Zertifizierungsstelle umziehen 2k3 32bit -> 2k8R2

[pz6j89 10]

Hallo zusammen.

 

Zuerst einmal die grundinfos. Wir haben 2 Server:

 

Server 1

Windows Server 2003 32bit

ISA Server 2006

 

Server 2

Windows Server 2008 R2

MS Forefront TMG 2010

 

Server Nr. 1 ist unsere derzeitige Firewall. Auf dieser läuft unsere Zertifizierungsstelle.

Diesen Server wollen wir nun abschaffen und durch Server Nr 2 ersetzen. Daher müssen wir natürlich auch die Zertifizierungsstelle umziehen.

 

Funktioniert das relativ unkompliziert? Und was muss ich alles beachten wenn ich von einem 32bit-Windows Server 2003 auf ein Windows Server 2008 R2 System umziehen möchte?

 

Übrigens werden wir auch den Namen des Servers ändern. Muss ich dabei auch irgendwas beachten (mal abgesehen davon dass man die Zertifikate neu ausstellen muss)?

[jarazul 10]

Ich verstehe das richtig: Eure Unternehmens-PKI läuft auf der Firewall die direkt am Internet hängt?

[pz6j89 10]

Die Zertifizierungsstelle.. Ja...

 

Verzeichnisdienst (AD), der ja zur PKI dazugehört, liegt bei uns woanders...

[jarazul 10]

Wo liegt denn die AD? Im internen LAN?

 

Wenn ihr eure PKI nicht nur so "zum Spass" habt, solltet ihr diese schützen. Richtig schützen.

 

Zieh die PKi ruhig von 2k3 auf 2k8R2 aber installiere Sie nicht auf dem Server der am Internet hängt.

 

Internet <> (Firewall) DMZ (Firewall) <> Intern

 

TMG als Firewall in der DMZ ist plausibel. Die PKI würde dann in dem internen Netz stehen.

[pz6j89 10]

Wir planen irgendwann in Zukunft auch eine DMZ zu etablieren. Im Augenblick aber noch nicht...

 

Die Zertifizierungsstelle ist nur für kleinere Sachen da. Domänencontroller, Lync und sowas... Alles eigentlich nur intern...

 

Das AD liegt im internen Netzwerk.

 

Also empfiehlst du die Zertifizierungsstelle im internen Netzwerk einzurichten. Hmmm Dann würde sich ja der PDC empfehlen....

[pz6j89 10]

Leider ist meine Frage, ob ich irgendwas bei dem Umzug beachten muss imme rnoch nicht beantwortet (kleine Info: Zertifizierungsstelle wird jetzt auf den PDC umgezogen.)

[NorbertFe 2.105]

Es gibt keinen PDC, aber das weißt du sicher.

Ansonsten gibts im Technet genau das Whitepaper, welches du brauchst.

Active Directory Certificate Services Upgrade and Migration Guide

Off-Topic:

Ja, ich sags trotzdem, dass man sowas zur Not auch per Suchmaschine finden kann. ;) Sogar hier im Board würde ich behaupten finden sich etliche Artikel dazu.

 

Bye

Norbert

[pz6j89 10]

Wenn es keinen PDC gibt wie ist dann dieses Fenster aus dem AD zu erklären (siehe Anhang)? Ist jhalt ne veraltete Sache und imme rnoch im Sprachschatz vorhanden. Gefällt Betriebsmaster besser?

 

Aber ansonsten Danke für den Link. Manchmal sucht man einfach auch falsch...

[NorbertFe 2.105]

Na, man liest mal, was da steht und überlegt nochmal, was ich geschrieben habe.

Ja, Betriebsmaster gefällt besser. ;) Denn immerhin kann man sich hier fachlich schon auf der korrekten Ebene artikulieren, oder?

 

Bye

Norbert

[pz6j89 10]

Ja klar. War nur Macht der Gewohnheit... (Seit über einem jahrzehnt...?)

[NorbertFe 2.105]

Ja klar. War nur Macht der Gewohnheit... (Seit über einem jahrzehnt...?)

 

...gibts schon keine PDCs mehr im Active Directory. ;)

 

Bye

Norbert

[samsam 14]

Moin,

 

vielleicht hilft dir besser diese 2 Artikels.

 

Windows Server 2003 CA Migration auf Windows Server 2008 - Deutsch

Migrating Windows Certificate Authority Server from Windows 2003 Standard to windows 2008 Enterprise Server - English

 

mfg