Zum Inhalt wechseln


Foto

Domänencontroller aus Domäne entfernen


  • Bitte melde dich an um zu Antworten
17 Antworten in diesem Thema

#1 LangerSN

LangerSN

    Senior Member

  • 450 Beiträge

Geschrieben 23. September 2008 - 07:13

Hallo zusammen,
was muss ich beachten wenn ich einen Domänencontroller aus dem Active Diretory entfernen möchte. Er hat keine FSMO Rolle. Kann ich Ihn dann einfach die Domänencontroller Funktion entziehen oder deinstallieren?

#2 NorbertFe

NorbertFe

    Expert Member

  • 21.928 Beiträge

Geschrieben 23. September 2008 - 07:21

Hallo zusammen,
was muss ich beachten wenn ich einen Domänencontroller aus dem Active Diretory entfernen möchte. Er hat keine FSMO Rolle. Kann ich Ihn dann einfach die Domänencontroller Funktion entziehen oder deinstallieren?


Ja einfach dcpromo nochmal aufrufen und vorher prüfen, ob er nicht irgendwelche Abhängigkeiten besitzt. Bspw. DNS Server bei Clients usw.

Bye
Norbert
Nice touch…a little extreme, but a nice touch.

#3 Daim

Daim

    Expert Member

  • 4.542 Beiträge

Geschrieben 23. September 2008 - 07:26

Servus,

wenn das dein allererster DC in der Domäne ist, sichere vorher noch das EFS-Zertifikat.
Viele Grüße aus Mainz
Yusuf Dikmenoglu
LDAP://Yusufs.Directory.Blog/
Twitter: YusufsDSBlog

#4 LangerSN

LangerSN

    Senior Member

  • 450 Beiträge

Geschrieben 23. September 2008 - 08:14

Es war früher mal mein allererster Domaincontroller. Habe dann die FSMO Rollen auf einen anderen Domänencontroller verschoben. Was ist denn das ESF Zertifikat.

#5 Sunny61

Sunny61

    Expert Member

  • 17.262 Beiträge

Geschrieben 23. September 2008 - 08:15

Hier findest Du etwas zum EFS-Zeritfikat: faq-o-matic.net Was muss ich tun, um den ersten DC zu deinstallieren?
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 NorbertFe

NorbertFe

    Expert Member

  • 21.928 Beiträge

Geschrieben 23. September 2008 - 08:23

Servus,

wenn das dein allererster DC in der Domäne ist, sichere vorher noch das EFS-Zertifikat.


Und ich habs mir noch verkniffen. Aber wie es aussieht war dein EInwurf berechtigt. ;)

Bye
Norbert
Nice touch…a little extreme, but a nice touch.

#7 LangerSN

LangerSN

    Senior Member

  • 450 Beiträge

Geschrieben 23. September 2008 - 08:32

Kann man das EFS Zertifikat dann auch wieder auf einem anderen DC importieren damit es quasi so aussieht als ob dies der zuerst installierte Domänencontroller war oder geht das nicht? Habe ich dann wirklich nur die Möglichkeit das Zertifikat möglichst gut zu sichern und falls man es mal braucht dann den Datenträger raus zu suchen? Wie das dann ja manchmal so ist kann man die CD dann mal wieder nach Jahren nicht lesen. Deshalb wäre mir ein laufender DC lieber wo das Zertifikat dann auch wieder drauf wäre.

Wo finde ich das EFS Zertifikat? Haben Unterdomänen ein eigenes?

#8 NorbertFe

NorbertFe

    Expert Member

  • 21.928 Beiträge

Geschrieben 23. September 2008 - 09:04

Kann man das EFS Zertifikat dann auch wieder auf einem anderen DC importieren damit es quasi so aussieht als ob dies der zuerst installierte Domänencontroller war


Ja.

oder geht das nicht?


Nein.

Habe ich dann wirklich nur die Möglichkeit das Zertifikat möglichst gut zu sichern und falls man es mal braucht dann den Datenträger raus zu suchen?


Nein du hast auch andere Möglichkeiten. ;)

Wo finde ich das EFS Zertifikat?


Sollte im verlinkten Artikel doch beschrieben stehen.

Haben Unterdomänen ein eigenes?


Gute Frage. Ich würde sagen ja, bin mir aber nicht sicher. Schau doch mal nach. ;)

Bye
Norbert
Nice touch…a little extreme, but a nice touch.

