Jump to content

Neuer DC und EFS Zertifikat


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

von meinem Chef habe ich die ehrenvolle Aufgabe erhalten, unseren alten DC (inzwischen 7 Jahre alt) zu ersetzen. Insgesamt befindet sich neben dem alten DC, hält alle Rollen und war der Erste, noch ein zweiter DC. An den anderen Standorten befinden sich noch weitere DCs die alle mit dem Ersten DC replizieren. Der zweite DC repliziert "nur" mit dem Ersten (der ersetzt werden soll).

 

Nun meine Fragen:

1. Alle unsere DC haben W2k3 SP1 drauf. Kann der neue auch mit SP2 bzw. R2 installiert sein.

 

2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werden!

 

3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs?

 

4. Muss der alte DC mit dcpromo entfernt werden oder reicht es aus, diesen abzuschalten?

 

Yo, das waren mal die Fragen. Wäre super wenn jemand helfen könnte :)

 

Danke und viele Grüße

Link zu diesem Kommentar
Nun meine Fragen:

1. Alle unsere DC haben W2k3 SP1 drauf. Kann der neue auch mit SP2 bzw. R2 installiert sein.

Dringende Empfehlung von Microsoft (und mir ;) ), alle DCs haben den gleichen SP-Stand.

 

2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werden
!

Der Key wird nicht repliziert. In dem Fall ist weg=weg.

Brauchtest du aber eh' nur im Falle einer EFS-Wiederherstellung, was vermutlich eher unwahrscheinlich ist.

 

 

3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs?

Warum das denn :eek:

DHCP kann man mit netsh mehr als einfach migrieren (Anleitung in KB).

DNS uerbenimmt der neue DC. Wo ist das problem, ich sehe da keines.

Was du als Weg angesprochen hast, ist Mumpf (sorry, nicht persoenlich gemeint).

 

 

4. Muss der alte DC mit dcpromo entfernt werden oder reicht es aus, diesen abzuschalten?

Aber auf jeden Fall dcpromo, und DNS danach noch manuell aufraeumen.

 

grizzly999

Link zu diesem Kommentar

Hallo grizzly,

persönlich nehme ich gar nichts :) bin doch froh wenn man mir hier weiterhilft :)

 

 

2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werden

 

!

Der Key wird nicht repliziert. In dem Fall ist weg=weg.

Brauchtest du aber eh' nur im Falle einer EFS-Wiederherstellung, was vermutlich eher unwahrscheinlich ist.

 

Also wird das public Zertifikat auch allen DCs gehalten. An das private komme ich eh nicht mehr ran. Von daher...

 

 

 

3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs?

 

Warum das denn

DHCP kann man mit netsh mehr als einfach migrieren (Anleitung in KB).

DNS uerbenimmt der neue DC. Wo ist das problem, ich sehe da keines.

Was du als Weg angesprochen hast, ist Mumpf (sorry, nicht persoenlich gemeint).

 

War nur eine Idee. Wäre der Weg des geringsten Widerstands um es später wenn mehr Zeit da ist grade zu ziehen. Hab bei Yusuf zwei schöne Dokumente gefunden die den Weg beschreiben wie man am DC IP Adresse und Hostname nachträglich ändern kann. Schau mir das nochmals genau an.

 

 

Dann sag ich nochmals Danke und wünsch dir ein schönes WE :)

Link zu diesem Kommentar

Moin,

 

unseren alten DC (inzwischen 7 Jahre alt)

[...]

2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr.

 

wenn die Domäne 7 Jahre alt ist und das EFS-Zertifikat nicht manuell erneuert wurde, ist es ohnehin wertlos. Es war nur drei Jahre gültig. Heißt: In den letzten vier Jahren konnte sowieso niemand mehr eine Datei so verschlüsseln, dass der RA sie entschlüsseln kann.

 

Darüber hinaus ist das Zertifikat an den vordefinierten Administrator gebunden, und der existiert noch. Das Zertifikat gibt/gab es aber nur auf dem allerersten DC der Domäne.

 

Also schalte EFS ab (per GPO) und hoffe, dass niemand was entschlüsselt haben will. Wenn du EFS brauchst, richte eine PKI ein und definiere einen neuen RA.

 

Gruß, Nils

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo,

habe noch 1 bis 2 Probleme.

Habe nun einen neuen DC hinzugefügt. Als primären DNS habe ich ihn selbst eingetragne, also 192.168.0.100. Diesem habe ich alle 5 FSMO Rollen gegeben. So, wenn ich die Maschine nun boote, dauert es ewig bis der Login möglich ist und danach meckert er, die Domäne sei nicht verfügbar.

Trage ich aber als sekundär noch den anderen verbleibenden DC ein, funktioniert der neue DC wie er soll. Sollte der DC denn nicht bei sich selbst im DNS nachsehen oder hab ich was falsch verstanden???

 

 

Noch eine letzte FRage, wenn ich meinen allerersten DC herunterstufe, ist dann das public Zertifikat auch weg?

 

Noch eine allerletzte Frage... im Fehlerlog meldet er immer, w32tm habe keinen ntpclient gefunden und wird es in 15,30,60,etc. Minuten nochmals versuchen. Dachte eigentlich der PDC sei automatisch der Zeitgeber in der Domäne an dem auch alle Server und Clients sich bedienen um die Zeitsynchronisation zu erledigen. Muss irgendwo noch etwas nachgetragen werden?

 

Wäre super wenn jemand noch helfen könnte... :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...