Jump to content

Migration SBS 2011 zu Server 2019 / Zertifizierungsstelle


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

Ich bin dran einen SBS 2011 zu Server 2019 (VM) zu migrieren. Exchange 2010 zu Office365 ist bereits abgeschlossen. Zwei neue DC als VM sind ebenfalls bereits eingebunden.

 

Nun wollte ich die Active Directory Zertifizierungsstelle beim SBS2011 sichern und dann wiederherstellen. Siehe auch Anleitung: https://argonsys.com/microsoft-cloud/library/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2008-r2-to-2019/

 

Die Datenbank konnte ich mit Certutil.exe –backupdb <BackupDirectory> problemlos sichern.

Beim privaten Key welche ich mit Certutil.exe –backupkey <BackupDirectory> zu sichern versuche erhalte ich immer nachfolgende Fehlermeldung:

 

CertUtil: -backupKey-Befehl ist fehlgeschlagen: 0x80092004 (-2146885628)
CertUtil: Das Objekt oder die Eigenschaft wurde nicht gefunden.

 

Ich habe nach der Fehlermeldung gegoogelt aber nicht wirklich viel sinnvolles gefunden. Hat jemand einen Tipp?

 

Gruss SBK

bearbeitet von SBK
Link zu diesem Kommentar

Nein, eigentlich bin ich mir gar nicht sicher ob ich diese CA überhaupt benötige. Die Dateien auf dem Fileserver wurden nie in irgendeinerweise verschlüsselt, braucht es denn nicht zwingend eine Zertifizierungsstelle im AD? In den verschiedenen Migrationsleitfaden steht jeweils die CA zu sichern, deinstallieren und dann auf dem neuen wiederherzustellen.

 

Oder anders gefragt wie kann ich feststellen ob ich die CA noch brauche?

 

Ich war eigentlich bei Punkt 7 der Migration angelangt. Siehe nachfolgender Ablaufplan. Auch habe ich gelesen dass die CA nicht auf dem DC installiert werden sollte. Stimmt das?

 

Ablaufplan der Migration:

1.       Virtuelle Maschinen erstellen und installieren 2x Windows Server 2019

2.       SBS Sichern / Backup erstellen

3.       Virtuelle Maschinen der SBS Domäne hinzufügen und beide neue Server zum DC heraufstufen. Einen der beiden als Globalen Katalog einrichten.

4.       Migration von Exchange 2010 zu Office365.

5.       DNS und DHCP vom SBS auf den neuen DC migrieren / verschieben

6.       Dateifreigaben auf den neuen DC verschieben / GPO's und Loginskript anpassen

7.       Zertifikatdienste sichern und auf den neuen DC Server migrieren

8.       FSMO Rollen auf den neuen DC 2019 Server verschieben (21 Tage Restzeit beachten)

9.       SBS herabstufen

10.    SBS aus der Domäne nehmen.

bearbeitet von SBK
Link zu diesem Kommentar

Der SBS hat damals per default die Root-CA mit installiert - man nimmt an, wegen Exchange und WSUS

 

Wenn du eh zu O365 gehst, wir die interne CA wohl eher nicht gebraucht.

 

Ggf. musst du einen Exchange zur Verwaltung lokal haben, gibt hier einen relativ aktuellen Thread dazu.

 

Ansonsten deinstallieren und gut - kann man jederzeit hochziehen.

bearbeitet von Nobbyaushb
Link zu diesem Kommentar

Danke Nobbyaushb.

 

Ich habe bereits einen Exchange 2016 für die lokale Verwaltung installiert (hatte ich im Plan nicht explizit erwähnt) und auf dem Exchange2016 verwende ich ein gekauftes Zertifikat von psw.net (das war auch unter dem Exchange 2010 installiert). Insofern habe ich die CA auch nie verwendet, wusste aber nicht ob das Active Directory die CA in irgendeiner Form voraussetzt oder verwendet. Irgendwie hatte ich in Erinnerung gelesen zu haben, das Microsoft inskünftig LDAP nicht mehr unterstützt und nur noch LDAPS verwendet und man dafür ein Zertifikat benötigt. Aber vielleicht verwechsle ich da etwas.

 

Dann riskiere ich im Active Directory nichts, wenn ich keinen neuen Zertifizierungsserver installiere und den SBS2011 deinstalliere?

 

Bezüglich CA bin ich nicht wirklich sattelfest...

bearbeitet von SBK
Link zu diesem Kommentar

Habe mich bezüglich LDAPS gleich eingelesen, das stellt uns vor keine Probleme, wir haben keine "alte Software" welche noch LDAP verwendet. Ich hatte das missverstanden und dachte das LDAPS betreffe die Kommunikation zwischen Server<->Windows 10 Client.

 

Also ich habe ja nun die CA Konfiguration gesichert und wenn es irgendwo ein Problem geben sollte, kann ich dann immer noch die CA installieren und die Konfiguration wiederherstellen. Eine letzte Frage bleibt, wieso soll man die CA nicht auf dem neuen DC installieren? Aus Performancegründen spielt das ja kaum eine Rolle und der SBS hatte ja alle Rollen, welche bei den "normalen" Serverversionen als No-Go gedeutet wurde (Exchange auf DC, Sharepoint auf DC und CA auf DC).

bearbeitet von SBK
Link zu diesem Kommentar
vor einer Stunde schrieb SBK:

wieso soll man die CA nicht auf dem neuen DC installieren?

Weil das eine und das andere nicht kombiniert werden sollten. Du siehst ja schon rein technisch, dass du einen DC nicht hoch oder runter stufen kannst, wenn die CA drauf ist. Das verhindert also ggf. diverse Migrationsszenarien. Ansonsten ist eine CA per Definition etwas vertrauenswürdiges und sollte eben nicht auf einem System laufen, auf das quasi jeder im AD grundsätzlich zugreifen kann. Und ja der SBS war die eierlegende Wollmilchsau bei MS. Dass das keine gute Idee war, hat man später gemerkt.

Link zu diesem Kommentar

Moin,

 

ob du die CA noch brauchst, kannst du recht einfach feststellen, indem du dir ansiehst, ob sie Zertifikate ausgestellt hat, die noch gültig sind. Wenn ja, schaust du dir die Systeme an, auf denen diese verwendet werden.

 

Solltest du feststellen, dass du noch eine CA brauchst, musst du die alte aber auch nicht migrieren. In den meisten Fällen ist dann der bessere Weg, eine neue PKI ordentlich (!) aufzusetzen und die verwendeten Zertifikate gegen neue von der neuen CA auszutauschen. Oft wird nur migriert, weil man es kann, und dann hat man eine unnötig schlecht eingerichtete PKI.

 

Gruß, Nils

Link zu diesem Kommentar

Danke NorbertFe, NilsK und Nobbyaushb für eure Antworten.

 

Die SBS CA hat zwei Zertifikate die noch Gültigkeit haben, das sind aber Zertifikate welche der SBS als RootCA automatisch erstellt und ich jeweils erneuert habe. Ich wollte einfach auf Nummer sicher gehen, dass ich dann kein Problem im AD habe, falls die CA nicht mehr vorhanden ist. Aber die einzigen Zertifikate welche ich aktiv den Dienste zugewiesen hatte (Bsp. Exchange) hatte ich sowieso über psw.net gekauft.

 

Noch ein Hinweis bezüglich Rolle, ich habe auf dem Server 2019 welcher als DC fungiert, die CA Rolle problemlos hinzufügen können, diese aber nun gleich wieder entfernt....

Link zu diesem Kommentar
vor 28 Minuten schrieb SBK:

Noch ein Hinweis bezüglich Rolle, ich habe auf dem Server 2019 welcher als DC fungiert, die CA Rolle problemlos hinzufügen können, diese aber nun gleich wieder entfernt....

Moin, OK - danke für den Hinweis.

Das man es trotzdem auf einem anderen Server installieren sollte, muss nicht extra erwähnt werden...

 

Wie gesagt, ich war der Meinung, das es gar nicht geht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...