Jump to content
Sign in to follow this  
WolverineJR

Administrator-Zertifikat in ADS exportieren

Recommended Posts

Hallo Leute!

 

Habe heute mir mal die Zeit genommen, einige Dokumente bezüglich ADS-Pflege zu wälzen. U.a. wird dort dringend empfohlen, den privaten Schlüssel und das Zertifikat des Domänen-Administrators zu exportieren und sicher extern abzulegen.

Nun haben wir hier insg. 6 ADS-Domänen. Bei 3 von diesen konnte ich den privaten Schlüssel und das Zertifikat jeweils in eine Datei exportieren. Bei den restlichen dreien konnte ich den privaten Schlüssel nicht exportieren. Die Meldung besagt, dass der private Schlüssel nicht gefunden werden kann.

 

Nun meine Frage: Wie erzeuge bzw. finde ich diesen Schlüssel und binde ihn an?

 

Danke!

Share this post


Link to post

Das zertifikat mit private key kann man auf dem ersten DC der Domäne (sollte natürlich nicht geplättet worden sein) über die MMC Zertifikate exportieren. Hast du das so in den drei Domänen gemacht?

 

grizzly999

Share this post


Link to post
ersten DC der Domäne (sollte natürlich nicht geplättet worden sein) grizzly999

 

Tja... dann war es das wohl... durch eine Migration unserer DC´s auf VMWare-Sessions von nem 3/4-Jahr existieren von den erwähnten drei Domänen die ersten DC der jeweilige Domäne nicht mehr.

Gibt es keine Möglichkeit mehr, in diesem Fall den privaten Schlüssel wieder zu exportieren?

Share this post


Link to post

Nein, denn den gibt es nicht mehr...... (außer eine alte Datensicherung vielleicht... auf einem vom Netz separierten Server ....)

 

grizzly999

Share this post


Link to post
Nein, denn den gibt es nicht mehr...... (außer eine alte Datensicherung vielleicht... auf einem vom Netz separierten Server ....)

 

grizzly999

 

Das wäre noch ne Möglichkeit. Machen ja Jahressicherungen, welche, was weiß ich wieviele Jahre, aufgehoben werden müssen. Dort könnte ich mal nachsehen, ob noch ne Sicherung vorhanden ist.

Befindet sich das Zertifikat in der SYSVOL-Sicherung des Servers? Oder muss ich da ein komplettes Image nehmen?

Share this post


Link to post

Weitere (unausgesponnene) Idee: Nur das Profil des Domain-Admin zurücksichern in temp-Ordner auf einem Testrechner oder anderem Rechner.

Default Profile wegkopieren.

Altes Domain Admin Profile da rein kopieren

Neuen Benutzeranlegen mit dem alten Admin Kennwort

Benutzer anmelden -> Er bekommt das Profil

 

Evtl. Jetzt Zugriff auf das Zertifikat ??

 

 

grizzly999

Share this post


Link to post

Werde ich mal ausprobieren (also das komplette Zurücksichern)...jetzt muss ich nur bis morgen warten, bis unser Backup-Admin wieder da ist.

Macht das was, wenn der DC damals noch W2k3 OHNE SP1 gewesen ist? Aktuell haben alle unsere DC´s SP1 installiert.

Share this post


Link to post

Nein, das macht nichts. Das einzige "problem" bei der Komplett Rücksicherung ist, es muss hardwaremäßig die selber Maschine sein, wegen Plattencontroller-Treibern.

 

grizzly999

Share this post


Link to post
Nein, das macht nichts. Das einzige "problem" bei der Komplett Rücksicherung ist, es muss hardwaremäßig die selber Maschine sein, wegen Plattencontroller-Treibern.

 

Das wird in der Tat ein Problem. Die Server, von denen das Image damals gemacht wurde, haben wir nun als VMWare-GSX-Server für die DC´s im Einsatz. Und ein vergleichbares Modell haben wir z.Z. nicht verfügbar.

Dann wäre eventuell dein zweiter Vorschlag ein Versuch wert. Muss ich also einen neue Maschine aufsetzen (am besten eine VMWare-Session) und auf die das Konto des Domänen-Admins der Sicherung draufkopieren. Muss das dann ein DC sein? Oder kann ich das auch mit einem ganz normalen W2k3-Standard-Server machen?

Share this post


Link to post
. Muss ich also einen neue Maschine aufsetzen (am besten eine VMWare-Session) und auf die das Konto des Domänen-Admins der Sicherung draufkopieren. Muss das dann ein DC sein? Oder kann ich das auch mit einem ganz normalen W2k3-Standard-Server machen?

Da könntest du irgendeinen vorhandenen Rechner hernehmen, könnte auch eine XP WS sein. Du brauchst halt das komplette Profilverzeichnis des Admin auf dem Band.

 

 

grizzly999

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...