Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Migration Zertifikatsserver

Mitglied: redhorse

redhorse (Level 1) - Jetzt verbinden

24.04.2018 um 16:33 Uhr, 2198 Aufrufe, 10 Kommentare

Hallo,

wir haben einen virtualisierten Windows Server 2008 R2 Domänencontroller mit installierter Root-CA. Dieser Server soll nun durch eine Neuinstallation auf Windows Server 2016 aktualisiert werden, dabei wäre es wünschenswert, wenn der Zertifiaktsserver auf einen separaten Server umziehen könnte.

Soweit ich richtig informiert bin, darf sich der DNS-Name des Zertifikatsservers nicht ändern, ist das noch so richtig? Oder bezieht sich das nur auf den Namen der CA? Muss der Zertifikatssserver auch nach der Migration unbedingt auf einem Domänencontroller laufebn, oder kann er auf einen Memberserver migriert werden?

Vielen Dank für eure Hinweise.
Mitglied: SlainteMhath
24.04.2018 um 16:39 Uhr
Moin,

- ja Name sollte gleich bleiben (wg. OCSP und CRL-Urls usw)
- die CA ist in der Tat auf einem Memberserver besser aufgehoben als auf einem DC

lg,
Slainte
Bitte warten ..
Mitglied: Coreknabe
24.04.2018 um 17:05 Uhr
Moin,

würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!

Eine schicke Anleitung dazu gibt es hier:
http://asichel.de/2017/01/02/zertifizierungsstelle-ca-auf-server-2016-u ...

Gruß
Bitte warten ..
Mitglied: lcer00
24.04.2018 um 21:34 Uhr
Hallo,

darf ich mal nachhaken?
würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!

warum ?

Grüße

lcer
Bitte warten ..
Mitglied: redhorse
24.04.2018 um 22:28 Uhr
Hallo,

meine Frage zielt eher in die Richtung, ob eine auf einem DC bestehende CA auf einem Memberserver weiterlaufen kann, oder ob diese(!) CA grundsätzlich nur auf einen DC migriert werden darf. Ich meine dazu mal irgendwo etwas gelesen zu haben, daher bin ich unsicher.

In beiden Fällen wäre die Beibehaltung des alten Namens machbar, wenn diese CA jedoch auf einem DC laufen muss, dann wird der Prozess etwas komplizierter.
Bitte warten ..
Mitglied: Dani
24.04.2018 um 22:59 Uhr
Moin,
Soweit ich richtig informiert bin, darf sich der DNS-Name des Zertifikatsservers nicht ändern, ist das noch so richtig?
der DNS Name des Servers darf sich durch aus ändern, wenn die Zertifizierungsstelle entsprechend damals konfiguriert wurde (Veröffentlichung CRL, Veröffentlichung Zertifikate, etc...).

würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!
Naja, es heißt nach wie vor in Schulungen und Ausbildung - ein DC ist ein DC und nichts anderes. Zu dem geht es auch ein bisschen um Security. Potenziell ist ein Webserver bzw. Applikation ein Einfallstor. In Worst Case ist eben ein Angreifer direkt auf dem Domain Controller. Was natürlich suboptimal ist.

In beiden Fällen wäre die Beibehaltung des alten Namens machbar, wenn diese CA jedoch auf einem DC laufen muss, dann wird der Prozess etwas komplizierter.
Ich würde die Chance ergreifen und die PKI frisch aufsetzen - unter den aktuellen Gesichtspunkten (separate VM, neutraler DNS-Name, keine Standardvorlagen abändern sondern kopieren und anschließend anpassen, etc...). Da könnt ich problemlos noch weiter ausführen...


Gruß,
Dani
Bitte warten ..
Mitglied: emeriks
25.04.2018 um 09:02 Uhr
Hi,
steht alles bei Mutti im Kochbuch:

Active Directory Certificate Services Migration Guide for Windows Server 2012 R2
Applies To: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

E.
Bitte warten ..
Mitglied: Coreknabe
25.04.2018, aktualisiert um 09:18 Uhr
@lcer00
darf ich mal nachhaken?

Nein, darfst Du nicht. Ich will hier einfach nur irgendwas behaupten und hoffe, dass mir niemand das Gegenteil beweisen kann.

