none
Перенос Root CA с 2000 на 2003R2 RRS feed

Все ответы

  • Если имя сервера станет другим, то и сертификаты станут недействительными.
    10 июня 2009 г. 7:17
    Модератор
  • Т.е. вариант только мочить?
    10 июня 2009 г. 7:25
  • И еще вопрос.
    А может ли ROOT CA работать на рядовом сервере?
    Т.е. если я просто у 2000 отберу роль AD. Все ли будет в порядке при таком раскладе?
    10 июня 2009 г. 9:03
  • Root CA лучше всего устанавливать на машине, не входящей с домен, а лучше его установить в виртуальной машине, издать необходимые сертификаты для подчиненных CA, записать файлы виртуальной машины на носитель информации и убрать последний куда-нибудь подальше (в банковскую ячейку, например). Перед установкой корневого CA подготовьте файл capolicy.inf, в котором пропишите альтернативные пути публикации корневого сертификата и CRL, например укажите аналогичные пути на подчиненном CA.

    Подробнее по capolicy.inf см.

    http://technet.microsoft.com/en-us/library/cc728279.aspx
    10 июня 2009 г. 9:29
    Модератор
  • Гм. тут ситуация следующая:
    Имеется домен. 3 DC. 2 из которых 2k3R2, один 2к.
    На 2к поднят Root CA. Сертификаты изданные используются для owa, для sslного ftp доступа и для подключению коммуникаторов к эксченджу.
    Помимо этого на 2к сервере стоит lotus, которым активно пользуется один из отделов. Вариант убивать с концами 2к сервер не рассматриваю, ибо с переносом лотуса могут возникнуть проблемы, которых совсем не хочется.
    Нужно домен перевести в 2003 уровень. Для этого необходимо погасить роль AD на 2к сервере.
    Даже можно не переносить root ca. А что будет, если понизить 2к сервер и оставшихся 2DC перевести в 2003 режим?
    Продолжит ли работать CA на рядовом 2000 сервере в уже 2003 домене?
    10 июня 2009 г. 9:39
  • Принципиальных препятствий я не вижу, мелкие неприятности могут быть. :)

    http://support.microsoft.com/kb/300532

    10 июня 2009 г. 9:53
    Модератор
  • При попытке опустить 2к до рядового сервера:
    Certificate Services is installed on this computer. You must remove this service before installing or removing Active Directory. To remove Certificate services, consult the Windows 2000 product documentation.
    НЕ выходит каменный цветок =(
    10 июня 2009 г. 12:10