none
Server 2016 Essentials ドメイン名変更時のADCSの処理について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Server 2016 Essentials を利用しています。
    現状は .local ドメインで運用しておりますが、非推奨となっているとのことで、ドメイン名変更を考えています。
    rendom コマンドによるドメイン名変更を行う場合、証明書サービスに関してはどのように対処すればよいのでしょうか?

    調べてみたつもりですが、理解に至っておりません。

    以上、よろしくお願いいたします。

    Shigehiro Mori

    2020年9月7日 8:49
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、AD CSの移行については、「別ホスト名」の移行はサポートされていますが、「別ドメイン名」の移行についてはそもそもサポートされているかわからない、というのが実情だと思います。

    したがって、最初に行うべきは、有償サポートで「サポートの可否」と「実際の方法」を確認することです。localドメインについては、鬼形相の建て付けで不具合を主張される方がいますが、仕様としては事実ですが、実際はAppleコンピューターの有無や環境の状況で影響度は変わりますので、軽々しい理由でのドメイン名変更はお奨めしません。とくにEssencialsの場合、Windows Server以外のアプリケーションが同梱インストールされていますので、rendom.exeを使った場合の別の不具合が発生する可能性もあります(SQL Serverは問題が起こる可能性がとくに高いように思います)

    どうしてもそうしたいという場合、最低以下の対応が必要でしょう。事前に以下の過去ログを読み、標準的な別ホスト名への移行方法は押さえておく必要があります。

    https://social.technet.microsoft.com/Forums/ja-JP/5284b2d6-2f60-474d-9e71-d1f1917e036b?WT.mc_id=EM-MVP-8322

    • AD CSのバックアップといったんのアンインストール
    • ドメイン名変更におけるCDP・AIAの影響調査
    • 移行インストールの際のCDP・AIAの修正方法の確認
    • 別ホスト名を前提とした移行インストール
    • 必要があればCDP・AIAの修正

    上記の作業を行うには、上記別ホスト名の移行方法について熟知し、問題が起こらないよう事前検証されることを強くお奨めします。それ以前に、ドメイン名移行は行わないほうがこのケースではいいと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年9月13日 6:01
    |
  • Question
    サインインして投票
    0
    サインインして投票

    皆さんご回答ありがとうございます。

    ドメイン名変更については一度ペンディングにしようと思います。
    もう少し情報を収集して仕切り直します。

    本当にありがとうございました。

    Shigehiro Mori

    • 回答としてマーク commune 2020年9月14日 0:39
    2020年9月14日 0:39
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは。フォーラムオペレーターのFanです。
    フォーラムにご投稿くださいましてありがとうございます。

    Server 2016 Essentials ドメイン名変更時のADCSの処理について、
    ご存知の方おりましたら、ご意見を共有頂ければ本当に幸いです.

    どうぞよろしくお願いいたします。
    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年9月9日 7:23
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは
    フォーラムにご投稿くださいましてありがとうございます。

    上記の質問について、フォーラムのユーザーからの回答がつきにくいうようですので、私のほうでも情報がないか調べてみました。
    ドメイン名変更時のADCSの処理について下記リンクをご参考になれば嬉しいです.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816587(v=ws.10)

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年9月10日 7:14
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    お調べ頂き誠にありがとうございます。

    この資料は既に確認済みでした。この資料では、冒頭に
     The CAs are not installed on domain controllers.
    との表記があり、Essentialsでの単一サーバーにすべてをインストールする仕様とは合致しないものと考えます。

    一度ADCSを削除し、ドメイン名変更を実施した後に、再度ADSCを有効化するのがよいのかと思いますが、それで、過去に発行された証明書は削除されないものの、有効ではないため、新ドメインの新しい証明書を要求するのであれば問題ないと思いますが、何の確証もありません。

    引き続き、情報を待ってみます。

    皆様どうかよろしくお願いします。

    Shigehiro Mori

    2020年9月10日 8:27
    |
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは

    ドメイン名変更は想像以上に影響を与えます。
    CAだけで考えれば、ドメイン名変更する前、CAをメンバーサーバーに移行したらどうでしょうか。
    それとも一度ADCSを削除し、ドメイン名変更を実施した後に、新しいCAを作成することをご検討をお願いします。
    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年9月11日 3:06
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    > 過去に発行された証明書は削除されないものの、有効ではないため、

    これはその通りですね。

    > 新ドメインの新しい証明書を要求するのであれば問題ないと思います

    CA で発行された証明書はどのような用途に利用されているのでしょうか?

    それにより影響度や必要な工数が変わるかと思います。

    ※サーバー証明書であればサーバー側での更新で済みますから工数はそうでもないですが、クライアント証明書だとクライアント数が多い場合はどうするか考えどころでしょう。

    Hebikuzure aka Murachi Akira

    2020年9月11日 3:19
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、AD CSの移行については、「別ホスト名」の移行はサポートされていますが、「別ドメイン名」の移行についてはそもそもサポートされているかわからない、というのが実情だと思います。

    したがって、最初に行うべきは、有償サポートで「サポートの可否」と「実際の方法」を確認することです。localドメインについては、鬼形相の建て付けで不具合を主張される方がいますが、仕様としては事実ですが、実際はAppleコンピューターの有無や環境の状況で影響度は変わりますので、軽々しい理由でのドメイン名変更はお奨めしません。とくにEssencialsの場合、Windows Server以外のアプリケーションが同梱インストールされていますので、rendom.exeを使った場合の別の不具合が発生する可能性もあります(SQL Serverは問題が起こる可能性がとくに高いように思います)

    どうしてもそうしたいという場合、最低以下の対応が必要でしょう。事前に以下の過去ログを読み、標準的な別ホスト名への移行方法は押さえておく必要があります。

    https://social.technet.microsoft.com/Forums/ja-JP/5284b2d6-2f60-474d-9e71-d1f1917e036b?WT.mc_id=EM-MVP-8322

    • AD CSのバックアップといったんのアンインストール
    • ドメイン名変更におけるCDP・AIAの影響調査
    • 移行インストールの際のCDP・AIAの修正方法の確認
    • 別ホスト名を前提とした移行インストール
    • 必要があればCDP・AIAの修正

    上記の作業を行うには、上記別ホスト名の移行方法について熟知し、問題が起こらないよう事前検証されることを強くお奨めします。それ以前に、ドメイン名移行は行わないほうがこのケースではいいと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年9月13日 6:01
    |
  • Question
    サインインして投票
    0
    サインインして投票

    皆さんご回答ありがとうございます。

    ドメイン名変更については一度ペンディングにしようと思います。
    もう少し情報を収集して仕切り直します。

    本当にありがとうございました。

    Shigehiro Mori

    • 回答としてマーク commune 2020年9月14日 0:39
    2020年9月14日 0:39
    |