mexx
Goto Top

Windows Domain PKI Umzug unbekannte Domainserverzertifikate

Hallo,

ich habe die PKI einer W2k8 R2 Domain Umgebung von einen W2k3 auf einen W2k12 R2 "umgezogen". Eine herkömliche Migration per Backup und Wiederherstellung war es nicht. Ich habe eine neue Installation gemacht und alle Zertifikate der alten PKI in der Neuen erstellt. Das funktionierte alles bestens und die neue Domain PKI wird unter Active Directory Standorte und Dienste aufgeführt.

Nun wundert mich nur noch eins. In der alten PKI sind von den Domaincontrollern jeweils ein Zertifkat mit der Zertifikatsvorlage "Domaincontroller" ausgestellt wurden. Diese Zertifikate werden für Client/Serverauthentifizierung benötigt. Also haben die Domaincontroller sich selbst ein Zertifkat ausgestellt.

Hier ein Bild:


Daraus ergeben sich folgende Fragen?

- Wie weiße ich die Domaincontroller an, dies mit der neuen PKI zu wiederholen, damit ich die alte nun entgültig zurückbauen kann?
- Weißt die Tatsache, dass die Domaincontroller dies noch nicht mit der neuen PKI gemacht haben, darauf hin, dass sie die neue PKI nicht annehmen/nutzen?

Vielen Dank für eure Hilfe,
mexx
07-06-2016 15-52-23

Content-ID: 306424

Url: https://administrator.de/forum/windows-domain-pki-umzug-unbekannte-domainserverzertifikate-306424.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

emeriks
emeriks 07.06.2016 um 16:14:50 Uhr
Goto Top
Als erstes solltest Du auf Deiner Tastatur mal das "ß" überprüfen. face-wink

- Wie weiße ich die Domaincontroller an, dies mit der neuen PKI zu wiederholen, damit ich die alte nun entgültig zurückbauen kann?
Die alte kann weg. Du musst nur dafür sorgen, dass das öffentliche Root-CA-Zertikat weiterhin vom AD ausgerollt wird. Solange, bis das letzte von der alten CA ausgestellte und noch im Einsatz befindliche Zertifikat abgelaufen ist.

- Weißt die Tatsache, dass die Domaincontroller dies noch nicht mit der neuen PKI gemacht haben, darauf hin, dass sie die neue PKI nicht
annehmen/nutzen?
Die DC werden sich von der neuen CA ein neues Zertifikat holen, sobald das Zertifikat, welches sie noch haben, abgelaufen ist. Oder Du löschst es einfach auf den DC's mittels der MMC "Zertifikate" --> lokaler Computer.