Blase 15 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 Hallo Forum, laut dieser Anleitung: https://technet.microsoft.com/de-de/library/9aa53be9-0497-49fa-9ff6-09b72cb69444(v=ws.10)#BKMK_RmvCA "sollte" der Rechnername des Zielservers der neuen CA identisch mit dem Namen des Quellservers der alten CA sein. Darüber hinaus muss die alte CA vom Quellserver sauber entfernt werden, BEVOR die CA auf dem neuen Server eingerichtet wird... Ist das wirklich "best practice"?! Denn es heißt ja im Klartext, dass man die alte CA sichert, die CA dann komplett vom System runter nimmt und das System letztlich aus der Domäne entfernt. Dann bringt man den neuen Server mit identischen Namen in die Domäne, installiert die CA und sichert zurück. Klar, kann man so machen, aber das bedeutet ja auch, dass man "eine Zeit lang" komplett OHNE aktiver CA in der Domäne unterwegs ist. Hat das nicht Folgen für "den laufenden Betrieb"?! Mal ganz davon ab, dass es im Wiederherstellungsprozess ja auch Probleme geben könnte und man möglicherweise gezwungen wird, zurück auf die alte CA zu gehen... Ich habe hier neben dieser "Anleitung" so einige andere gelesen und praktisch keine davon geht auf diesen Umstand ein. Mal salopp formuliert - sind die jetzt alle b***d - oder ist das nur "übertriebene" Vorsicht seitens des TechNet Artikels? In den "sonstigen" Anleitung wird i.d.R. "einfach" auf einem neuen Server die CA installiert und dann das vorherige Backup zurück gespielt. In der Registry (im relevanten zuvor gesicherten Eintrag) gibt es einen Punkt, wo der FQDN des alten Quellservers drin steht - dieser wird, je nach Anleitung, dann mal händisch überschrieben... Wie handhabt ihr das? Oder gibt es gar Fälle (im "kleinen" KMU Bereich), wo ihr euch entscheidet, die CA einfach neu zu machen? Würde mich über eure Meinungen hierzu freuen. Gruß Björn Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 Moin, Ich habe hier neben dieser "Anleitung" so einige andere gelesen und praktisch keine davon geht auf diesen Umstand ein. Mal salopp formuliert - sind die jetzt alle b***d - oder ist das nur "übertriebene" Vorsicht seitens des TechNet Artikels? Der im Technet beschriebene Weg ist eine Failsafe Migration. Je nach Aufbau der PKI können auch andere Wege funktionieren. In den "sonstigen" Anleitung wird i.d.R. "einfach" auf einem neuen Server die CA installiert und dann das vorherige Backup zurück gespielt. In der Registry (im relevanten zuvor gesicherten Eintrag) gibt es einen Punkt, wo der FQDN des alten Quellservers drin steht - dieser wird, je nach Anleitung, dann mal händisch überschrieben... Ohne weitere Quellenangabe der "sonstigen Anleitungen" und Kenntnisse der genauen Konfiguration eurer PKI kann der Punkt nicht bewertet werden. Hat das nicht Folgen für "den laufenden Betrieb"?! Mal ganz davon ab, dass es im Wiederherstellungsprozess ja auch Probleme geben könnte und man möglicherweise gezwungen wird, zurück auf die alte CA zu gehen... Wie lange ist die zu erwartende Downtime? Bei guter Vorbereitung ist die Migration in maximal 30 Minuten erledigt. Bestehen höhere Ansprüche an die Verfügbarkeit, sollten ohnehin mehrere Online CAs im Einsatz sein. Für das Rollback gibt es das Backup der alten CA. Regelmäßiges Testen von Backup und Restore hat noch nie geschadet ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.