WolverineJR 10 Geschrieben 5. Juli 2006 Melden Geschrieben 5. Juli 2006 Hallo Leute! Habe heute mir mal die Zeit genommen, einige Dokumente bezüglich ADS-Pflege zu wälzen. U.a. wird dort dringend empfohlen, den privaten Schlüssel und das Zertifikat des Domänen-Administrators zu exportieren und sicher extern abzulegen. Nun haben wir hier insg. 6 ADS-Domänen. Bei 3 von diesen konnte ich den privaten Schlüssel und das Zertifikat jeweils in eine Datei exportieren. Bei den restlichen dreien konnte ich den privaten Schlüssel nicht exportieren. Die Meldung besagt, dass der private Schlüssel nicht gefunden werden kann. Nun meine Frage: Wie erzeuge bzw. finde ich diesen Schlüssel und binde ihn an? Danke!
grizzly999 11 Geschrieben 5. Juli 2006 Melden Geschrieben 5. Juli 2006 Das zertifikat mit private key kann man auf dem ersten DC der Domäne (sollte natürlich nicht geplättet worden sein) über die MMC Zertifikate exportieren. Hast du das so in den drei Domänen gemacht? grizzly999
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Geschrieben 5. Juli 2006 ersten DC der Domäne (sollte natürlich nicht geplättet worden sein) grizzly999 Tja... dann war es das wohl... durch eine Migration unserer DC´s auf VMWare-Sessions von nem 3/4-Jahr existieren von den erwähnten drei Domänen die ersten DC der jeweilige Domäne nicht mehr. Gibt es keine Möglichkeit mehr, in diesem Fall den privaten Schlüssel wieder zu exportieren?
grizzly999 11 Geschrieben 5. Juli 2006 Melden Geschrieben 5. Juli 2006 Nein, denn den gibt es nicht mehr...... (außer eine alte Datensicherung vielleicht... auf einem vom Netz separierten Server ....) grizzly999
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Geschrieben 5. Juli 2006 Nein, denn den gibt es nicht mehr...... (außer eine alte Datensicherung vielleicht... auf einem vom Netz separierten Server ....) grizzly999 Das wäre noch ne Möglichkeit. Machen ja Jahressicherungen, welche, was weiß ich wieviele Jahre, aufgehoben werden müssen. Dort könnte ich mal nachsehen, ob noch ne Sicherung vorhanden ist. Befindet sich das Zertifikat in der SYSVOL-Sicherung des Servers? Oder muss ich da ein komplettes Image nehmen?
grizzly999 11 Geschrieben 5. Juli 2006 Melden Geschrieben 5. Juli 2006 Du brauchst den Server komplett wieder hergestellt. Dann wie oben beschrieben .... grizzly999
grizzly999 11 Geschrieben 5. Juli 2006 Melden Geschrieben 5. Juli 2006 Weitere (unausgesponnene) Idee: Nur das Profil des Domain-Admin zurücksichern in temp-Ordner auf einem Testrechner oder anderem Rechner. Default Profile wegkopieren. Altes Domain Admin Profile da rein kopieren Neuen Benutzeranlegen mit dem alten Admin Kennwort Benutzer anmelden -> Er bekommt das Profil Evtl. Jetzt Zugriff auf das Zertifikat ?? grizzly999
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Geschrieben 5. Juli 2006 Werde ich mal ausprobieren (also das komplette Zurücksichern)...jetzt muss ich nur bis morgen warten, bis unser Backup-Admin wieder da ist. Macht das was, wenn der DC damals noch W2k3 OHNE SP1 gewesen ist? Aktuell haben alle unsere DC´s SP1 installiert.
grizzly999 11 Geschrieben 5. Juli 2006 Melden Geschrieben 5. Juli 2006 Nein, das macht nichts. Das einzige "problem" bei der Komplett Rücksicherung ist, es muss hardwaremäßig die selber Maschine sein, wegen Plattencontroller-Treibern. grizzly999
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Geschrieben 5. Juli 2006 Nein, das macht nichts. Das einzige "problem" bei der Komplett Rücksicherung ist, es muss hardwaremäßig die selber Maschine sein, wegen Plattencontroller-Treibern. Das wird in der Tat ein Problem. Die Server, von denen das Image damals gemacht wurde, haben wir nun als VMWare-GSX-Server für die DC´s im Einsatz. Und ein vergleichbares Modell haben wir z.Z. nicht verfügbar. Dann wäre eventuell dein zweiter Vorschlag ein Versuch wert. Muss ich also einen neue Maschine aufsetzen (am besten eine VMWare-Session) und auf die das Konto des Domänen-Admins der Sicherung draufkopieren. Muss das dann ein DC sein? Oder kann ich das auch mit einem ganz normalen W2k3-Standard-Server machen?
grizzly999 11 Geschrieben 5. Juli 2006 Melden Geschrieben 5. Juli 2006 . Muss ich also einen neue Maschine aufsetzen (am besten eine VMWare-Session) und auf die das Konto des Domänen-Admins der Sicherung draufkopieren. Muss das dann ein DC sein? Oder kann ich das auch mit einem ganz normalen W2k3-Standard-Server machen? Da könntest du irgendeinen vorhandenen Rechner hernehmen, könnte auch eine XP WS sein. Du brauchst halt das komplette Profilverzeichnis des Admin auf dem Band. grizzly999
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Geschrieben 5. Juli 2006 Dann probiere ich das Morgen mal. Bis dahin!
WolverineJR 10 Geschrieben 7. Juli 2006 Autor Melden Geschrieben 7. Juli 2006 Tja... Backup existiert nicht mehr. So ein Sch... Und jetzt??? Gibt es wirklich keine andere Möglichkeit??
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden