Jump to content

Zertifikatdienst auf altem DC deinstallieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe einen alten DC (Windows Server 2003) auf dem noch ein Zertifikatdienst installiert ist. Beim entfernen der DC Rolle wird gemeldet das ich diesen Dienst erst deinstallieren muss. Soweit kein Problem, ich weiß nur nicht ob dies auswirkungen auf das Netzwerk haben kann.

den DC habe ich jetzt mal zwei Monate aus gelassen um zu schauen ob es irgendwelche Auswirkungen hat, bevor ich ihn lösche.

Ich weiß nur nicht ob dieser Zertifikatdienst evtl. auf andere DC´s repliziert wird und noch aktiv ist. Wenn ich jetzt den alten DC einschalte und die Rolle für die Zertifikate deinstalliere und dadurch auch die eventuelle Replizierungen lösche, spüre ich ja dann wirklich erst die Auswirkungen. Das längere abschalten des alten DC´s hätte dann somit nichts gebracht. Liege ich da richtig mit meinen überlegungen ? was wird wohl passieren ?

Link zu diesem Kommentar

SChau doch einfach nach, welche Zertifikate die CA ausgestellt hat, dann kann man immer noch entscheiden. 2 Monate ausschalten und hoffen is übrigens keine besonders sinnvolle Idee. ;)

Ganz besonders bei einem DC, da wird schnell ein Tumbstone draus.

 

Mal ehrlich - wer jetzt noch einen 2003er im Netz hat.. - egal, ich schreibe das lieber nicht.

 

:confused:

Link zu diesem Kommentar

Moin,

 

Zertifikate werden nicht repliziert. Der CA-Dienst hat mit dem AD nichts zu tun, auch wenn seit Windows Server 2008 die Komponente dafür so heißt.

 

Nur die CA auf dem betreffenden Server kann also Zertifikate ausgestellt haben, andere Server sind nicht beteiligt. Welche Zertifikate ausgestellt wurden, siehst du in der zugehörigen Konsole. In den meisten vergleichbaren Situationen sind das nur einzelne Zertifikate von Belang (meist interne SSL-Zertifikate), die man einfach durch neue Zertifikate von einer neuen CA ersetzen kann. Anhand der Ausstellungsdaten und der Empfänger lässt sich das meist schnell einschätzen.

 

Eine künftige CA sollte man dann ordentlich konzipieren und einrichten. Das ist keine Doktorarbeit, aber erfordert schon ein wenig Konzentration.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

schön - aber nicht unbedingt sinnvoll. Eine CA gehört nicht auf einen Domänencontroller. Und da eine CA eine Sicherheitskomponente ist, gehören Konzept und Planung dazu. Meine Empfehlung wäre also, das derzeitige Konstrukt so bald wie möglich durch ein ordentlich geplantes neues zu ersetzen.

 

Aber gut, dass das akute Problem gelöst ist und danke für die Rückmeldung.

 

Gruß, Nils

Link zu diesem Kommentar

Hi,

 

du müsstest dann ja jetzt wissen, wer / was bei euch alles Zertifikate ausgestellt bekommen hat (und ob diese überhaupt gebraucht werden). Wenn das nur eine handvoll Applikationen oder Webserver sind, würde ich mir überlegen auf die CA zu verzichten und die Zertifikate bei einer öffentlichen Zertifizierungsstelle zu kaufen.

 

Gruß

Jan

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...