Neue CA in bestehender domain

[Totwart 11]

hiho,

hab eine bestehende domäne und hab einen neuen DC (2008R2) in die Domäne gebracht. Nun möchte ich die Active Directory-Zertifikatsdienste benutzen und den alten CA Server (2003) abklösen.

 

Die Domänencontrollerzertifikate sollen neu erstellt werden. Wie geh ich da am besten vor?

 

1. Alten CA deinstallieren

2. Neuen CA installieren

 

Thats it? Werden dann für die bestehenden Domänencontroller (3) neue Zertifikate ausgestellt?

 

Gruss

[IThome 10]

Und die alten Zertifikate benötigst Du noch ?

[Totwart 11]

Nein, die brauch ich nicht mehr. Hatte ja geschrieben das neue ausgestellt werden sollen? Passiert das dann automatisch sobald ich die eine CA deinstalliere und anschliessend die neue installiere?

[Totwart 11]

Heisst das allg. Beitragsschweigen das der Weg so richtig ist?

[Totwart 11]

Neue CA steht und die Autoenrollment Policy ist angepasst. Nun hab ich das Problem das sich irgendwie nur die "alten" 2003 R2 DCs ein neues Zertifikat besorgt haben vom neuen CA Server, die neien 2008 R2 Server haben aber kein Domänencontrollerzertifikat.

 

Ich hab versucht folgendermassen das ganze zu forcen -> BallBlog: How to Force a DC to Attempt Certificate Autoenrollment

 

Leider ohne Erfolg.

 

Wie kann ich den 2008 R2 DCs sagen das Sie sich einen neues Certificate holen sollen von der neuen CA. Momentan bekomme ich auch keine Fehlermeldung im Eventlog.

 

Jemand nen Rat?

[Totwart 11]

Ok, hab es selbst gelöst. Unter Zertifikate (Computerkonto) / Eigene Zertifikate stand noch das Zertifikat von der alten CA. Da konnte ich dann direkt ein neues anfordern. nun siehts sauber aus.

 

CLOSED