none
Seize FSMO. Ho fatto tutto? RRS feed

  • Domanda

  •  Devo dismettere il domain controller Windows 2003 Ent con installato Exchange 2007 che detiene i ruoli FSMO e la Certification authority per il dominio. Nel dominio c'è anche un altro DC che è anche GC.

     Ho già trasferito Exchange su un nuovo server membro non DC e l'ho rimosso dal vecchio server. Ho poi assegnato come DC di configurazione il nuovo server.

     Ho installato e joinato come server membro un altro server Windows 2008 R2. Ho poi seguito la preparazione della foresta e la procedura guidata per il dcpromo. Ho installato una nuova "root certification autority" su questo server e sostituito i certificati di Exchange e Sharepoint che erano stati emessi dalla root CA del vecchio DC da dismettere. Il DHCP per ora lo stà facendo l'altro DC.

     Ho poi eseguito con ntdsutil il seize dei cinque FSMO dall'attuale DC al nuovo server e lascito riposare per qualche giorno, per dare il tempo di propagare le modifiche in tutta AD.

     Una volta aggiornato lo scope del DHCP per puntare al nuovo server come DSN il piatto è pronto o devo fare altro prima di demotare il vecchio server? Vedo che in giro ci sono alcuni certificati emessi dal vecchio server ma mi sembra che siano i certificati della Certification Autority. 

     Eventualmente c'è modo di importare nella nuova CA anche i certificati emessi dal vecchio server?? Avrebbe senso?

    sabato 29 gennaio 2011 20:20

Risposte

  • Una volta aggiornato lo scope del DHCP per puntare al nuovo server come DSN il piatto è pronto o devo fare altro prima di demotare il vecchio server? Vedo che in giro ci sono alcuni certificati emessi dal vecchio server ma mi sembra che siano i certificati della Certification Autority. 

    dalla descrizione che hai fatto delle operazioni compiute mi sembra proprio che tu abbia fatto tutto senza dimenticare nulla quindi puoi spromuovere tranquillamente il vecchio dc.

     Eventualmente c'è modo di importare nella nuova CA anche i certificati emessi dal vecchio server?? Avrebbe senso?

    se hai messo in piedi una nuova CA che magari esegue l'autoenroll dei certificati per i servizi tipo wifi, vpn, ipsec ed hai già fatto emettere dalla nuova CA i certificati per i web server direi che non c'è altro da preoccuparsi. oltretutto non puoi importare i certificati emessi dalla vecchia CA perchè il root certificate non sarebbe lo stesso e la catena di certificazione risulterebbe interrotta e quindi non valida.

    ciao.



    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 30 gennaio 2011 09:15
    Moderatore
  • se non ti funziona l'autoenrollment torna qui a chiedere.

    mi sono trovato nella tua stessa situazione due settimane fa in cui ho deciso di creare una nuova CA su win2k8 al posto della vecchia CA su win2k ed ho stabilito che non ha senso tenere in giro certificati della CA che si vuole dismettere, ha senso invece lasciare coesistere per un periodo le due CA per veritifcare che tutti i servizi che richiedono certificati impieghino certificati emessi dalla nuova CA e che non ci siano errori conseguenti.

    il thread che avevo aperto si trova qui

    http://social.technet.microsoft.com/Forums/it-IT/windowsserverit/thread/5f72930f-f4f3-44c5-babb-bc2f9639925f

    infine qui ci sono le procedure per decomissionare un CA trustata in active directory

    http://support.microsoft.com/kb/889250/en-us

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 30 gennaio 2011 10:56
    Moderatore

Tutte le risposte

  • Una volta aggiornato lo scope del DHCP per puntare al nuovo server come DSN il piatto è pronto o devo fare altro prima di demotare il vecchio server? Vedo che in giro ci sono alcuni certificati emessi dal vecchio server ma mi sembra che siano i certificati della Certification Autority. 

    dalla descrizione che hai fatto delle operazioni compiute mi sembra proprio che tu abbia fatto tutto senza dimenticare nulla quindi puoi spromuovere tranquillamente il vecchio dc.

