tom701 10 Posted January 18, 2010 Report Share Posted January 18, 2010 Moin, Ich bin mitten in einem Domain Update und werde kommende Woche den ersten DC als W2k8 in eine W2k Domain stellen. Auf diesem W2k8 DC soll eine Unternehmens CA mitlaufen. Ist die Reihenfolge der Installation egal? Erst zum DC machen und dann die CA installieren oder kann ich schon als Memberserver die Unternehmens CA installieren und danach DCPROMO ausführen? Gruß Tom Quote Link to comment
olc 18 Posted January 18, 2010 Report Share Posted January 18, 2010 Hi, ich würde aus Sicherheitsgründen stark davon abraten, CA und DC auf einer OS-Instanz zu installieren. Wenn Du es trotzdem machen möchtest, dann muß zuerst das DCPROMO erfolgen und danach die CA Installation. Eine demotion des DC ist dann jedoch erst nach Deinstallation der CA möglich. Wie gesagt, ich würde davon abraten. Viele Grüße olc Quote Link to comment
tom701 10 Posted January 18, 2010 Author Report Share Posted January 18, 2010 Also ist es besser die Unternehmens CA auf einem Memberserver zu installieren. Losgelöst vom DC. Hat noch jemand Erfahrungswerte damit? Noch bin ich dabei die Entscheidung zu treffen. @ Olc, danke für Deinen Beitrag Quote Link to comment
olc 18 Posted January 18, 2010 Report Share Posted January 18, 2010 Hi, ja, eine CA sollte nach Möglichkeit immer "alleinstehend", also auf einer Stand-Alone Maschine oder einem Member-Server installiert werden (je nach Anforderung). Auf der Maschine sollte dann als "öffentlicher" Dienst ausschließlich die PKI Funktionalität genutzt werden und keine weiteren Dienste. Andere Konfigurationen machen sicherheitstechnisch keinen Sinn, insbesondere bei CAs (und mit Einschränkungen bei DCs) nicht. Viele Grüße olc Quote Link to comment
Gruffy 10 Posted January 18, 2010 Report Share Posted January 18, 2010 Moin Olc, Wenn Du es trotzdem machen möchtest, dann muß zuerst das DCPROMO erfolgen und danach die CA Installation. Eine demotion des DC ist dann jedoch erst nach Deinstallation der CA möglich. Wie sieht es aus wenn der DC die Masterrollen hat ? Wie ist dann die Deinstallationsreihenfolge ? Quote Link to comment
olc 18 Posted January 18, 2010 Report Share Posted January 18, 2010 Hi, die CA Funktionalität hat nichts mit den FSMO Rollen zu tun. ;) Daher wäre die Reihenfolge in Bezug auf FSMO und CA "Deinstallation" egal. Ich persönlich würde wohl so vorgehen, wenn ich einen solchen DC demoten müßte: 1. FSMO Rollen manuell an gewünschten DC übertragen. 2. CA Backup und Deinstallation (man bedenke, daß man nicht "mal eben" eine bestehnde C / PKI außer Betrieb setzen kann / sollte). 3. DCPROMO Demotion. Viele Grüße olc Quote Link to comment
Gruffy 10 Posted January 18, 2010 Report Share Posted January 18, 2010 Diese Details erweitern das Wissen… Danke ;) Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.