA. Aber da Du eh eine neue PKI aufbauen willst, passt das ja wieder :-)

    Die Vorgehensweise passt im Groben, wichtig ist, dass Du die CA erst abbaust, wenn kein von ihr ausgestelltes Zertifikat mehr validiert werden muss (Stichwort: Revocation Lists). Zieh alle Zertifikate raus, die noch gültig sind, und schau, wie Du sie tauschst oder wie lange sie noch gelten.


    Evgenij Smirnov

    http://evgenij.smirnov.de



    Dienstag, 24. März 2020 21:10
  • Hallo Benjamin,

    Du hast mehrere Baustellen auf einmal. Zu erst zur CA:

    Wenn möglich baue eine neue mit dem neuen Namen auf. Wenn du eh eine Mehrstufige jetzt haben möchtest, macht das eh Sinn. Die frage ist geht das bei euch, sprich wird die CA nur intern verwendet und du kannst die neue auf alle Clients verteilen. Das Hängt immer von der Infrastruktur ab, Linux Systeme können da schon mal spannend werden oder wenn die CA mit externen genutzt wird.
    Wenn ein neu Aufbau möglich ist, gibt den Server einen Sinnvollen DNS Alias, z.B. CA.domain.tld. Verwende den Alias beim aufsetzten der CA und nicht den Servernamen. Das macht Zukünftige Umzüge einfacher. Wenn du die neue CA Aufgebaut hast und die Systeme Sie alle erkennen, ist es an der Zeit die Zertifikate der alten CA durch Zertifikate der neuen CA zu ersetzten. Kontrolliere in der alten CA ob du alle Gültigen Zertifikate ersetzt hast. 
    Dann kannst du die alte CA deinstallieren.
    Hier ein paar Links zu Artikeln von mir Rund um das Thema CA: 

    Zum Thema Exchange:

    Du musst erst die Migration auf Exchange 2016 durchführen, Exchange 2010 sauber deinstallieren. Dann kannst du von Exchange 2016 nach 2019 migrieren. 

    Ich würde mit dem DCpromo auf dem Multi System warten, bis du alles runter migriert hast. Kontrolliere am besten auch über das Firewall und Event Log, ob noch Zugriffe auf schon entfernte Dienste erfolgen.

    Noch eine allgemeine Anmerkung zu Multirole Servern, wenn möglich nicht machen. Ich kenne Firmen die aus Lizenzgründen gerne eine Art SBS nachbauen und alles auf einen DC klatschen. Dies sorgt aber bei einer Migration für Mehraufwende und Probleme, so das es wahrscheinlich nicht günstiger war, sondern höchstens ein anderer Topf. Auch kann das gerne mal Probleme geben wenn man beim Microsoft Support anruft. Ich denke das hast du aber schon verinnerlicht ;)

    Wenn noch Fragen sind, einfach stellen. Ich hoffe das hilft.


    Viele Grüße / Kind regards
    Fabian Niesen
    ---
    Infrastrukturhelden.de (German) - Infrastructureheroes.org (English)
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own
    My post are provided as they are. Usage is on your own risk.
    Please consider to mark this entry as helpful or solution if it helps or solved your issue.

    Mittwoch, 25. März 2020 09:25

Alle Antworten

  • Moin,

    ich würde Dir empfehlen, die Frage nach der Exchange-Migration in einen separaten Thread im entsprechenden Subforum auszugliedern, denn mit der PKI-Migration hat das an sich erst mal nichts zu tun.

