Saegenjupp 0 Geschrieben 18. Januar 2018 Melden Teilen Geschrieben 18. Januar 2018 Hallo zusammen, ich habe einen alten DC (Windows Server 2003) auf dem noch ein Zertifikatdienst installiert ist. Beim entfernen der DC Rolle wird gemeldet das ich diesen Dienst erst deinstallieren muss. Soweit kein Problem, ich weiß nur nicht ob dies auswirkungen auf das Netzwerk haben kann. den DC habe ich jetzt mal zwei Monate aus gelassen um zu schauen ob es irgendwelche Auswirkungen hat, bevor ich ihn lösche. Ich weiß nur nicht ob dieser Zertifikatdienst evtl. auf andere DC´s repliziert wird und noch aktiv ist. Wenn ich jetzt den alten DC einschalte und die Rolle für die Zertifikate deinstalliere und dadurch auch die eventuelle Replizierungen lösche, spüre ich ja dann wirklich erst die Auswirkungen. Das längere abschalten des alten DC´s hätte dann somit nichts gebracht. Liege ich da richtig mit meinen überlegungen ? was wird wohl passieren ? Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 18. Januar 2018 Melden Teilen Geschrieben 18. Januar 2018 SChau doch einfach nach, welche Zertifikate die CA ausgestellt hat, dann kann man immer noch entscheiden. 2 Monate ausschalten und hoffen is übrigens keine besonders sinnvolle Idee. ;) Zitieren Link zu diesem Kommentar
Nobbyaushb 1.484 Geschrieben 18. Januar 2018 Melden Teilen Geschrieben 18. Januar 2018 SChau doch einfach nach, welche Zertifikate die CA ausgestellt hat, dann kann man immer noch entscheiden. 2 Monate ausschalten und hoffen is übrigens keine besonders sinnvolle Idee. ;) Ganz besonders bei einem DC, da wird schnell ein Tumbstone draus. Mal ehrlich - wer jetzt noch einen 2003er im Netz hat.. - egal, ich schreibe das lieber nicht. :confused: Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 18. Januar 2018 Melden Teilen Geschrieben 18. Januar 2018 Moin, Zertifikate werden nicht repliziert. Der CA-Dienst hat mit dem AD nichts zu tun, auch wenn seit Windows Server 2008 die Komponente dafür so heißt. Nur die CA auf dem betreffenden Server kann also Zertifikate ausgestellt haben, andere Server sind nicht beteiligt. Welche Zertifikate ausgestellt wurden, siehst du in der zugehörigen Konsole. In den meisten vergleichbaren Situationen sind das nur einzelne Zertifikate von Belang (meist interne SSL-Zertifikate), die man einfach durch neue Zertifikate von einer neuen CA ersetzen kann. Anhand der Ausstellungsdaten und der Empfänger lässt sich das meist schnell einschätzen. Eine künftige CA sollte man dann ordentlich konzipieren und einrichten. Das ist keine Doktorarbeit, aber erfordert schon ein wenig Konzentration. Gruß, Nils Zitieren Link zu diesem Kommentar
Saegenjupp 0 Geschrieben 19. Januar 2018 Autor Melden Teilen Geschrieben 19. Januar 2018 Moin, Zertifikate werden nicht repliziert. Danke Nils ! Dein Beitrag sagt was aus und hilft auch weiter... Ich habe mich in das CA Thema mal eingelesen und habe die Daten auf einen 2012R2 DC migriert. War einfacher als erwartet ! Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 19. Januar 2018 Melden Teilen Geschrieben 19. Januar 2018 Moin, schön - aber nicht unbedingt sinnvoll. Eine CA gehört nicht auf einen Domänencontroller. Und da eine CA eine Sicherheitskomponente ist, gehören Konzept und Planung dazu. Meine Empfehlung wäre also, das derzeitige Konstrukt so bald wie möglich durch ein ordentlich geplantes neues zu ersetzen. Aber gut, dass das akute Problem gelöst ist und danke für die Rückmeldung. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 19. Januar 2018 Melden Teilen Geschrieben 19. Januar 2018 Hi, du müsstest dann ja jetzt wissen, wer / was bei euch alles Zertifikate ausgestellt bekommen hat (und ob diese überhaupt gebraucht werden). Wenn das nur eine handvoll Applikationen oder Webserver sind, würde ich mir überlegen auf die CA zu verzichten und die Zertifikate bei einer öffentlichen Zertifizierungsstelle zu kaufen. Gruß Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.