none
AD integrierte RootCA auf neuen DC installieren RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi Community,

    wir hatten auf einen alten W2K3SP4 DC eine AD-integrierte RootCA installiert und nun nacheinander alle alten DCs gegen neue (W2K8R2) ausgetauscht. Dabei haben wir die RootCA auf dem alten DC vergessen bevor dieser demotet wurde. Von diesem DC exisitiert leider nur noch ein Backup. Eine Datei da rauszupfriemeln wäre also nicht das Problem, dass System allerdings wieder lauffähig zu bekommen scheint sehr aufwändig.

    Gibt es eine Möglichkeit die RootCA auf einen der neuen DCs wieder zu installieren, ohne dass ich in einen Konflikt mit der alten komme?

    Thx & Bye Tom

    Mittwoch, 18. September 2013 11:58
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Stell das Backup in einer VMWare wiederher, ohne Kontakt zum Netzwerk. Nutze die Sicherung der Zertifizierungsstelle um sie umzuziehen.

    How to move a certification authority to another server
    http://support.microsoft.com/kb/298138/de

    Migration Guide:
    http://technet.microsoft.com/en-us/library/ee126170(v=ws.10).aspx

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    • Als Antwort vorgeschlagen Meinolf Weber Donnerstag, 19. September 2013 13:18
    Mittwoch, 18. September 2013 21:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Stell das Backup in einer VMWare wiederher, ohne Kontakt zum Netzwerk. Nutze die Sicherung der Zertifizierungsstelle um sie umzuziehen.

    How to move a certification authority to another server
    http://support.microsoft.com/kb/298138/de

    Migration Guide:
    http://technet.microsoft.com/en-us/library/ee126170(v=ws.10).aspx

    Servus Mark,

    da sind schon ein paar Haken und Ösen dabei, zB will der Workaround im ersten Link, dass der neue Server den selben Namen hat, wie der alte. Das ist nun aber nicht so und einen aktuellen DC umbenennen will ich jetzt auch nicht unbedingt.

    Eine andere Frage: Brauche ich die alte RootCA eigentlich unbedingt bzw. kann ich nicht einfach eine neue anlegen? Die ausgestellten Zertifikate der alten RootCA haben eigentlich nur das interne und RPCoverHTTPS Zertifikat für unseren Exchange 2003 erstellt. Jetzt haben wir aber einen neuen Exchange 2010 mit gekauften Zertikaten, weil die nicht mehr die Welt kosten und länger gültig sind, als die von unserer RootCA ausgestellten.

    Der alte Exchange läuft zwar noch (Swing-By), sollte aber bis zum Ablauf der Zertifikate Ende November bereits vom Netz sein. Die alte RootCA ist auch länger gültig als die von der ausgestellten Zertifikate. Das RootCA-Zertifikat wird ja AFAIK sowieso automatisch auf die AD-Clients ausgeliefert, ich weiß halt nur nicht ob das auch mit einer weiteren RootCA noch geht.

    Das wäre halt jetzt die Überlegung ob ich da nicht einen pragmatischeren Weg einschlagen könnte, als hier irgendwie den alten DC wieder zusammenzubasteln. Im Prinzip hätte ich sicherlich die Möglichkeit, diesen (offline) wiederherzustellen, aber die Frage ist ob ich das bei og Setup auch wirklich brauche?

    Beim zweiten Link bin ich noch nicht ganz durch.

    Thx & Bye Tom


    Donnerstag, 19. September 2013 13:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Du hast nun die beste Möglichkeit die CA auf einem Mitgliedsserver zu installieren, was auch der Vorschlag von Microsoft ist. Ein DC sollte keine CA Installation haben, vor allem wenn eine OfflineRootCA genutzt werden soll. Ist zwar voll unterstützt aber besser Mitgliedsserver nehmen.

    In Eurem Fall, neuen Mitgliedsserver mit dem "richtigen alten" Namen der CA vorbereiten und hier die RootCA wiederherstellen.

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Donnerstag, 19. September 2013 13:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    >In Eurem Fall, neuen Mitgliedsserver mit dem "richtigen alten" Namen der CA vorbereiten und hier die RootCA >wiederherstellen.

    Was ist der "richtige alte" Name? Der FQDN des Servers oder einfach nur der Name der RootCA? Ich schau mir grad das Zertifikat der RootCA an und da steht bei allgemeiner Name FirmaRootCA. Das ist wohl gemeint oder?

    Das mit dem Memberserver ist mir auch sympathischer. Da such ich mir eine VM aus und packe das ganze dann da drauf. Ist dann in Zukunft auch leichter zu migrieren.

    Ich lese mir jetzt noch den zweiten Link in Ruhe zu Ende, dann muss ich den alten DC irgendwie wieder zum Leben erwecken. Das dauert jetzt ein wenig...

    Bye Tom

    Donnerstag, 19. September 2013 14:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Bitte den richtigen (wichtigen) Hinweis auch lesen:

    Active Directory Certificate Services Migration Guide
    http://technet.microsoft.com/en-us/library/ee126170.aspx

    [..]
    This guide can be used to migrate a CA from a source server that is also a domain controller to a destination server with a different name
    [..]

    Bzgl. dem Entfernen der alten CA können wir Dir die Entscheidung nicht abnehmen.

    Wie es technisch geht findest Du hier:

    How to remove manually Enterprise Windows Certificate Authority from Windows 2000/2003 Domain
    http://support.microsoft.com/kb/555151/en-us

    Normalerweise würde man VORHER so vorgehen:

    Checklist: Decommissioning a certification authority
    http://technet.microsoft.com/en-us/library/cc786938.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Donnerstag, 19. September 2013 14:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Ab 2008(?) darf der Name unterschiedlich sein.

    Die frag, ob du die alte CA noch brauchst, kannst nur du beantworten.

    - wie viele Zertifiakt emüssten neuausgestellt werden?

    - müssen die alten weiterhin verwendet werden?

    - hängen Verschlüsselungen an den alten Zertifikaten, die weitergenutzt werden?

    usw.usw.usw

    Tschö

    Mark

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Donnerstag, 19. September 2013 15:19
    |
  • Question
    Anmelden
    0
    Anmelden

    > Ab 2008(?) darf der Name unterschiedlich sein

    Ging auch schon mit 2003 .. ob ab 2000 auch schon kann ich nicht mehr sagen/verifizieren.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Donnerstag, 19. September 2013 15:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Die frag, ob du die alte CA noch brauchst, kannst nur du beantworten.

    Ich versuchs mal zu schildern.

    > - wie viele Zertifiakt emüssten neuausgestellt werden?

    Im Prinzip keine, denn die Zertifikate die ich ausgestellt habe waren alle für den alten Exchange (OWA, RPCoverHTTPS, und interner FQDN des Exchanges). Dieser Server wird demnächst abgeschaltet, die meisten Postfächer sind schon auf einem neuen Exchange 2010 und dort bzw. am TMG sind nur noch gekaufte Zertifikate installiert.

    > - müssen die alten weiterhin verwendet werden?

    Die ich ausgestellt habe müssen nicht weiter verwendet werden.

    > - hängen Verschlüsselungen an den alten Zertifikaten, die weitergenutzt werden?

    Das ist jetzt so eine Frage die mir eben Sorgen macht. Die Kommunikation zwischen Clients und DCs zB läuft ja zB auch verschlüsselt ab. Das tut es auch ohne dafür eine eigene PKI zu betreiben. Ob das System jetzt aber hergeht und sich denkt toll jetzt haben wir eine benutzerdefinierte PKI, jetzt verschlüsseln wir mal alles damit ... und ich dann am Ende gegen eine Wand laufe, wenn die alte RootCA abgelaufen ist. Das ist jetzt meine Sorge.

    Von mir wurden jedenfalls keine weiteren Zertifikate für Webserver oder dergleichen ausgestellt und auch von sonst niemanden hier. Es ging für uns immer nur um das RPCoverHTTPS Zertifikat und das Host FQDN Zertifikat des Exchanges. Sonst wurde von uns nix ausgestellt ... und Verwendung finden sie auch keine mehr ... Deswegen haben wir auch beim Demoten des DCs der die RootCA gehostet hat nicht mehr daran gedacht.

    Thx & Bye Tom

    Donnerstag, 19. September 2013 15:32
    |
  • Question
    Anmelden
    0
    Anmelden
    Das ist jetzt so eine Frage die mir eben Sorgen macht. Die Kommunikation zwischen Clients und DCs zB läuft ja zB auch verschlüsselt ab. Das tut es auch ohne dafür eine eigene PKI zu betreiben.

    Zertifikate spielen hier nur eine Rolle, wenn Du IPSec verwendest. Sonst geht das über Secure Channel...

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Donnerstag, 19. September 2013 18:03
    |
  • Question
    Anmelden
    0
    Anmelden

    danke!

    Aber war das nicht das gebastel mit dem 2nd netbios Name?

    Freitag, 20. September 2013 06:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    stressfrei abreissen. :-)

    Es ging mir eher um verschlüsselte Dateien und Emails. Die mit Benutzerzertifkaten verschlüsselt wurden.

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Freitag, 20. September 2013 06:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Und SChannel (nicht zu verwechseln mit dem RPC-Secure Channel zwischen Netlogon-Diensten, s. http://msdn.microsoft.com/en-us/library/cc237122.aspx) verwendet ebenso Zertifikate..;)

    How to troubleshoot LDAP over SSL connection problems
    http://support.microsoft.com/kb/938703/en-us

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Freitag, 20. September 2013 08:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du hier weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 23. September 2013 10:55
    |
  • Question
    Anmelden
    0
    Anmelden

    bist Du hier weitergekommen

    Servus,

    tja nö eigentlich noch nicht. Das alte ntbackup Backup, was ich noch hatte, ist wohl schon zu alt (12 Monate) und lässt sich nicht mehr herstellen. Jetzt muss ich das mit dem konventionellen Backup versuchen aber dazu müsste der Server online gehen, was ich nicht möchte. So muss ich jetzt ein VM-Net aufbauen wo ich Backup Server und DC virtualisiere. Wenn ich da aber den System-State einspiele wird wohl das Plug & Play an seine Grenzen stoßen, weil mir wohl so ziemlich jeder Treiber um die Ohren fliegt. Und die Root CA lässt sich jetzt nicht starten, weil der Server im abgesicherten Modus läuft, normal lässt er sich aber nicht mehr booten, weil die DS Services nicht starten...

    ...tja einfach machts Microsoft nicht gerade aber ich sehe es (derzeit noch) sportlich. Was ich sagen will, nein ich brauch noch eine Weile.

    Thx & Bye Tom

    Dienstag, 24. September 2013 11:51
    |
  • Question
    Anmelden
    0
    Anmelden

    > tja einfach machts Microsoft nicht gerade

    Wieso Microsoft..?

    Ihr habt doch eure Arbeit nicht sauber gemacht...?

    Und oben stehen genügend Anleitungen wie ihr es wieder sauber bekommt.

    Aber es ist halt einfacher bei anderen die Schuld zu suchen... mann mann mann.

    EOT

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 25. September 2013 08:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    >> tja einfach machts Microsoft nicht gerade

    > Wieso Microsoft..?

    > Ihr habt doch eure Arbeit nicht sauber gemacht...?

    > Aber es ist halt einfacher bei anderen die Schuld zu suchen... mann mann mann.

    Schlechten Tag gehabt oder wo habe ich Schuldzuweisungen geäußert? Weil ich gesagt habe, dass Microsoft es einem nicht einfach macht? Ich bitte dich, so dünnhäutig hätt ich dich eingeschätzt...

    Bye Tom
    Mittwoch, 25. September 2013 10:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Tom, nicht böse sein... Die Technet-Foren haben grad ein Problem mit uns (oder besser andersrum.)

    Früher gab es mal eine NNTP-Bridge, da konnte man abbonierte Foren im Newsreader in wenigen Minuten überfliegen. Heute gibt es nur noch ein Webinterface. Und dessen Qualität wurde mit einem Redesign im Juni unterirdisch. Die Vielposter hier sind deswegen zu Recht "pissed", und MSFT ignoriert das. Da kann die Laune schon mal durchschlagen...

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Mittwoch, 25. September 2013 21:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Tom, nicht böse sein... Die Technet-Foren haben grad ein Problem mit uns (oder besser andersrum.)

    Früher gab es mal eine NNTP-Bridge, da konnte man abbonierte Foren im Newsreader in wenigen Minuten überfliegen. Heute gibt es nur noch ein Webinterface. Und dessen Qualität wurde mit einem Redesign im Juni unterirdisch. Die Vielposter hier sind deswegen zu Recht "pissed", und MSFT ignoriert das. Da kann die Laune schon mal durchschlagen...

    Ich bin nicht böse, nur etwas ratlos, weil ich hier von einem Problem zum nächsten rutsche. Jetzt will die Backupsoftware die NTDS nicht aus dem System State wieder herstellen -> VSS Error oder so. Bloß gut, dass das hier kein Problem ist, was alles lahm legt... ;-)

    Na ja das mit der NNTP Bridge ist ausgleichende Gerechtigkeit. Ich habe hier einen Mac als Arbeitsplatzrechner und da hat die NNTP Bridge noch nie funktioniert ;-) In den Newsgroups gehörte ich auch zu den Regulars aber mit dem Abschalten der Gruppen und diesem hier (ich finde immer schon) grausamen Forum komme ich auch nur noch vorbei, wenn ich was brauche. Klingt vielleicht nach Schnorren aber ich kann meinen Arbeitsalltag nicht um ein Dutzend Foren herum aufbauen.

    Der Wandel der Zeit, so ist das halt mit dem älter werden. Mit 15 wollte ich ein Mofa, hab keines bekommen und nicht verstanden warum. Mein Patenkind will jetzt mit 15 ein MacBook Pro und versteht auch nicht warum sie keins bekommt. Ich hab damals ein Fahrrad bekommen und sie kriegt jetzt ein "normales" Windows 7 Dell Notebook. That's the way the ball bounces;-)

    Bye Tom


    Mittwoch, 25. September 2013 22:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    also ich hab den alten DC jetzt (offline) wieder zum Leben erweckt und die CA und Registry exportiert. Jetzt habe ich aber einen weiteren Artikel gefunden, der darauf hindeutet, dass ich die von einem Windows Server 2003 exportierte CA nicht in einen Windows Server 2008 (R2) importieren kann:

    ---snip---

    To move a CA from a server that is running Windows Server 2003 to a server that is running Windows Server® 2008, you can either complete the Windows upgrade first and then move the CA or move the CA first and then upgrade Windows.

    • To upgrade Windows first: Upgrade the first server from Windows Server 2003 to Windows Server 2008, back up the CA on this server, and then restore the CA on a second server running Windows Server 2008.
    • To move the CA first: Back up the CA on a computer running Windows Server 2003, restore the CA on a second computer running Windows Server 2003, and then upgrade the second server to Windows Server 2008.

    ---snap---

    http://technet.microsoft.com/en-us/library/cc755153%28v=ws.10%29.aspx

    Ich bin der Anleitung mal weiter nachgegangen (ohne mich auf die gleichen Betriebssystemversionen festzulegen) und habe das ganze mal versucht in einem (offline) Windows Server 2008 R2 einzuspielen aber das hat so nicht funktioniert. Der Dienst konnte nicht gestartet werden -> Fehler: 0x80070002 und beim importieren der gesicherten Datenbank kam ein Fehler "Datei nicht gefunden". Möglicherweise liegt das daran, dass der Testserver kein Netzwerk hat aber das ist nur eine Vermutung...

    Thx & Bye Tom

    Montag, 30. September 2013 10:39
    |
  • Question
    Anmelden
    0
    Anmelden

    Hast Du auch die exportiere Registry-Dateie vor dem Import angepasst, wie im obigen Artikel beschrieben?

    Siehe nochmal:

    Active Directory Certificate Services Migration Guide
    http://technet.microsoft.com/en-us/library/ee126170.aspx

    -> AD CS Migration: Migrating the Certification Authority

    [..]
    A suggested way of performing the registry configuration import is first to open the registry file you exported from the source CA in a text editor and analyze it for settings that may need to be changed or removed.
    [..]

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Montag, 30. September 2013 11:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Hast Du auch die exportiere Registry-Dateie vor dem Import angepasst, wie im obigen Artikel beschrieben?

    Die Pfade haben schon gepasst (C:\Windows\System32\CertLog; das war nur dieser eine, dafür aber mehrfach). Lediglich der UNC Pfad zum Schlüssel 'ConfigurationDirectory' zeigte auf den alten Server, den habe ich auf den neuen Server umgeschrieben.

    Thx & Bye Tom

    Montag, 30. September 2013 11:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    halleluja it's done...

    Ich bin jetzt zT nach dieser Anleitung hier vorgegangen:

    http://www.blog-schulenburg.de

    gefolgt dann letztlich von dieser:

    KB 742471

    Wobei diese einen Fehler beinhaltet. Der LDAP-String, welcher hinzugefügt werden muss wird im Browser falsch dargestellt:

    ldap:///CN=CATruncatedNameCRLNameSuffix,CN=OriginalServerShortName,CN=CDP,CN=Public Key Services,CN=Services,ConfigurationContainerCDPObjectClass.

    Die eckigen Klammern wurden entfernt, dafür wurde der Text kursiv dargestellt. Hat für ein paar Unstimmigkeiten gesorgt, bis wir die richtige Syntax zusammen hatten aber letztlich scheint alles zu funktionieren...

    Thx & Bye Tom

    Montag, 7. Oktober 2013 14:40
    |