Hi Nils,
danke für deine Ausführungen. Was den Standort der CA angeht, bin ich absolut der selben Auffassung, diese nicht auf einem Domain Controller zu installieren. Bei dem SBS ist das aber halt so.
Was die Verwendung der PKI angeht, so wurde diese lediglich verwendet um für den Exchange 2007 und dem IIS (Outlook Anywhere/ActiveSync) Zertifikate zu signieren.
Der übliche weg, eine PKI zu migrieren scheint auf dem Server 2016 nicht mehr zu funktionieren. Zwar lässt sich die ADCS-Rolle mit dem Zertifikat und dem Privaten Schlüssel der alten CA erfolgreich installieren, sobalb allerdings die Sicherung auf dem neuen Server wieder hergestellt wird, startet der Dienst Aufgrund eines Fehler dann nicht mehr. Er beendet den Dienst mit einem Ausnahmefehlet und verweist auf eine fehlende logdatei. (Current logfile missing). Eventuel war mein vorgehen falsch.
Über deinen zweiten Lösungsweg (die CA nicht zu migrieren und die Zertifikate auslaufen lasden) müsste ich mir evtl. Gedanken machen. An sich scheint mir diese Weg auch bequemer. Die Frage ist nur, was ist, wenn ich ein ausgestelltest Zertifikat tatsächlich sperren möchte?
Danke für deine Zeit und schönes WE, auch an alle Mitlesenden.