Und im Ernst:
- Da der Name des Servers nicht geändert werden sollte, kommt es u.U. zu Irritationen. Aus nahe liegenden Gründen hat der Server ja meist einen sprechenden Namen, z.B. DC01 oder Cert-CA. Der DC ist irgendwann nicht mehr im Dienst, wabert dann aber immer noch als DC01 umher. Oder der DC heißt Cert-CA, auf den ersten Blick ist also nicht erkennbar, dass es sich um einen DC handelt.

- Es gibt immer wieder spaßige Momente wie diesen:
https://www.fachinformatiker.de/topic/151917-fehler-bei-der-installation ...
Ich hatte sowas früher selbst mal, Du willst den DC nicht mit Problemen belasten, die eigentlich gar nicht seine Probleme sind.

- Nachtrag zum vorigen Punkt: Ein DC ist ein DC ist ein DC

- Sicherheitsaspekte. Warum sollte ich auf dem DC einen weiteren möglichen Angriffspunkt bereitstellen?

- Wenn Du nach den Microsoft Best Practices gehst, wird eh eine Offline-CA installiert, die KEIN Mitglied der Domäne ist. Dementsprechend erledigt sich auch die Frage nach der Installation auf einem DC:
https://gallery.technet.microsoft.com/Active-Directory-7a04769f

Gruß
Bitte warten ..
Mitglied: redhorse
25.04.2018 um 10:03 Uhr
Zitat von Coreknabe:
- Da der Name des Servers nicht geändert werden sollte, kommt es u.U. zu Irritationen. Aus nahe liegenden Gründen hat der Server ja meist einen sprechenden Namen, z.B. DC01 oder Cert-CA. Der DC ist irgendwann nicht mehr im Dienst, wabert dann aber immer noch als DC01 umher. Oder der DC heißt Cert-CA, auf den ersten Blick ist also nicht erkennbar, dass es sich um einen DC handelt.

Genau da liegt das Problem bei uns, die Konstellation sieht wiefolgt aus:

Ist-Zustand
Server: DC + CA
Hostname: dc.firma.de
CA-Name: ca.firma.de

Soll-Zustand
1. Server: DC
Hostname: dcneu.firma.de
2. Server: CA
Hostname: caserver.firma.de
CA-Name: ca.firma.de

Der CA-Name ist also nicht mit dem Servernamen identisch, jedoch steht in der CRL folgendes:

[1]Sperrlisten-Verteilungspunkt
Name des Verteilungspunktes:
Vollst. Name:
URL=ldap:///CN=ca.firma.de,CN=dc,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=firma,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint
URL=http://dc.firma.de/CertEnroll/ca.firma.de.crl

Da in der URL dc.firma.de steht, kommen wir um die Beibehaltung des alten Hostnamens so einfach nicht herum, oder? Eine Neuinstallation der CA ist aktuell kein Thema. Wenn dem also so ist, dann bleibt aus meiner Sicht folgende Möglichkeit:

1. Server: DC
Hostname: dcneu.firma.de
2. Server: CA
Hostname: dc.firma.de
CA-Name: ca.firma.de

Unschön ist die auch von Dir beschriebene Konstallation, dass der Name dc.firma.de in dem Fall irreführend ist, das war's aber auch. Nochmal die ursprüngliche Frage meines Beitrages: Kann die CA unter Beibehaltung des Hostnamens auf von einem DC auf einen Memberserver migriert werden?

Alternativ käme mir noch die Idee, ob wir den neuen Hostname der CA ändern können und mit einem DNS-Alias die CRL erreichbar lassen. Wäre das machbar?
Bitte warten ..
Mitglied: emeriks
25.04.2018 um 10:17 Uhr
Zitat von redhorse:
Kann die CA unter Beibehaltung des Hostnamens auf von einem DC auf einen Memberserver migriert werden?
Ja, das sollte funktionieren.

