ThomasB 10 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Hallo zusammen, folgendes: Wenn ich eine Zertifizierungsstelle in meinem Unternehmen aufsetze, und später in der Lage sein will Vorlagen für Computerkonten zu erstellen benötige ich ja einen Server (2003 oder 2008 oder 2008R2) Enterprise Edition, soweit richtig? Angenommen ich habe ein Netz mit 3 Servern -> 1 .DC (W2k3 Std) 2.DC (W2k8 Std) und 3. Member (W2k8R2). Auf dem 3. Server wird nun die Rolle für die Zertifikatsdienste installiert, (ohne dass der Server DC ist) -> Kann ich dann Vorlagen erstellen? Oder muss zwingend ein DC in der Enterprise Version laufen? Kann ich den Server 3 auch zum DC promoten nachdem die Zertifizierungsstelle hinzugefügt wurde? Oder versau ich damit meine PKI ? Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Das willst du aber so nicht machen. Wenn man es richtig macht hat man min 2 Server. 1. Ist offline und nicht in der Domäne und stellt nur Zertifikate (5-10 Jahre) für Zertifizierungsstellen aus. Die zertifikate werden per Disk oder USB Stick auf den anderen Rechner transortiert. 2. Die eigendliche zertifizierungsstelle. Online und in der Domäne als Enterprise CA. Dieser Rechner stellt Zertifikate für die User / Computer aus. Bei Bedarf hängt man noch 1-2 Ebenen dazwischen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 Hi Thomas, Wenn ich eine Zertifizierungsstelle in meinem Unternehmen aufsetze, und später in der Lage sein will Vorlagen für Computerkonten zu erstellen benötige ich ja einen Server (2003 oder 2008 oder 2008R2) Enterprise Edition, soweit richtig? Ab Windows Server 2008 R2 reicht auch eine Standard Version, um eigene Templates zu erstellen / bearbeiten. Siehe dazu auch Windows PKI blog : Active Directory Certificate Services Features by SKU D.h. also, daß Du unter 2003 oder 2008 eine Enterprise Version für V2 Templates benötigst, unter 2008 R2 nicht mehr. Version 1 Templates, die Du also nicht anpassen kannst, sind auch bis 2008 in der Standard Version möglich. Angenommen ich habe ein Netz mit 3 Servern -> 1 .DC (W2k3 Std) 2.DC (W2k8 Std) und 3. Member (W2k8R2). Auf dem 3. Server wird nun die Rolle für die Zertifikatsdienste installiert, (ohne dass der Server DC ist) -> Kann ich dann Vorlagen erstellen? Korrekt, nur die CA selbst muß bis 2008 eine Enterprise Version sein. Die DC Versionen spielen dabei keine Rolle. Oder muss zwingend ein DC in der Enterprise Version laufen? Nein. Kann ich den Server 3 auch zum DC promoten nachdem die Zertifizierungsstelle hinzugefügt wurde? Oder versau ich damit meine PKI ? Mir wäre nicht bekannt, daß sich da etwas geändert hat - bis 2008 galt: Nein, ein DCPROMO nach Installation einer CA ist nicht supported (auch keine DEMOTION). Siehe dazu auch: http://technet.microsoft.com/en-us/library/cc875810.aspx What Cannot Change After CA Deployment * The preliminary information that you supply during setup, such as the name of the CA, cannot be changed after the CA setup is complete. * The computer's domain settings, such as joining a domain or promoting a server to a domain controller, cannot be changed after the certification authority is installed. * If you installed the enterprise CA as an Enterprise Admin or delegated user, then you must use the Enterprise Admin or delegated user account when you uninstall the enterprise CA. Auch aus Sicherheitsgründen ist es nicht empfehlenswert, eine CA auf einem DC (oder einer anderen Serverrolle) laufen zu lassen. Ich würde also so oder so davon abraten. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.