Saegenjupp 0 Geschrieben 18. Januar 2018 Melden Geschrieben 18. Januar 2018 Hallo zusammen, ich habe einen alten DC (Windows Server 2003) auf dem noch ein Zertifikatdienst installiert ist. Beim entfernen der DC Rolle wird gemeldet das ich diesen Dienst erst deinstallieren muss. Soweit kein Problem, ich weiß nur nicht ob dies auswirkungen auf das Netzwerk haben kann. den DC habe ich jetzt mal zwei Monate aus gelassen um zu schauen ob es irgendwelche Auswirkungen hat, bevor ich ihn lösche. Ich weiß nur nicht ob dieser Zertifikatdienst evtl. auf andere DC´s repliziert wird und noch aktiv ist. Wenn ich jetzt den alten DC einschalte und die Rolle für die Zertifikate deinstalliere und dadurch auch die eventuelle Replizierungen lösche, spüre ich ja dann wirklich erst die Auswirkungen. Das längere abschalten des alten DC´s hätte dann somit nichts gebracht. Liege ich da richtig mit meinen überlegungen ? was wird wohl passieren ?
NorbertFe 2.278 Geschrieben 18. Januar 2018 Melden Geschrieben 18. Januar 2018 SChau doch einfach nach, welche Zertifikate die CA ausgestellt hat, dann kann man immer noch entscheiden. 2 Monate ausschalten und hoffen is übrigens keine besonders sinnvolle Idee. ;)
Nobbyaushb 1.580 Geschrieben 18. Januar 2018 Melden Geschrieben 18. Januar 2018 SChau doch einfach nach, welche Zertifikate die CA ausgestellt hat, dann kann man immer noch entscheiden. 2 Monate ausschalten und hoffen is übrigens keine besonders sinnvolle Idee. ;) Ganz besonders bei einem DC, da wird schnell ein Tumbstone draus. Mal ehrlich - wer jetzt noch einen 2003er im Netz hat.. - egal, ich schreibe das lieber nicht. :confused:
NilsK 3.046 Geschrieben 18. Januar 2018 Melden Geschrieben 18. Januar 2018 Moin, Zertifikate werden nicht repliziert. Der CA-Dienst hat mit dem AD nichts zu tun, auch wenn seit Windows Server 2008 die Komponente dafür so heißt. Nur die CA auf dem betreffenden Server kann also Zertifikate ausgestellt haben, andere Server sind nicht beteiligt. Welche Zertifikate ausgestellt wurden, siehst du in der zugehörigen Konsole. In den meisten vergleichbaren Situationen sind das nur einzelne Zertifikate von Belang (meist interne SSL-Zertifikate), die man einfach durch neue Zertifikate von einer neuen CA ersetzen kann. Anhand der Ausstellungsdaten und der Empfänger lässt sich das meist schnell einschätzen. Eine künftige CA sollte man dann ordentlich konzipieren und einrichten. Das ist keine Doktorarbeit, aber erfordert schon ein wenig Konzentration. Gruß, Nils
Saegenjupp 0 Geschrieben 19. Januar 2018 Autor Melden Geschrieben 19. Januar 2018 Moin, Zertifikate werden nicht repliziert. Danke Nils ! Dein Beitrag sagt was aus und hilft auch weiter... Ich habe mich in das CA Thema mal eingelesen und habe die Daten auf einen 2012R2 DC migriert. War einfacher als erwartet !
NilsK 3.046 Geschrieben 19. Januar 2018 Melden Geschrieben 19. Januar 2018 Moin, schön - aber nicht unbedingt sinnvoll. Eine CA gehört nicht auf einen Domänencontroller. Und da eine CA eine Sicherheitskomponente ist, gehören Konzept und Planung dazu. Meine Empfehlung wäre also, das derzeitige Konstrukt so bald wie möglich durch ein ordentlich geplantes neues zu ersetzen. Aber gut, dass das akute Problem gelöst ist und danke für die Rückmeldung. Gruß, Nils 1
testperson 1.858 Geschrieben 19. Januar 2018 Melden Geschrieben 19. Januar 2018 Hi, du müsstest dann ja jetzt wissen, wer / was bei euch alles Zertifikate ausgestellt bekommen hat (und ob diese überhaupt gebraucht werden). Wenn das nur eine handvoll Applikationen oder Webserver sind, würde ich mir überlegen auf die CA zu verzichten und die Zertifikate bei einer öffentlichen Zertifizierungsstelle zu kaufen. Gruß Jan
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden