Adm -MCSE 0 Geschrieben 10. November 2014 Melden Teilen Geschrieben 10. November 2014 Wir wollen auf dem ersten DC die Rolle CA entfernen, und dies auch für die Zukunft vollständig aus unserem Unternehemen. Nun habe ich folgendes Problem.Im AD sind ca-. 10.000 Objekte, die wir ungerne verlieren möchte.alle 3 DC's haben ihre komunikation auf Zertifikate umgestellt. Die Server haben sich alle ein Serverauthentifizierungszertifikat besorgt. Ein paar Benutzer sowie Cleints auch. Kurze Übersicht: IST:3 Domänenkontroller DC-1 : DNS;CA DC-2 : DNS;DHCP DC-3 : DNS SOLL: DC-1 : DNS "soll erneuert werden, also komplett aus der Domäne verschwinden und umbenannt werden" DC-2 : DNS; DHCP DC-3 : DNS Meine Fragen: Was kann passieren? Wie ist es am besten zu lösen? Was ist zu beachten? Bitte beachten Sie bei Ihrer Hilfe, das wir nur Basiswissen über CA's besiitzen. Vielen Dank im Voraus für Ihre Mühen Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 10. November 2014 Melden Teilen Geschrieben 10. November 2014 (bearbeitet) Moin, Dienste, die Zertifikate nutzen bzw. benötigen stellen ihren Dienst ein sofern sie nicht angepasst werden. (https, ldaps, vpn usw.). Eine gründliche Bestandaufnahme sollte vorher erfolgen. im Technet Wiki gibt es einen Artikel zum Thema:http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspxAuch wenn es im Artikel nicht ausdrücklich erwähnt wird. Es sollten alle Zertifikatsvorlagen an der CA deaktiviert werden. Vieles. bearbeitet 10. November 2014 von Dunkelmann Zitieren Link zu diesem Kommentar
Adm -MCSE 0 Geschrieben 10. November 2014 Autor Melden Teilen Geschrieben 10. November 2014 Moin, Dienste, die Zertifikate nutzen bzw. benötigen stellen ihren Dienst ein sofern sie nicht angepasst werden. (https, ldaps, vpn usw.). Eine gründliche Bestandaufnahme sollte vorher erfolgen. im Technet Wiki gibt es einen Artikel zum Thema:http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx Auch wenn es im Artikel nicht ausdrücklich erwähnt wird. Es sollten alle Zertifikatsvorlagen an der CA deaktiviert werden. Vieles. Danke, folgende Fragen stellen SIch aber uns nach wie vor! Was ist mit der automatischen Clientzertifizierung, Serverzertifikaten, Zertifikaten des AD's und anderen. Stellen diese sich wieder auf lokale Zertifikate zurück? Muss die Automatische Zertifikation deaktiviert werden, wenn die Zertifikate für ungüldig erklärt werden? Gibt es Komponenten auf den Nutzniesern der Ca die danach nicht mehr laufen könnten? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 10. November 2014 Melden Teilen Geschrieben 10. November 2014 Das hängt vom Dienst ab. Hier ist eine wirklich gründliche Recherche notwendig. Eventuell gibt es Richtlinien (GPO oder Orga-Richtlinien), die ein bestimmtes Verhalten einfordern oder erzwingen. Diese müssten dann entsprechend angepasst werden Im Zweifelsfall alle Empfänger (Benutzer, Computer, DC, Switches, Router usw.) sämtlicher jemals von der CA ausgestelleten Zertifikate prüfen. Ein gangbarer Weg könnte sein, die Zertifikate sukzessive zu sperren. Wird nur das Zertifikat für einen Server, einen Dienst gesperrt, sind die Nebenwirkungen meistens abschätzbar und es kann im Zweifelsfall wieder ein neues Zertifikat ausgestellt werden. Die CA lebt ja zu dem Zeitpunkt noch. Auto-Rollout muss deaktiviert werden. Ist keine CA vorhanden, läuft die Anforderung ins Leere und provoziert Fehler. Wenn bei Punkt 1, Bestandsaufnahme und ggf. Anpassung nichts vergessen wurde ... Ein Plan-B sollte immer existieren ;) Je nach Größe der Umgebung, würde ich für das Thema mehrere Wochen bis Monate ansetzen. Eine kleine Testumgebung kann auch nicht schaden. Zitieren Link zu diesem Kommentar
Adm -MCSE 0 Geschrieben 10. November 2014 Autor Melden Teilen Geschrieben 10. November 2014 (bearbeitet) Das hängt vom Dienst ab. Hier ist eine wirklich gründliche Recherche notwendig. Eventuell gibt es Richtlinien (GPO oder Orga-Richtlinien), die ein bestimmtes Verhalten einfordern oder erzwingen. Diese müssten dann entsprechend angepasst werden Im Zweifelsfall alle Empfänger (Benutzer, Computer, DC, Switches, Router usw.) sämtlicher jemals von der CA ausgestelleten Zertifikate prüfen. Ein gangbarer Weg könnte sein, die Zertifikate sukzessive zu sperren. Wird nur das Zertifikat für einen Server, einen Dienst gesperrt, sind die Nebenwirkungen meistens abschätzbar und es kann im Zweifelsfall wieder ein neues Zertifikat ausgestellt werden. Die CA lebt ja zu dem Zeitpunkt noch. Auto-Rollout muss deaktiviert werden. Ist keine CA vorhanden, läuft die Anforderung ins Leere und provoziert Fehler. Wenn bei Punkt 1, Bestandsaufnahme und ggf. Anpassung nichts vergessen wurde ... Ein Plan-B sollte immer existieren ;) Je nach Größe der Umgebung, würde ich für das Thema mehrere Wochen bis Monate ansetzen. Eine kleine Testumgebung kann auch nicht schaden. Danke super Post, wir haben garkein Programm was die CA richtig benutzt. Das einzigste sind die DCs und Server die sich iHre Serverauth. und Domänenauth. und sowie Kerberosauth. auf SSL gesetzt haben. In GPOs gibt es keine zuweissung, ausser der Auto- Rollout! Also simpel gesagt nur Auto- Rollouts! Die Clients sind zu vernachlässigen dies Aussfääle können in Kauf genommen werden. bearbeitet 10. November 2014 von Adm -MCSE Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 10. November 2014 Melden Teilen Geschrieben 10. November 2014 Wenn Ihr nicht aktiv etwas einsetzt, das Zertifikate "produktiv" verwendet (z.B. IIS oder WSUS oder eine externe Anwendung, die zwingend LDAPS braucht), dann ist das alles recht streßfrei - Windows "intern" braucht keine CA-ausgestellten Zertifikate. Für gar nix - die für RDP (und HyperV etc.) sind dann halt selbstsignierte. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 10. November 2014 Melden Teilen Geschrieben 10. November 2014 Danke super Post, wir haben garkein Programm was die CA richtig benutzt. Das einzigste sind die DCs und Server die sich iHre Serverauth. und Domänenauth. und sowie Kerberosauth. auf SSL gesetzt haben. Wenn nichts per Richtlinie erzwungen wird, sind SSL/LDAPs nur optional. Sie werden genutzt, wenn möglich. Ist kein geeignetes Zertifikat vorhanden, wird wieder unverschlüsselt kommuniziert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.