2K3 - CA-Server hochverfügbar

[pairosilva]

Hallo!

Wieder benötige ich eure Hilfe, da mir das www nicht behilflich war bei der Suche.

Wie kann realisiert werden, dass der CA-Server ausfallsicher gemacht wird?
Wenn der CA-Server1 ausfällt soll der CA-Server2 (anderer Standort gleiches Netz über Gbit-Leitung) übernehmen.

Gibt es wie bei dem AD das DFS, eine einfache Möglichkeit dies zu bewerkstelligen. Etwaige Links würden mir schon helfen.

Herzlichen Dank!

LG pairosilva

[ingo.O]

hallo,
wenn du es als unternehmenszertifizierungsstelle machst, ist es ad integriert und repliziert sich übers ad, klar natürlich das die zertifizierungsstellen dann auf dc's laufen müssen.

[olc]

Hallo,

Zitat von pairosilva Wenn der CA-Server1 ausfällt soll der CA-Server2 (anderer Standort gleiches Netz über Gbit-Leitung) übernehmen. Gibt es wie bei dem AD das DFS, eine einfache Möglichkeit dies zu bewerkstelligen. Etwaige Links würden mir schon helfen.

Meines Wissens ist dies nicht möglich, soll heißen die Windows CAs können nicht als Cluster-Applikation laufen. Daher wird es wohl eher schwierig (mit MS Produkten wahrscheinlich sogar unmöglich) das zu gewährleisten. Im Normalfall ist jedoch ein temporärer Ausfall einer CA nicht unbedingt kritsch, wenn auch nicht gut oder wünschenswert. Im Grunde sollte also die CA vor Ausfall geschützt werden, jedoch muß dies nicht zeitkritisch erfolgen.

Zitat von ingo.O wenn du es als unternehmenszertifizierungsstelle machst, ist es ad integriert und repliziert sich übers ad, klar natürlich das die zertifizierungsstellen dann auf dc's laufen müssen.

Das ist nicht ganz korrekt. Zwar lassen sich die Zertifikate der Benutzer im AD publishen als auch die Zertifikate der Root / Issung CAs etc., jedoch hat dies nichts mit der Funktionalität des Ausstellens / revoken etc. zu tun.
D.h. bei einem Ausfall einer CA können z.B. keine CRLs mehr veröffentlicht werden, keine Zertifikate zurückgerufen und auch keine neuen ausgestellt werden. Im Normalfall kommt es also spätestens nach dem Aublauf der aktuellen CRLs in der Umgebung zu ersten Problemen. Dies bezieht sich natürlich nur auf die ausgefallene CA - sind mehrere CAs vorhanden, können diese erst einmal weiterarbeiten. Jedoch haben diese nichts mit den ausgestellen Zertifikaten / CRLs etc. der jeweils ausgefallenen CA zu tun.

Zum Punkt, daß CAs auf DCs laufen sollen und damit Ausfallsicherheit bieten, ist nichts zu sagen, außer daß es falsch ist. Grundsätzlich ist sogar zu empfehlen (wie bei vielen anderen Diensten auch), daß Du eine CA gerade nicht auf einem DC installierst.

Viele Grüße
olc

[ingo.O]

ja war ungünstig ausgedrückt, ich dachte eher an eine struktur mit subzertifikatstellen. da ist es ja nicht ganz so tragisch wenn die ca mal ausfällt, diese subs kann man doch aber ad seitig laufen lassen, oder?

[Lian]

Welche Anforderungen (SLA/Uptime/Verfügbarkeit) hast Du an die CA?

Geht es Dir wirklich um erhöhte Verfügbarkeit/Hochverfügbarkeit oder um Disaster Recovery?

[grizzly999]

Bei 2008 kann man eine Enterprise CA clustern. Wird supportet und auch von Brian Komar in seinem neuen Buch zur 2008 PKI ausführlich beschrieben


grizzly999

[pairosilva]

Danke wiedermal für die ausführliche Hilfe!

@Lian: Es muss einfach "immer" ein CA-Server verfügbar sein.

[Lian]

Bei Windows Server 2003 geht es mit der Datacenter Edition auch (untested)

[pairosilva]

Zitat von Lian Bei Windows Server 2003 geht es mit der Datacenter Edition auch (untested)

Wie meinst du das genau "geht es auch". So wie von grizzly999 beschrieben?

[Lian]

Siehe:

Zitat von Brian Komar Data Center Edition An enterprise CA running on Windows Server 2003, Data Center Edition has the same functionality as an enterprise CA running on Enterprise Edition, with the following exception: Certificate Services can be clustered for fault tolerance. Of course, not many of use have the funds available to purchase two Data Center licenses.

Brian's Security Blog: Certificate Services and Windows Server 2003 Versions