Alternativ käme mir noch die Idee, ob wir den neuen Hostname der CA ändern können und mit einem DNS-Alias die CRL erreichbar lassen. Wäre das machbar?
Hast Du keine Möglichkeit, Dir eine kleine VM-Umgebung aufzubauen und das durchzuspielen?
Bitte warten ..
Mitglied: redhorse
25.04.2018 um 10:28 Uhr
Zitat von emeriks:
Hast Du keine Möglichkeit, Dir eine kleine VM-Umgebung aufzubauen und das durchzuspielen?

Ich bin gerade dabei das in einer Veeam SureBackup-Umgebung durchzuspielen.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Office365 Migration
Frage von fundave3Exchange Server3 Kommentare

Guten Tag zusammen, im laufe der Zeit kommt es bei uns immer häufiger vor, dass wir Office365 Umzüge machen. ...

Exchange Server

Migration Ex2010 auf Ex2016 ohne AD-Migration

gelöst Frage von Rabauke84Exchange Server5 Kommentare

Guten Morgen zusammen, wir planen momentan eine Migration von Exchange2010 Mailboxen und Verteiler auf eine in Wirkbetrieb befindende Exchange2016-Installation. ...

Vmware

Migration WinServ VMs

Frage von FM28880Vmware3 Kommentare

Hallo zusammen, ich habe in einem Netzwerk 5 virtuelle Maschinen. 2x WinServ 2003r2 (Mailserver Tobit, Terminalserver alt )und 3x ...

Windows Userverwaltung

Migration Servergespeicherter Profile

gelöst Frage von schnaepperWindows Userverwaltung6 Kommentare

Hallo zusammen, ich bin gerade dabei unsere alte LDAP Umgebung durch eine neu AD Umgebung zu ersetzten. Eine Migration ...

Neue Wissensbeiträge
Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 6 StundenGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Datenschutz
Im Zweifel ist die Cloud immer unsicher
Information von certifiedit.net vor 7 StundenDatenschutz8 Kommentare

Hallo, wie schon mehrmals angesprochen, egal, womit der Dienst wirbt, im Zweifel ist es in der Cloud immer unsicher(er) ...

Entwicklung

Neu im TickX - Das neue Zusatzmodul Resourcen Syncronization

Tipp von TickXmedia-service vor 10 StundenEntwicklung1 Kommentar

Mit der aktuellen TickX Version 3.2 haben wir wieder zahlreiche Verbesserungen und Anpassungen im TickX vorgenommen. Das neue TickX-Modul ...

MikroTik RouterOS

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Anleitung von aqui vor 4 TagenMikroTik RouterOS2 Kommentare

1. Allgemeine Einleitung: Das folgende Tutorial gibt einen Überblick über die dynamische VLAN Zuweisung von WLAN und LAN Clients ...

Heiß diskutierte Inhalte
Ubuntu
Linux Ubuntu VNC IP
Frage von 141835Ubuntu61 Kommentare

Wie finde ich bei Linux Ubuntu die IP-Adresse vom VNC Server heraus???

Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Hyper-V
Hyper-V-Host rebootet - einige wenige Gäste haben danach Ping-Zeiten von über 400ms!
Frage von DerWoWussteHyper-V20 Kommentare

Moin an alle Hyper-V Admins! Hat jemand außer mir schon einmal Folgendes erlebt? Hyper-V auf Server 2019. Server startet ...

Windows Installation
Netzwerkregistrierung mit regsvr32 über UNC Netzwerkpfad ohne Fehlermeldung gescheitert
Frage von RycoDePsycoWindows Installation18 Kommentare

Hallo, ich habe ein Problem und weiß nicht genau woran dies liegen kann. Es gibt ein Server (DomänenController) und ...