#9 LangerSN

LangerSN

    Senior Member

  • 450 Beiträge

Geschrieben 23. September 2008 - 10:26

Findet den privaten Schlüssel nicht oder kein Möglichkeit zu exportieren obwohl es der erste DC seiner Zeit war. Kann man den neu generieren?

#10 NorbertFe

NorbertFe

    Expert Member

  • 21.928 Beiträge

Geschrieben 23. September 2008 - 11:10

Findet den privaten Schlüssel nicht oder kein Möglichkeit zu exportieren obwohl es der erste DC seiner Zeit war. Kann man den neu generieren?


Als wer bist du denn angemeldet?

Bye
Norbert
Nice touch…a little extreme, but a nice touch.

#11 LangerSN

LangerSN

    Senior Member

  • 450 Beiträge

Geschrieben 23. September 2008 - 11:18

bin Remote als Administrator angemeldet! Die Funktion Exportieren habe ich gefunden nur ist dort keine Möglichkeit den privaten Schlüssel zu exportieren.

Welche Möglichkeit habe ich jetzt?

Es wurde aber auch noch nie etwas verschlüsselt oder überhaupt EFS genutzt. Muß der private Key denn trotzdem vorhanden sein oder nicht?

#12 NorbertFe

NorbertFe

    Expert Member

  • 21.928 Beiträge

Geschrieben 23. September 2008 - 13:36

bin Remote als Administrator angemeldet! Die Funktion Exportieren habe ich gefunden nur ist dort keine Möglichkeit den privaten Schlüssel zu exportieren.

Welche Möglichkeit habe ich jetzt?


Du bist als der Built-in Administrator angemeldet? Kann natürlich sein, dass dein Profil schonmal gelöscht wurde. Dann ist das Zertifikat auch weg (bzw. der private key).

Es wurde aber auch noch nie etwas verschlüsselt oder überhaupt EFS genutzt.


Woher weißt du das? ;) Hast du es kontrolliert? Auf allen PCs und Servern?

Muß der private Key denn trotzdem vorhanden sein oder nicht?


Wenn nichts verschlüsselt wurde, dann gibts keine Probleme. Dann würde ich aber als nächstes dafür sorgen, dass niemand mehr was verschlüsseln kann, oder mir Gedanken über einen Recovery Agent machen.

Bye
Norbert
Nice touch…a little extreme, but a nice touch.

#13 LangerSN

LangerSN

    Senior Member

  • 450 Beiträge

Geschrieben 23. September 2008 - 18:24

Wie kann ich EFS prinzipiell für die Domäne deaktivieren?

EFS wird von keinen unserer User genutzt.

Könnte ich rein theoretisch ein Windows Server 2003 aufsetzen und dann an einem anderen Netz zum DC und sozusagen zum ersten Domänencontroller machen mit dem gleichen Domänennamen und dann das Zertifikat von da sichern. oder gibt das auch nur Probleme später?

#14 olc

olc

    Expert Member

  • 3.966 Beiträge

Geschrieben 23. September 2008 - 18:32

Hi Langer,

schau einmal hier hinein: Windows Server How-To Guides: Teil 3 - Fazit und Empfehlungen - ServerHowTo.de

Dort wird unter anderem auch auf das Deaktivieren von EFS und das Auffinden von EFS verschlüsselten Dateien eingegangen. Wenn auf den Clients (als auch auf den Servern, aber das ist bei Dir eher unwahrscheinlich, da es hätte manuell eingerichtet werden müssen) keine EFS verschlüsselten Dateien vorliegen, hast Du eher kein Problem.

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#15 LangerSN

LangerSN

    Senior Member

  • 450 Beiträge

Geschrieben 24. September 2008 - 06:21

Habe jetzt erstmal EFS deaktiviert. Um für die Zukunft aber sauber zu sein nochmal meine Frage ob ich einfach ein DC aufsetzen kann mit dem gleichen Domänennamen nur nicht an meinem laufenden Netz und dann das Zertifikat von dort sichern kann und das dann auf mein bestehendes System importieren kann. Domänenname kann dann ja identisch sein. Würde das funktionieren oder eher nicht? Man weiß ja nie was später nochmal für Anforderungen auf einen zukommen könnten.