none
Upgrade DCs von Windows Server 2008 nach Windows 2016 Zertifikats CA RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo ,

    wir haben ein Netz mit 2 Windows 2008 DCs, wovon einer eine CA Zertifizierungsstelle ist.

    Es wurden dort auch bereits Zertifikate z.B. für MS Exchange generiert.

    Jetzt möchten wir zwei neue DCs hochziehen mit Windows Server 2016. Wie muß man hierbei vorgehen?

    Sollte man eine Sicherung der alten CA erstellen und diese später auf dem Windows 2016 DC zurücksichern (sind die kompatibel). Was geschieht mit dem CA-Root Zertifikat?

    Muß man vor der Installation der Rolle "Zertfizierungsstelle /CA" auf dem neuen Server die CA auf dem alten DC deinstallieren, oder erfolgt eine Migration automatisch?

    CU

    Montag, 23. Oktober 2017 08:51
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    1. CA auf DC ist zwar nicht direkt unsupported, aber dringend nicht empfohlen. Nutzt die Gelegenheit, das aufzulösen, wenn ihr könnt.

    2. Wenn eine Windows-CA migriert werden soll, muss der Computername erhalten bleiben --> also, wenn ihr die neuen und die alten DCs parallel betreiben wollt, wird es nicht gehen.

    3. Das CA-Zertifikat ist im Zweifel wichtiger als das Backup der Einstellungen und der Datenbank.

    4. Ja, vor dem Entfernen des alten Computers sollte die CA entfernt werden.

    5. Automatisch erfolgt da gar nichts ;-) Backup der CA -> Backup desCACert inkl. Private Key --> deinstallieren --> DC demoten und entfernen --> neuen Rechner mit demselben Namen --> Rolle CA hinzufügen und angeben, dass man ein bestehendes Zertifikat verwenden möchte --> Backup zurückspielen --> prüfen, ob alles tut --> neue CRLs erzeugen und veröffentlichen.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Montag, 23. Oktober 2017 09:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Evgenij,

    danke für die Information

    kann man das alte Stammzertifikat auch auf dem 2016er DC nutzen ohne eine identische Benennung?

    Ich wollte ja beide DCs eine zeitlang noch parallel nutzen. Außerdem befürchte ich daß es Probleme im AD gibt wenn ich versuche den neuen DC genauso zu benennen wie den alten.

    Wäre es vielleicht günstiger einfach eine neue CA mit einem neuen CA-Root Zertfikat hochzuziehen? Aber was wäre dann mit den bereits ausgestellten Zertifikaten?

    CU

    Montag, 23. Oktober 2017 11:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ja, wie ich schon bei 1. sagte, lieber eine neue CA, und diesmal nicht auf einem DC, wenn's geht. Die alte könnt ihr ja noch eine Weile am Start behalten, bis ihr sicher seid, dass nirgends mehr Zertifikate eingesetzt werden, die sie signiert hat.

    Ansonsten bleiben die Zertifikate ja erst mal bis zum Ablauf gültig, ob die CA online ist oder nicht - wichtig ist nur, dass die betroffenen Systeme der Zertifikatskette vertrauen. Je nach System ist "bis Ablauf" entweder als "bis Ablauf des Zertifikates" oder "bis Ablauf der CRL" zu verstehen. Aber da kann man keine eindeutige Guidance geben, wie man das am besten auffängt, muss man schauen, was das für Zertifikate sind und an was für Systemen sie hängen.

    DC-Namen wiederverwenden ist übrigens kein großer Akt, Stichworte dabei sind "Metadata Cleanup" und "Replikation".


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Montag, 23. Oktober 2017 11:46
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 23.10.2017 schrieb pe.hall:

    Sollte man eine Sicherung der alten CA erstellen und diese später auf dem Windows 2016 DC zurücksichern (sind die kompatibel). Was geschieht mit dem CA-Root Zertifikat?

    Lies dir dieses HowTo durch:
    https://technikblog.rachfahl.de/losungen/umzug-einer-pki-von-windows-server-2008-r2-auf-windows-server-2012-r2/
    Nach diesem HowTo hab ich vor ein paar Jahren die damalig CA von einem
    DC auf einen Member umgezogen. Lies auch die Kommentare in Bezug auf
    den neuen Namen des Servers.

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Montag, 23. Oktober 2017 15:59
    |