    Soviel sei aber zu Exchange gesagt:

    1. Den 2010er musst Du ordentlich deinstallieren - und danach klappt auch dcpromo auf der Maschine ohne Artefakte , Folgen und Tränen. 
    2. 2010 auf 2019 sind *zwei* Schritte, die beiden Versionen können nicht in einem Forest koexistieren. Also nimm erst mal 2016, dann kann das 2008er Geraffel weg, und dann kannst Du schauen, ob Du dir die zweite Migration antun willst - funktional hast Du davon keine Vorteile, und der Lifecycle endet für beide Stand heute genau am selben Tag: guckst Du hier

    Nun aber zur PKI. Servernamen einer CA ändern wird nicht nur nicht empfohlen, sonder ganz klar nicht supported. Technisch ist es allerdings kein Ding, wenn man in etwa weiß, was man tut. Den CA-Namen hingegen kannst Du nicht ändern, das ist dann eine neue CA. Aber da Du eh eine neue PKI aufbauen willst, passt das ja wieder :-)

    Die Vorgehensweise passt im Groben, wichtig ist, dass Du die CA erst abbaust, wenn kein von ihr ausgestelltes Zertifikat mehr validiert werden muss (Stichwort: Revocation Lists). Zieh alle Zertifikate raus, die noch gültig sind, und schau, wie Du sie tauschst oder wie lange sie noch gelten.


    Evgenij Smirnov

    http://evgenij.smirnov.de



    Dienstag, 24. März 2020 21:10
  • Hallo Benjamin,

    Du hast mehrere Baustellen auf einmal. Zu erst zur CA:

    Wenn möglich baue eine neue mit dem neuen Namen auf. Wenn du eh eine Mehrstufige jetzt haben möchtest, macht das eh Sinn. Die frage ist geht das bei euch, sprich wird die CA nur intern verwendet und du kannst die neue auf alle Clients verteilen. Das Hängt immer von der Infrastruktur ab, Linux Systeme können da schon mal spannend werden oder wenn die CA mit externen genutzt wird.
    Wenn ein neu Aufbau möglich ist, gibt den Server einen Sinnvollen DNS Alias, z.B. CA.domain.tld. Verwende den Alias beim aufsetzten der CA und nicht den Servernamen. Das macht Zukünftige Umzüge einfacher. Wenn du die neue CA Aufgebaut hast und die Systeme Sie alle erkennen, ist es an der Zeit die Zertifikate der alten CA durch Zertifikate der neuen CA zu ersetzten. Kontrolliere in der alten CA ob du alle Gültigen Zertifikate ersetzt hast. 
    Dann kannst du die alte CA deinstallieren.
    Hier ein paar Links zu Artikeln von mir Rund um das Thema CA: 

    Zum Thema Exchange:

    Du musst erst die Migration auf Exchange 2016 durchführen, Exchange 2010 sauber deinstallieren. Dann kannst du von Exchange 2016 nach 2019 migrieren. 

    Ich würde mit dem DCpromo auf dem Multi System warten, bis du alles runter migriert hast. Kontrolliere am besten auch über das Firewall und Event Log, ob noch Zugriffe auf schon entfernte Dienste erfolgen.

    Noch eine allgemeine Anmerkung zu Multirole Servern, wenn möglich nicht machen. Ich kenne Firmen die aus Lizenzgründen gerne eine Art SBS nachbauen und alles auf einen DC klatschen. Dies sorgt aber bei einer Migration für Mehraufwende und Probleme, so das es wahrscheinlich nicht günstiger war, sondern höchstens ein anderer Topf. Auch kann das gerne mal Probleme geben wenn man beim Microsoft Support anruft. Ich denke das hast du aber schon verinnerlicht ;)

    Wenn noch Fragen sind, einfach stellen. Ich hoffe das hilft.


    Viele Grüße / Kind regards
    Fabian Niesen
    ---
    Infrastrukturhelden.de (German) - Infrastructureheroes.org (English)
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own
    My post are provided as they are. Usage is on your own risk.
    Please consider to mark this entry as helpful or solution if it helps or solved your issue.

    Mittwoch, 25. März 2020 09:25
  • Vielen herzlichen Dank euch schonmal. Das hilft mir sehr bei der Planung!

    Dann werde ich mich mal dran machen und schauen, ob ich noch Fragen habe.

    Grüße,

    Benjamin

    Donnerstag, 26. März 2020 13:45