tom701 10 Geschrieben 18. Januar 2010 Melden Teilen Geschrieben 18. Januar 2010 Moin, Ich bin mitten in einem Domain Update und werde kommende Woche den ersten DC als W2k8 in eine W2k Domain stellen. Auf diesem W2k8 DC soll eine Unternehmens CA mitlaufen. Ist die Reihenfolge der Installation egal? Erst zum DC machen und dann die CA installieren oder kann ich schon als Memberserver die Unternehmens CA installieren und danach DCPROMO ausführen? Gruß Tom Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Januar 2010 Melden Teilen Geschrieben 18. Januar 2010 Hi, ich würde aus Sicherheitsgründen stark davon abraten, CA und DC auf einer OS-Instanz zu installieren. Wenn Du es trotzdem machen möchtest, dann muß zuerst das DCPROMO erfolgen und danach die CA Installation. Eine demotion des DC ist dann jedoch erst nach Deinstallation der CA möglich. Wie gesagt, ich würde davon abraten. Viele Grüße olc Zitieren Link zu diesem Kommentar
tom701 10 Geschrieben 18. Januar 2010 Autor Melden Teilen Geschrieben 18. Januar 2010 Also ist es besser die Unternehmens CA auf einem Memberserver zu installieren. Losgelöst vom DC. Hat noch jemand Erfahrungswerte damit? Noch bin ich dabei die Entscheidung zu treffen. @ Olc, danke für Deinen Beitrag Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Januar 2010 Melden Teilen Geschrieben 18. Januar 2010 Hi, ja, eine CA sollte nach Möglichkeit immer "alleinstehend", also auf einer Stand-Alone Maschine oder einem Member-Server installiert werden (je nach Anforderung). Auf der Maschine sollte dann als "öffentlicher" Dienst ausschließlich die PKI Funktionalität genutzt werden und keine weiteren Dienste. Andere Konfigurationen machen sicherheitstechnisch keinen Sinn, insbesondere bei CAs (und mit Einschränkungen bei DCs) nicht. Viele Grüße olc Zitieren Link zu diesem Kommentar
Gruffy 10 Geschrieben 18. Januar 2010 Melden Teilen Geschrieben 18. Januar 2010 Moin Olc, Wenn Du es trotzdem machen möchtest, dann muß zuerst das DCPROMO erfolgen und danach die CA Installation. Eine demotion des DC ist dann jedoch erst nach Deinstallation der CA möglich. Wie sieht es aus wenn der DC die Masterrollen hat ? Wie ist dann die Deinstallationsreihenfolge ? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Januar 2010 Melden Teilen Geschrieben 18. Januar 2010 Hi, die CA Funktionalität hat nichts mit den FSMO Rollen zu tun. ;) Daher wäre die Reihenfolge in Bezug auf FSMO und CA "Deinstallation" egal. Ich persönlich würde wohl so vorgehen, wenn ich einen solchen DC demoten müßte: 1. FSMO Rollen manuell an gewünschten DC übertragen. 2. CA Backup und Deinstallation (man bedenke, daß man nicht "mal eben" eine bestehnde C / PKI außer Betrieb setzen kann / sollte). 3. DCPROMO Demotion. Viele Grüße olc Zitieren Link zu diesem Kommentar
Gruffy 10 Geschrieben 18. Januar 2010 Melden Teilen Geschrieben 18. Januar 2010 Diese Details erweitern das Wissen… Danke ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.