137431
10.01.2023, aktualisiert am 11.01.2023
2562
7
0
Certificate Authority Umzug- Was ist sinnvoll?
Hi,
wollte mal eure Meinung hören, was sinnvoll sein könnte bzw. auch machbar. Wir haben derzeit unsere Domain Root CA auf einem 2012 R2. Bis spätestens Oktober muss der Server abgelöst werden, da MS dafür den Support beendet.
Eine Migration auf einen neuen Server scheint ja durchaus simpel gestaltet zu sein, zumindest wenn man sich die MS Doku zur Migration durchliest. Einziger Wermutstropfen in meinen Augen ist die Tatsache, dass nach dem Backup der notwendigen Komponenten der CA man die CA Rolle entfernen muss, bevor man auf dem neuen Server die Rolle installiert. Also kein Rollback mehr möglich, falls auf dem neuen Server der Restore nicht klappen sollte.
Wäre es in der Praxis auch möglich, eine zusätzliche CA in der Domain zu installieren, die die Rolle dann sozusagen erbt?
Hat jemand schon erfolgreich ein In-Place Upgrade eines Servers mit CA von 2012R2 zur Server 2019 gemacht? Denke mal das das i.d.R nicht empfohlen wird, da man evtl. Probleme bekommen kann, die erst später sichtbar werden. Auf der andren Seite habe ich auch schon verschiedenste Server via In-Place geupgraded, die nur minimal Dienste laufen hatten und auf denen eine 3rd Party Software läuft. Auch über Jahre hinweg hatte ich damit keine Probleme. Klar, from scratch ist der empfohlene Weg.
Was meint ihr?
Ciao, toddehb
wollte mal eure Meinung hören, was sinnvoll sein könnte bzw. auch machbar. Wir haben derzeit unsere Domain Root CA auf einem 2012 R2. Bis spätestens Oktober muss der Server abgelöst werden, da MS dafür den Support beendet.
Eine Migration auf einen neuen Server scheint ja durchaus simpel gestaltet zu sein, zumindest wenn man sich die MS Doku zur Migration durchliest. Einziger Wermutstropfen in meinen Augen ist die Tatsache, dass nach dem Backup der notwendigen Komponenten der CA man die CA Rolle entfernen muss, bevor man auf dem neuen Server die Rolle installiert. Also kein Rollback mehr möglich, falls auf dem neuen Server der Restore nicht klappen sollte.
Wäre es in der Praxis auch möglich, eine zusätzliche CA in der Domain zu installieren, die die Rolle dann sozusagen erbt?
Hat jemand schon erfolgreich ein In-Place Upgrade eines Servers mit CA von 2012R2 zur Server 2019 gemacht? Denke mal das das i.d.R nicht empfohlen wird, da man evtl. Probleme bekommen kann, die erst später sichtbar werden. Auf der andren Seite habe ich auch schon verschiedenste Server via In-Place geupgraded, die nur minimal Dienste laufen hatten und auf denen eine 3rd Party Software läuft. Auch über Jahre hinweg hatte ich damit keine Probleme. Klar, from scratch ist der empfohlene Weg.
Was meint ihr?
Ciao, toddehb
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5277857047
Url: https://administrator.de/forum/certificate-authority-umzug-was-ist-sinnvoll-5277857047.html
Ausgedruckt am: 23.04.2025 um 22:04 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @137431:
Hi,
Hi,
Hallo,
wollte mal eure Meinung hören, was sinnvoll sein könnte bzw. auch machbar. Wir haben derzeit unsere Domain Root CA auf einem 2012 R2. Bis spätestens Oktober muss der Server abgelöst werden, da MS dafür den Support beendet.
Eine Migration auf einen neuen Server scheint ja durchaus simpel gestaltet zu sein, zumindest wenn man sich die MS Doku zur Migration durchliest.
Ja.
Einziger Wermutstropfen in meinen Augen ist die Tatsache, dass nach dem Backup der notwendigen Komponenten der CA man die CA Rolle entfernen muss, bevor man auf dem neuen Server die Rolle installiert. Also kein Rollback mehr möglich, falls auf dem neuen Server der Restore nicht klappen sollte.
Ehm…. Wieso? Backup?
Davon abgesehen, könntest du das Szenario inkl DC in einer Virtuellen Laborumgebung einmal durchspielen.
Zb mit VEEAM Virtual Lab oder eben manuell.
Hat jemand schon erfolgreich ein In-Place Upgrade eines Servers mit CA von 2012R2 zur Server 2019 gemacht?
Funktioniert problemlos bei uns, aber wir haben auch nur jeweils 1 Dienst pro Server laufen. Daher jeder Dienst hat seinen eigenen Server.
empfohlene Weg.
Gruß
Hi,
Backup vom CA Server wird nichts bringen, da laut MS beim Deinstallieren der Rolle auch Teile im AD entfernt werden, die beim Restore des einzelnen Servers dann fehlen würden.
Auf dem CA Server läuft auch nur die CA Rolle. Ich würde mal ein Upgrade in Betracht ziehen wollen. Mal sehen was der Chef meint.
Backup vom CA Server wird nichts bringen, da laut MS beim Deinstallieren der Rolle auch Teile im AD entfernt werden, die beim Restore des einzelnen Servers dann fehlen würden.
