Haup CA entfernen 2008R2 DC

[Adm -MCSE 0]

Wir wollen auf dem ersten DC die Rolle CA entfernen, und dies auch für die Zukunft vollständig aus unserem Unternehemen. Nun habe ich folgendes Problem.
Im AD sind ca-. 10.000 Objekte, die wir ungerne verlieren möchte.
alle 3 DC's haben ihre komunikation auf Zertifikate umgestellt. Die Server haben sich alle ein Serverauthentifizierungszertifikat besorgt. Ein paar Benutzer sowie Cleints auch.

 

Kurze Übersicht:

 

IST:

3 Domänenkontroller

 

 

DC-1   : DNS;CA

DC-2   : DNS;DHCP

DC-3   : DNS

 

 

SOLL:

 

DC-1   : DNS                                    "soll erneuert werden, also komplett aus der Domäne verschwinden und umbenannt werden"

DC-2   : DNS; DHCP

DC-3   : DNS

 

Meine Fragen:

 

1. Was kann passieren?
2. Wie ist es am besten zu lösen?
3. Was ist zu beachten?

Bitte beachten Sie bei Ihrer Hilfe, das wir nur Basiswissen über CA's besiitzen.

 

 

Vielen Dank im Voraus für Ihre Mühen

[Dunkelmann 96]

Moin,

• Dienste, die Zertifikate nutzen bzw. benötigen stellen ihren Dienst ein sofern sie nicht angepasst werden. (https, ldaps, vpn usw.). Eine gründliche Bestandaufnahme sollte vorher erfolgen.
• im Technet Wiki gibt es einen Artikel zum Thema:
  http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx
  Auch wenn es im Artikel nicht ausdrücklich erwähnt wird. Es sollten alle Zertifikatsvorlagen an der CA deaktiviert werden.
• Vieles.

bearbeitet 10. November 2014 von Dunkelmann

[Adm -MCSE 0]

 

Moin,

• Dienste, die Zertifikate nutzen bzw. benötigen stellen ihren Dienst ein sofern sie nicht angepasst werden. (https, ldaps, vpn usw.). Eine gründliche Bestandaufnahme sollte vorher erfolgen.
• im Technet Wiki gibt es einen Artikel zum Thema:

  http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx

  Auch wenn es im Artikel nicht ausdrücklich erwähnt wird. Es sollten alle Zertifikatsvorlagen an der CA deaktiviert werden.

• Vieles.

 

Danke, folgende Fragen stellen SIch aber uns nach wie vor!

 

 

1. Was ist mit der automatischen Clientzertifizierung, Serverzertifikaten, Zertifikaten des AD's und anderen. Stellen diese sich wieder auf lokale Zertifikate zurück?
2. Muss die Automatische Zertifikation deaktiviert werden, wenn die Zertifikate für ungüldig erklärt werden?
3. Gibt es Komponenten auf den Nutzniesern der Ca die danach nicht mehr laufen könnten?

[Dunkelmann 96]

1. Das hängt vom Dienst ab. Hier ist eine wirklich gründliche Recherche notwendig.

   Eventuell gibt es Richtlinien (GPO oder Orga-Richtlinien), die ein bestimmtes Verhalten einfordern oder erzwingen. Diese müssten dann entsprechend angepasst werden

   Im Zweifelsfall alle Empfänger (Benutzer, Computer, DC, Switches, Router usw.) sämtlicher jemals von der CA ausgestelleten Zertifikate prüfen.

   Ein gangbarer Weg könnte sein, die Zertifikate sukzessive zu sperren. Wird nur das Zertifikat für einen Server, einen Dienst gesperrt, sind die Nebenwirkungen meistens abschätzbar und es kann im Zweifelsfall wieder ein neues Zertifikat ausgestellt werden. Die CA lebt ja zu dem Zeitpunkt noch.

2. Auto-Rollout muss deaktiviert werden. Ist keine CA vorhanden, läuft die Anforderung ins Leere und provoziert Fehler.
3. Wenn bei Punkt 1, Bestandsaufnahme und ggf. Anpassung nichts vergessen wurde ...

   Ein Plan-B sollte immer existieren ;)

Je nach Größe der Umgebung, würde ich für das Thema mehrere Wochen bis Monate ansetzen. Eine kleine Testumgebung kann auch nicht schaden.

[Adm -MCSE 0]

 

1. Das hängt vom Dienst ab. Hier ist eine wirklich gründliche Recherche notwendig.

   Eventuell gibt es Richtlinien (GPO oder Orga-Richtlinien), die ein bestimmtes Verhalten einfordern oder erzwingen. Diese müssten dann entsprechend angepasst werden

   Im Zweifelsfall alle Empfänger (Benutzer, Computer, DC, Switches, Router usw.) sämtlicher jemals von der CA ausgestelleten Zertifikate prüfen.

   Ein gangbarer Weg könnte sein, die Zertifikate sukzessive zu sperren. Wird nur das Zertifikat für einen Server, einen Dienst gesperrt, sind die Nebenwirkungen meistens abschätzbar und es kann im Zweifelsfall wieder ein neues Zertifikat ausgestellt werden. Die CA lebt ja zu dem Zeitpunkt noch.

2. Auto-Rollout muss deaktiviert werden. Ist keine CA vorhanden, läuft die Anforderung ins Leere und provoziert Fehler.
3. Wenn bei Punkt 1, Bestandsaufnahme und ggf. Anpassung nichts vergessen wurde ...

   Ein Plan-B sollte immer existieren ;)

Je nach Größe der Umgebung, würde ich für das Thema mehrere Wochen bis Monate ansetzen. Eine kleine Testumgebung kann auch nicht schaden.

 

Danke super Post, wir haben garkein Programm was die CA richtig benutzt. Das einzigste sind die DCs und Server die sich iHre Serverauth. und Domänenauth. und sowie Kerberosauth. auf SSL gesetzt haben.

In GPOs gibt es keine zuweissung, ausser der Auto- Rollout!

Also simpel gesagt nur Auto- Rollouts! Die Clients sind zu vernachlässigen dies Aussfääle können in Kauf genommen werden.

 

bearbeitet 10. November 2014 von Adm -MCSE

[daabm 1.348]

Wenn Ihr nicht aktiv etwas einsetzt, das Zertifikate "produktiv" verwendet (z.B. IIS oder WSUS oder eine externe Anwendung, die zwingend LDAPS braucht), dann ist das alles recht streßfrei - Windows "intern" braucht keine CA-ausgestellten Zertifikate. Für gar nix - die für RDP (und HyperV etc.) sind dann halt selbstsignierte.

[Dunkelmann 96]

 

Danke super Post, wir haben garkein Programm was die CA richtig benutzt. Das einzigste sind die DCs und Server die sich iHre Serverauth. und Domänenauth. und sowie Kerberosauth. auf SSL gesetzt haben.

Wenn nichts per Richtlinie erzwungen wird, sind SSL/LDAPs nur optional.

Sie werden genutzt, wenn möglich. Ist kein geeignetes Zertifikat vorhanden, wird wieder unverschlüsselt kommuniziert.