     Eventualmente c'è modo di importare nella nuova CA anche i certificati emessi dal vecchio server?? Avrebbe senso?

    se hai messo in piedi una nuova CA che magari esegue l'autoenroll dei certificati per i servizi tipo wifi, vpn, ipsec ed hai già fatto emettere dalla nuova CA i certificati per i web server direi che non c'è altro da preoccuparsi. oltretutto non puoi importare i certificati emessi dalla vecchia CA perchè il root certificate non sarebbe lo stesso e la catena di certificazione risulterebbe interrotta e quindi non valida.

    ciao.



    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 30 gennaio 2011 09:15
    Moderatore
  • Ok, grazie. Allora Lunedì procedo.

     Sì, la nuova CA dovrebbe (dico dovrebbe perchè non ho esperienza in tal senso, scoprirò se funziona alla prima necessità!) eseguire l'autoenrollment dei certificati.

     Mi chiedevo se non fosse possibile stabilire una specie di trust tra la nuova e la vecchia CA che sò, magari importando il certificato della vecchia CA tra le "root certification autority".

     

     Un'operazione del genere permetterebbe anche, ad esempio, di crearsi una specie di "backup" della CA, magari installando un'altra root certification authority su un altro DC e impostando questo tipo di trust tra le due in modo che l'una possa validare anche i certificati dell'altra. E' possibile farlo? E soprattutto, avrebbe senso??

    domenica 30 gennaio 2011 10:08
  • se non ti funziona l'autoenrollment torna qui a chiedere.

    mi sono trovato nella tua stessa situazione due settimane fa in cui ho deciso di creare una nuova CA su win2k8 al posto della vecchia CA su win2k ed ho stabilito che non ha senso tenere in giro certificati della CA che si vuole dismettere, ha senso invece lasciare coesistere per un periodo le due CA per veritifcare che tutti i servizi che richiedono certificati impieghino certificati emessi dalla nuova CA e che non ci siano errori conseguenti.

    il thread che avevo aperto si trova qui

    http://social.technet.microsoft.com/Forums/it-IT/windowsserverit/thread/5f72930f-f4f3-44c5-babb-bc2f9639925f

    infine qui ci sono le procedure per decomissionare un CA trustata in active directory

    http://support.microsoft.com/kb/889250/en-us

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 30 gennaio 2011 10:56
    Moderatore
  • Ecco cosa mancava, la revoca della CA prima di decommissionarla (e ora, che mi viene in mente, il server per il riferimento dell'ora!)

     Grazie!!

    lunedì 31 gennaio 2011 10:33
  • Una domanda sul server orario autorevole per il dominio. A quanto ho capito il ruolo viene trasferito insieme al Master Operazioni quindi avendo fatto il seize dei ruoli verso il nuovo DC l'intera organizzazione dovrebbe essersi riconfigurata per riferirsi al servizio ora del nuovo DC, corretto?

     In questa guida http://support.microsoft.com/kb/816042 alla voce "Configurazione del servizio Ora di Windows per l'utilizzo di un'origine ora esterna" punto 6 riporta di utilizzare come "MaxPosPhaseCorrection" e "MaxNegPhaseCorrection" quello che indica come un valore ragionevole (30' o 1h) Il report del BPA per un DC Windows 2008 R2 però impongono di impostare gli stessi valori a 172800sec (48 ore).

     A quale dei due devo dare ascolto? Per ora ho lasciato 172800sec.

    lunedì 31 gennaio 2011 10:56
  • per me risulta più ragionevole quello dell'articolo della kb poi sarei tu a vedere se troppi tentativi di polling risulteranno dannosi alla tua infrastruttura.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 31 gennaio 2011 11:08
    Moderatore
  •  No, non riguarda il numero di polling, quel settaggio è relativo alla massima differenza oraria che può essere corretta dal servizio.

     Per quanto riguarda il polling del DC alla fonte esterna ho impostato 15', per il polling dei client al DC pensavo di impostare circa 4 ore.

    lunedì 31 gennaio 2011 11:13
  • Decommissionando la CA sono arrivato al punto di eliminare la chiave della vecchia CA.

     il comando certutil mi restituisce l'elenco delle due CA (e quella nuova, diversamente dalla vecchia, non presenta alcun valore nel "Certificato per la firma"). Se lancio il comando "certutil -key" ottengo un output un pò diverso da quello della guida in quanto vengono listati solo una serie di servizi con sotto la dicitura AT_KEYEXCHANGE, alcuni servizi relativi ad IIS riportano anche AT_SIGNATURE.

     Se provo a mandare il comando certutil -delkey <nome_della_vecchia_CA_ottenuto_dal_comando_certutil> ottengo un bel warning che riporta "comando non eseguito" e "keyset non esistente".

     Mi sà che la vecchia CA non era del tutto a posto, vero?? A rigor di logica credo di poter procedere comunque all'eliminazione, confermi??

    lunedì 31 gennaio 2011 12:55
  • scrivimi il passo del documento che ti ho linkato in cui si manifesta il problema.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 31 gennaio 2011 13:40
    Moderatore
  • Step 5: Uninstall Certificate Services from the server

    1. To stop Certificate Services, click Start , click Run , type cmd , and the click OK .
    2. At the command prompt, type certutil -shutdown , and then press ENTER.
    3. To list all key stores for the local computer, type certutil -key at the command prompt. This command will display the names of all the installed cryptographic service providers (CSP) and the key stores that are associated with each provider. Among the listed key stores, you will see the name of your CA listed several times, as shown in the following example.
      (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
      (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    4. Delete the private key that is associated with the CA. To do this, type the following at a command prompt:
      certutil -delkey <var>CertificateAuthorityName</var>
      Note If your CA name contains spaces, enclose the name in quotation marks.

      In this example, the <var>CertificateAuthorityName</var> is Windows2000 Enterprise Root CA. Therefore, the command line in this example is the following:
      certutil -delkey "Windows2000 Enterprise Root CA

     

     E' a questo punto che ottengo l'errore. Il mio output del comando " certutil -key" è invece di questo tipo (sintetizzato):  

    Microsoft Strong Cryptographic Provider:
      515097a9-fa94-4109-8300-66fe1b25f6e4
        AT_KEYEXCHANGE

      <vecchia-CA>-Xchg(19)
        AT_KEYEXCHANGE

     
    <vecchia-CA> (1)
        AT_SIGNATURE

      <...>

      MS IIS DCOM Server
        AT_SIGNATURE, AT_KEYEXCHANGE

      SRVR-PRV-6EEB50F8D2EB46029DB4CCB77E0DA651
        AT_KEYEXCHANGE

      d15bb531-4899-4939-bc17-a80919ebce45
        AT_KEYEXCHANGE

     <riferimento al dominio>
        AT_SIGNATURE

      6a1cff94-5971-4b35-93e2-0a904ebaf1c1
        AT_KEYEXCHANGE

      LOC-PUB-6EEB50F8D2EB46029DB4CCB77E0DA651
        AT_KEYEXCHANGE

    <...>

      Microsoft Internet Information Server
        AT_SIGNATURE, AT_KEYEXCHANGE

    <...>

    CertUtil: - Esecuzione comando key riuscita.

     

     

     [EDIT:]

     Scusami ma non mi riesce mai di fare un upload decente del testo incollato dalla technet. Finisco sempre per fare un casino...

    lunedì 31 gennaio 2011 14:17
  • scusa ma io leggo:

    CertUtil: - Esecuzione comando key riuscita.

    come lo devo interpretare ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 31 gennaio 2011 16:10
    Moderatore
  •  Quella è solo l'esportazione della lista delle key memorizzate. Il problema era che il passaggio successivo e cioè l'eliminazione della chiave privata associata, falliva.

     Ho controllato meglio e a quanto pare il nome corretto della chiave associata alla CA in realtà non era <vecchia_ca> ma <vecchia_ca(1)> quindi è stato un errore mio, ho semplicemente lanciato il comando sbagliato. Son proprio un piccione!

     Dovrei aver finito ora. Grazie dell'aiuto.

     

     

     

    lunedì 31 gennaio 2011 16:51
  • ottimo, grazie per aver dato la spiegazione del problema, ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 1 febbraio 2011 07:45
    Moderatore