Auf dem CA Server läuft auch nur die CA Rolle. Ich würde mal ein Upgrade in Betracht ziehen wollen. Mal sehen was der Chef meint.
Zitat von @137431:
Hi,
Backup vom CA Server wird nichts bringen, da laut MS beim Deinstallieren der Rolle auch Teile im AD entfernt werden, die beim Restore des einzelnen Servers dann fehlen würden.
Hi,
Backup vom CA Server wird nichts bringen, da laut MS beim Deinstallieren der Rolle auch Teile im AD entfernt werden, die beim Restore des einzelnen Servers dann fehlen würden.
Deswegen sage ich ja man kann dies vorher in einem virtuellen Lab inkl Domaincontroller testen.
Auf dem CA Server läuft auch nur die CA Rolle. Ich würde mal ein Upgrade in Betracht ziehen wollen. Mal sehen was der Chef meint.
Vorher snapshot inkl Arbeitsspeicher machen und falls es fehlschlägt, kannst du problemlos ein RollBack machen.Falls du auf 2019 gehst kannst du im Anschluss gleich auf 2022 gehen
Zitat von @tech-flare:
Deswegen sage ich ja man kann dies vorher in einem virtuellen Lab inkl Domaincontroller testen.
Falls du auf 2019 gehst kannst du im Anschluss gleich auf 2022 gehen
Zitat von @137431:
Hi,
Backup vom CA Server wird nichts bringen, da laut MS beim Deinstallieren der Rolle auch Teile im AD entfernt werden, die beim Restore des einzelnen Servers dann fehlen würden.
Hi,
Backup vom CA Server wird nichts bringen, da laut MS beim Deinstallieren der Rolle auch Teile im AD entfernt werden, die beim Restore des einzelnen Servers dann fehlen würden.
Deswegen sage ich ja man kann dies vorher in einem virtuellen Lab inkl Domaincontroller testen.
Auf dem CA Server läuft auch nur die CA Rolle. Ich würde mal ein Upgrade in Betracht ziehen wollen. Mal sehen was der Chef meint.
Vorher snapshot inkl Arbeitsspeicher machen und falls es fehlschlägt, kannst du problemlos ein RollBack machen.Falls du auf 2019 gehst kannst du im Anschluss gleich auf 2022 gehen
Danke für deine Tipps
Moin,
steht bei uns auch an. Ich habe diverse Server per Inplace Upgrade von 2012R2 auf 2019 hochgezogen (WSUS, Terminalserver, Anwendungsserver), nur kleinere Probleme gehabt. So mussten wir z.B. Tasks, die unter einem AD-User liefen, neu eingerichtet werden. Liefen an sich noch, manueller Start war aber nicht mehr möglich. Abhilfe: Task exportieren und wieder importieren, erledigt.
Bei unserer CA neige ich dazu, den Server einfach neu aufzusetzen, habe ich schon beim Wechsel von 2008R2 auf 2012R2 gemacht, komplett unproblematisch. Könnte bei solch entscheidenden Systemen schon wichtig sein, dass da nicht im Hintergrund kleinere Fehler auftreten, die evtl. dann größere Probleme machen.
Für mich (!) ausgeschlossen habe ich ein Inplace Upgrade von Domänencontrollern, Exchange oder eben CAs. Gibt im Internet aber auch ernstzunehmende Stimmen, die behaupten, dass auch das kein Problem wäre. Mein innerer Monk lässt das aber nicht zu, erstens sind meine Ausnahmen schnell neu installiert, Exchange mal ausgenommen, zweitens lernt man einiges dabei.
Gruß
steht bei uns auch an. Ich habe diverse Server per Inplace Upgrade von 2012R2 auf 2019 hochgezogen (WSUS, Terminalserver, Anwendungsserver), nur kleinere Probleme gehabt. So mussten wir z.B. Tasks, die unter einem AD-User liefen, neu eingerichtet werden. Liefen an sich noch, manueller Start war aber nicht mehr möglich. Abhilfe: Task exportieren und wieder importieren, erledigt.
Bei unserer CA neige ich dazu, den Server einfach neu aufzusetzen, habe ich schon beim Wechsel von 2008R2 auf 2012R2 gemacht, komplett unproblematisch. Könnte bei solch entscheidenden Systemen schon wichtig sein, dass da nicht im Hintergrund kleinere Fehler auftreten, die evtl. dann größere Probleme machen.
Für mich (!) ausgeschlossen habe ich ein Inplace Upgrade von Domänencontrollern, Exchange oder eben CAs. Gibt im Internet aber auch ernstzunehmende Stimmen, die behaupten, dass auch das kein Problem wäre. Mein innerer Monk lässt das aber nicht zu, erstens sind meine Ausnahmen schnell neu installiert, Exchange mal ausgenommen, zweitens lernt man einiges dabei.
Gruß
1
Habe jetzt die Variante min in place upgrade gemacht. Bisher keine Probleme. Ist aber auch eine überschaubare Umgebung.
Moin,
wunderbar, freut uns zu hören.
In diesen Fall bitte die Frage noch auf gelöst setzen - Danke.
Gruß,
Dani
wunderbar, freut uns zu hören.
In diesen Fall bitte die Frage noch auf gelöst setzen - Danke.
Gruß,
Dani
