PKI von aktuellem AD-DC trennen
Hallo zusammen,
ich habe da ein paar Fragen bzgl. PKI Umzug zu einem neuen Server. Ich würde mich freuen wenn mir dazu jemand etwas helfen könnte.
Laut Google gibt es so einige Anleitungen zu einem erfolgreichem Umzug einer PKI (zB: https://pits-online.info/2010/12/23/windows-root-zertifizierungsstelle-m ..).
Ich würde aber gerne nur eine bestehende PKI von unserem aktuellem DC1 entfernen und auf einen separaten Server als eigenen Zert-Server ablegen.
Laut Anleitung Theoretisch machbar, ich weiß aber nicht wie sich das danach verhält mit der AD auf dem DC1. Ob diese dann noch funktioniert, oder ob da noch was weiteres angepasst werden muss.
Ich würde mich um eine kleine Hilfestellung freuen.
MfG
ich habe da ein paar Fragen bzgl. PKI Umzug zu einem neuen Server. Ich würde mich freuen wenn mir dazu jemand etwas helfen könnte.
Laut Google gibt es so einige Anleitungen zu einem erfolgreichem Umzug einer PKI (zB: https://pits-online.info/2010/12/23/windows-root-zertifizierungsstelle-m ..).
Ich würde aber gerne nur eine bestehende PKI von unserem aktuellem DC1 entfernen und auf einen separaten Server als eigenen Zert-Server ablegen.
Laut Anleitung Theoretisch machbar, ich weiß aber nicht wie sich das danach verhält mit der AD auf dem DC1. Ob diese dann noch funktioniert, oder ob da noch was weiteres angepasst werden muss.
Ich würde mich um eine kleine Hilfestellung freuen.
MfG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349089
Url: https://administrator.de/forum/pki-von-aktuellem-ad-dc-trennen-349089.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
@emeriks hat schon Recht, allerdings würde ich das so ausdrücken:
"Die Deinstallation der CA dürfte den DC nicht sonderlcih stören. Das AD sollte danach noch wie gewohnt funktionieren"
Das ist ja nicht dein einziger DC, oder? ODER?!?
lg,
Slainte
@emeriks hat schon Recht, allerdings würde ich das so ausdrücken:
"Die Deinstallation der CA dürfte den DC nicht sonderlcih stören. Das AD sollte danach noch wie gewohnt funktionieren"
Das ist ja nicht dein einziger DC, oder? ODER?!?
lg,
Slainte
Moin,
Das kannst du natürlich bei der Installation der Rolle bzw. Migration anpassen. Dies gilt danach für alle neuausgestellten Zertifikate.
Wenn die Möglichkeit hast, würde ich folgendes umsetzen:
- neue VM aufsetzen, dort die ADDS-Rollen installieren, als weiteren DC in die Domäne aufnehmen.
- alten DC herunterfahren und schauen, ob alles noch funktioniert
- bisherigen DC herunterstufen, aber in der Domöne lassen
- Dienste wie DHCP oder Printserver auf den neuen DC migrieren
- neue VM aufsetzen, Rolle Zertifizierungsstelle installieren
- PKI auf die neue VM migrieren und die Konfigurationsanpassungen durchführen (Only HTTP, Alias für HTTP, etc...)
- Wenn alles funktioniert den alten Server aus der Domäne entfernen und den Servernamen ebenfalls als DNS CName auf den FQDN des neuen Servers auf dem die PKI läuft einrichten. Somit musst du die existieren Zertifikate nicht neu ausstellen.
Gruß,
Dani
Mein Kollege meinte ich müsste da aber noch auf den Revocation-Check achten ?
da hat der Kollege wahrscheinlich recht. Denn viele Admins vergessen bei der Einrichtung der PKI einen DNS Alias für die Veröffentlichung, RevocationList, etc... einzurichten. Da gibt es noch ein paar Stoplersteine...Das kannst du natürlich bei der Installation der Rolle bzw. Migration anpassen. Dies gilt danach für alle neuausgestellten Zertifikate.
Wenn die Möglichkeit hast, würde ich folgendes umsetzen:
- neue VM aufsetzen, dort die ADDS-Rollen installieren, als weiteren DC in die Domäne aufnehmen.
- alten DC herunterfahren und schauen, ob alles noch funktioniert
- bisherigen DC herunterstufen, aber in der Domöne lassen
- Dienste wie DHCP oder Printserver auf den neuen DC migrieren
- neue VM aufsetzen, Rolle Zertifizierungsstelle installieren
- PKI auf die neue VM migrieren und die Konfigurationsanpassungen durchführen (Only HTTP, Alias für HTTP, etc...)
- Wenn alles funktioniert den alten Server aus der Domäne entfernen und den Servernamen ebenfalls als DNS CName auf den FQDN des neuen Servers auf dem die PKI läuft einrichten. Somit musst du die existieren Zertifikate nicht neu ausstellen.
Gruß,
Dani