17 Antworten in diesem Thema

[LangerSN]

Hallo zusammen,
was muss ich beachten wenn ich einen Domänencontroller aus dem Active Diretory entfernen möchte. Er hat keine FSMO Rolle. Kann ich Ihn dann einfach die Domänencontroller Funktion entziehen oder deinstallieren?

[NorbertFe]

Hallo zusammen,
was muss ich beachten wenn ich einen Domänencontroller aus dem Active Diretory entfernen möchte. Er hat keine FSMO Rolle. Kann ich Ihn dann einfach die Domänencontroller Funktion entziehen oder deinstallieren?

Ja einfach dcpromo nochmal aufrufen und vorher prüfen, ob er nicht irgendwelche Abhängigkeiten besitzt. Bspw. DNS Server bei Clients usw.

Bye
Norbert

[Daim]

Servus,

wenn das dein allererster DC in der Domäne ist, sichere vorher noch das EFS-Zertifikat.

[LangerSN]

Es war früher mal mein allererster Domaincontroller. Habe dann die FSMO Rollen auf einen anderen Domänencontroller verschoben. Was ist denn das ESF Zertifikat.

[Sunny61]

Hier findest Du etwas zum EFS-Zeritfikat: faq-o-matic.net Was muss ich tun, um den ersten DC zu deinstallieren?

[NorbertFe]

Servus,

wenn das dein allererster DC in der Domäne ist, sichere vorher noch das EFS-Zertifikat.

Und ich habs mir noch verkniffen. Aber wie es aussieht war dein EInwurf berechtigt.

Bye
Norbert

[LangerSN]

Kann man das EFS Zertifikat dann auch wieder auf einem anderen DC importieren damit es quasi so aussieht als ob dies der zuerst installierte Domänencontroller war oder geht das nicht? Habe ich dann wirklich nur die Möglichkeit das Zertifikat möglichst gut zu sichern und falls man es mal braucht dann den Datenträger raus zu suchen? Wie das dann ja manchmal so ist kann man die CD dann mal wieder nach Jahren nicht lesen. Deshalb wäre mir ein laufender DC lieber wo das Zertifikat dann auch wieder drauf wäre.
–
Wo finde ich das EFS Zertifikat? Haben Unterdomänen ein eigenes?

[NorbertFe]

Kann man das EFS Zertifikat dann auch wieder auf einem anderen DC importieren damit es quasi so aussieht als ob dies der zuerst installierte Domänencontroller war

Ja.

oder geht das nicht?

Nein.

Habe ich dann wirklich nur die Möglichkeit das Zertifikat möglichst gut zu sichern und falls man es mal braucht dann den Datenträger raus zu suchen?

Nein du hast auch andere Möglichkeiten.

Wo finde ich das EFS Zertifikat?

Sollte im verlinkten Artikel doch beschrieben stehen.

Haben Unterdomänen ein eigenes?

Gute Frage. Ich würde sagen ja, bin mir aber nicht sicher. Schau doch mal nach.

Bye
Norbert

[LangerSN]

Findet den privaten Schlüssel nicht oder kein Möglichkeit zu exportieren obwohl es der erste DC seiner Zeit war. Kann man den neu generieren?

[NorbertFe]

Findet den privaten Schlüssel nicht oder kein Möglichkeit zu exportieren obwohl es der erste DC seiner Zeit war. Kann man den neu generieren?

Als wer bist du denn angemeldet?

Bye
Norbert

[LangerSN]

bin Remote als Administrator angemeldet! Die Funktion Exportieren habe ich gefunden nur ist dort keine Möglichkeit den privaten Schlüssel zu exportieren.

Welche Möglichkeit habe ich jetzt?
–
Es wurde aber auch noch nie etwas verschlüsselt oder überhaupt EFS genutzt. Muß der private Key denn trotzdem vorhanden sein oder nicht?

[NorbertFe]

bin Remote als Administrator angemeldet! Die Funktion Exportieren habe ich gefunden nur ist dort keine Möglichkeit den privaten Schlüssel zu exportieren.

Welche Möglichkeit habe ich jetzt?

Du bist als der Built-in Administrator angemeldet? Kann natürlich sein, dass dein Profil schonmal gelöscht wurde. Dann ist das Zertifikat auch weg (bzw. der private key).

Es wurde aber auch noch nie etwas verschlüsselt oder überhaupt EFS genutzt.

Woher weißt du das? Hast du es kontrolliert? Auf allen PCs und Servern?

Muß der private Key denn trotzdem vorhanden sein oder nicht?

Wenn nichts verschlüsselt wurde, dann gibts keine Probleme. Dann würde ich aber als nächstes dafür sorgen, dass niemand mehr was verschlüsseln kann, oder mir Gedanken über einen Recovery Agent machen.

Bye
Norbert

[LangerSN]

Wie kann ich EFS prinzipiell für die Domäne deaktivieren?

EFS wird von keinen unserer User genutzt.

Könnte ich rein theoretisch ein Windows Server 2003 aufsetzen und dann an einem anderen Netz zum DC und sozusagen zum ersten Domänencontroller machen mit dem gleichen Domänennamen und dann das Zertifikat von da sichern. oder gibt das auch nur Probleme später?

[olc]

Hi Langer,

schau einmal hier hinein: Windows Server How-To Guides: Teil 3 - Fazit und Empfehlungen - ServerHowTo.de

Dort wird unter anderem auch auf das Deaktivieren von EFS und das Auffinden von EFS verschlüsselten Dateien eingegangen. Wenn auf den Clients (als auch auf den Servern, aber das ist bei Dir eher unwahrscheinlich, da es hätte manuell eingerichtet werden müssen) keine EFS verschlüsselten Dateien vorliegen, hast Du eher kein Problem.

Viele Grüße
olc

[LangerSN]

Habe jetzt erstmal EFS deaktiviert. Um für die Zukunft aber sauber zu sein nochmal meine Frage ob ich einfach ein DC aufsetzen kann mit dem gleichen Domänennamen nur nicht an meinem laufenden Netz und dann das Zertifikat von dort sichern kann und das dann auf mein bestehendes System importieren kann. Domänenname kann dann ja identisch sein. Würde das funktionieren oder eher nicht? Man weiß ja nie was später nochmal für Anforderungen auf einen zukommen könnten.