Jump to content
Sign in to follow this  
pastors

Neuer DC und EFS Zertifikat

Recommended Posts

Hallo zusammen,

von meinem Chef habe ich die ehrenvolle Aufgabe erhalten, unseren alten DC (inzwischen 7 Jahre alt) zu ersetzen. Insgesamt befindet sich neben dem alten DC, hält alle Rollen und war der Erste, noch ein zweiter DC. An den anderen Standorten befinden sich noch weitere DCs die alle mit dem Ersten DC replizieren. Der zweite DC repliziert "nur" mit dem Ersten (der ersetzt werden soll).

 

Nun meine Fragen:

1. Alle unsere DC haben W2k3 SP1 drauf. Kann der neue auch mit SP2 bzw. R2 installiert sein.

 

2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werden!

 

3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs?

 

4. Muss der alte DC mit dcpromo entfernt werden oder reicht es aus, diesen abzuschalten?

 

Yo, das waren mal die Fragen. Wäre super wenn jemand helfen könnte :)

 

Danke und viele Grüße

Share this post


Link to post
Nun meine Fragen:

1. Alle unsere DC haben W2k3 SP1 drauf. Kann der neue auch mit SP2 bzw. R2 installiert sein.

Dringende Empfehlung von Microsoft (und mir ;) ), alle DCs haben den gleichen SP-Stand.

 

2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werden
!

Der Key wird nicht repliziert. In dem Fall ist weg=weg.

Brauchtest du aber eh' nur im Falle einer EFS-Wiederherstellung, was vermutlich eher unwahrscheinlich ist.

 

 

3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs?

Warum das denn :eek:

DHCP kann man mit netsh mehr als einfach migrieren (Anleitung in KB).

DNS uerbenimmt der neue DC. Wo ist das problem, ich sehe da keines.

Was du als Weg angesprochen hast, ist Mumpf (sorry, nicht persoenlich gemeint).

 

 

4. Muss der alte DC mit dcpromo entfernt werden oder reicht es aus, diesen abzuschalten?

Aber auf jeden Fall dcpromo, und DNS danach noch manuell aufraeumen.

 

grizzly999

Share this post


Link to post

Hallo grizzly,

persönlich nehme ich gar nichts :) bin doch froh wenn man mir hier weiterhilft :)

 

 

2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werden

 

!

Der Key wird nicht repliziert. In dem Fall ist weg=weg.

Brauchtest du aber eh' nur im Falle einer EFS-Wiederherstellung, was vermutlich eher unwahrscheinlich ist.

 

Also wird das public Zertifikat auch allen DCs gehalten. An das private komme ich eh nicht mehr ran. Von daher...

 

 

 

3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs?

 

Warum das denn

DHCP kann man mit netsh mehr als einfach migrieren (Anleitung in KB).

DNS uerbenimmt der neue DC. Wo ist das problem, ich sehe da keines.

Was du als Weg angesprochen hast, ist Mumpf (sorry, nicht persoenlich gemeint).

 

War nur eine Idee. Wäre der Weg des geringsten Widerstands um es später wenn mehr Zeit da ist grade zu ziehen. Hab bei Yusuf zwei schöne Dokumente gefunden die den Weg beschreiben wie man am DC IP Adresse und Hostname nachträglich ändern kann. Schau mir das nochmals genau an.

 

 

Dann sag ich nochmals Danke und wünsch dir ein schönes WE :)

Share this post


Link to post

Moin,

 

unseren alten DC (inzwischen 7 Jahre alt)

[...]

2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr.

 

wenn die Domäne 7 Jahre alt ist und das EFS-Zertifikat nicht manuell erneuert wurde, ist es ohnehin wertlos. Es war nur drei Jahre gültig. Heißt: In den letzten vier Jahren konnte sowieso niemand mehr eine Datei so verschlüsseln, dass der RA sie entschlüsseln kann.

 

Darüber hinaus ist das Zertifikat an den vordefinierten Administrator gebunden, und der existiert noch. Das Zertifikat gibt/gab es aber nur auf dem allerersten DC der Domäne.

 

Also schalte EFS ab (per GPO) und hoffe, dass niemand was entschlüsselt haben will. Wenn du EFS brauchst, richte eine PKI ein und definiere einen neuen RA.

 

Gruß, Nils

Share this post


Link to post

Hallo,

vielen Dank für die Infos.

 

Eine allerletzte Frage hätte ich noch.

 

Wir haben bei den jetzigen DCs das Schemaupdate von der R2 installiert aber nicht R2.

Erhält der neue DC automatisch die Schemas von den alten DCs oder muss manuell das Schema nachinstalliert werden?

Share this post


Link to post

Moin,

 

Erhält der neue DC automatisch die Schemas von den alten DCs oder muss manuell das Schema nachinstalliert werden?

 

das Schema gilt im ganzen Forest. Eine Erweiterung muss man nur einmalig durchführen, danach gilt sie auch für alle neuen DCs.

 

Gruß, Nils

Share this post


Link to post

Hallo,

habe noch 1 bis 2 Probleme.

Habe nun einen neuen DC hinzugefügt. Als primären DNS habe ich ihn selbst eingetragne, also 192.168.0.100. Diesem habe ich alle 5 FSMO Rollen gegeben. So, wenn ich die Maschine nun boote, dauert es ewig bis der Login möglich ist und danach meckert er, die Domäne sei nicht verfügbar.

Trage ich aber als sekundär noch den anderen verbleibenden DC ein, funktioniert der neue DC wie er soll. Sollte der DC denn nicht bei sich selbst im DNS nachsehen oder hab ich was falsch verstanden???

 

 

Noch eine letzte FRage, wenn ich meinen allerersten DC herunterstufe, ist dann das public Zertifikat auch weg?

 

Noch eine allerletzte Frage... im Fehlerlog meldet er immer, w32tm habe keinen ntpclient gefunden und wird es in 15,30,60,etc. Minuten nochmals versuchen. Dachte eigentlich der PDC sei automatisch der Zeitgeber in der Domäne an dem auch alle Server und Clients sich bedienen um die Zeitsynchronisation zu erledigen. Muss irgendwo noch etwas nachgetragen werden?

 

Wäre super wenn jemand noch helfen könnte... :)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...