"Stilliegen" eines 2012r2 Essentials-Server

[Horstenberg 13]

Hallo ans Forum,

 

in unserem System sind die Aufgaben, die (ganz früher) von einem SBS und dann von einem Windows 2012r2-Essentials Server übernommen wurden, Schritt für Schritt auf andere virtuelle Maschinen verlegt worden. Ein SBS läuft nicht mehr, aber der 2012r2-Essentials-Server. Viele Funktionen sind bereits auf neue Server "umgezogen", v.a.

 

- ein weiterer Domänen-Controller (Server 2016), auf den die FSMO-Funktionen übertragen werden sollen), mit ADDS und DNS. Der Zertifikatsserver (früher auf dem Essentials Server) ist auf diesen bereits übertragen, Zeitserver kann er auch übernehmen.

-  ein Fileserver (der auch als Print Server fungiert), Alle Folder Redirections des Essentials-Server sind dorthin umgezogen (habe die GPOs angepasst). 

- ein Server für AD Federation Services,

- ein Server mit Web Application Proxy, VPN, Remote Desktop Services und Network Policy & Acvcess Services,

- ein Exchange Server (2013 auf 2012r2),

- ein weiterer DC soll installiert werden, sobald der Essentials Server vom Netz ist.

 

DHCP mach die Firewall. Azure, Office Online usw. nutzen wir nicht. 

 

Meine Frage: Kann ich es jetzt wagen, die FSMO-Rollen vom Essentials-Server weg zu übertragen? Oder habe ich noch etwas übersehen?

 

Danke für Hilfe!

 

[Dukel 457]

Der Zertifikatsserver sollte nicht auf einem DC laufen.

Wieso erst den DC installieren, wenn der Essentials weg ist?

 

Sollte alles sein, du kannst aber einmal den Essentials für ne Woche ausschalten und wenn es dann keine Probleme gibt kannst du dir relativ sicher sein, dass es alles war.

[Horstenberg 13]

vor 1 Minute schrieb Dukel:

Der Zertifikatsserver sollte nicht auf einem DC laufen.

Wieso erst den DC installieren, wenn der Essentials weg ist?

 

Sollte alles sein, du kannst aber einmal den Essentials für ne Woche ausschalten und wenn es dann keine Probleme gibt kannst du dir relativ sicher sein, dass es alles war.

Stimmt, den weiteren DC kann ich auch direkt installieren.

 

Tatsächlich habe ich öfter gelesen, dass der Zertifikatsserver nicht auf einem DC laufen soll. Bei kleineren Netzwerken (<20 User) halte ich das aber für unproblematisch.

 

[NorbertFe 2.089]

Brauchst du die ca überhaupt in den kleineren Netzwerken?

Abgesehen davon kannst du einen Server mit ca nachträglich nicht zum dc hochstufen bzw. Auch nicht runter.

[Horstenberg 13]

vor 1 Minute schrieb NorbertFe:

Brauchst du die ca überhaupt in den kleineren Netzwerken?

Nicht wirklich. Für den Exchange, RDP und Work Folders habe ich ohnehin ein externes Zertifikat gekauft. Ich habe die CA nur übertragen, weil es sie auf dem Essentials-Server gab und ich nicht weiß, ob sie nicht doch irgend eine Aufgabe hat, so dass ein Wegfall schlecht wäre. Eine eigene Maschine wollte ich für diese dann aber nicht verwenden, sondern habe sie auf den DC geschoben.

[NorbertFe 2.089]

Toller Plan ;) meine Ergänzung hast du gelesen?

[Horstenberg 13]

vor 2 Minuten schrieb NorbertFe:

Toller Plan ;) meine Ergänzung hast du gelesen?

Ja, die Ergänzung habe ich jetzt gelesen, danke für den Hinweis. Du würdest Die ca einfach löschen? 

[NilsK 2.968]

Moin,

 

eine CA ist kein Mysterium. Die Frage, ob man sie noch braucht, kann man mit einem Blick auf die ausgestellten Zertifikate beantworten. Sind welche darunter ,die noch benötigt werden und die man nicht mit geringem Aufwand durch andere austauschen kann (selbstsigniert, Let's Encyrpt, neue CA ...)? Dann wären das Gründe, die CA weiter zu betreiben bzw. auf einen neuen Server zu migrieren.

 

Sind hingegen alle Zertifikate ersetzbar, dann sollte man das tun und die CA dann außer Betrieb nehmen. Dabei ist die Reihenfolge wichtig: Erst die Zertifikate ersetzen (sofern es denn noch welche gibt, die von der CA ausgestellt wurden und gültig sind) und dann die CA abschalten. Sonst könnten Clients u.U. die Sperrliste nicht abfragen und die alten Zertifikate würden nicht mehr funktionieren.

 

Gruß, Nils

 

[NorbertFe 2.089]

vor 1 Stunde schrieb Horstenberg:

Du würdest Die ca einfach löschen?

Kommt darauf an. Siehe nils‘ Antwort.

[Horstenberg 13]

vor 2 Stunden schrieb NilsK:

Moin,

 

eine CA ist kein Mysterium. Die Frage, ob man sie noch braucht, kann man mit einem Blick auf die ausgestellten Zertifikate beantworten. Sind welche darunter ,die noch benötigt werden und die man nicht mit geringem Aufwand durch andere austauschen kann (selbstsigniert, Let's Encyrpt, neue CA ...)? Dann wären das Gründe, die CA weiter zu betreiben bzw. auf einen neuen Server zu migrieren.

 

Sind hingegen alle Zertifikate ersetzbar, dann sollte man das tun und die CA dann außer Betrieb nehmen. Dabei ist die Reihenfolge wichtig: Erst die Zertifikate ersetzen (sofern es denn noch welche gibt, die von der CA ausgestellt wurden und gültig sind) und dann die CA abschalten. Sonst könnten Clients u.U. die Sperrliste nicht abfragen und die alten Zertifikate würden nicht mehr funktionieren.

 

Gruß, Nils

 

Vielen Dank für Eure sehr hilfreichen Antworten. Das Bestehen der CA lässt sich eigentlich nur "historisch" erklären. Sowohl SBS als auch Essentials-Server installieren diese Rolle ja einfach ungefragt mit. Als ich noch keine gekauften Zertifikate hatte, brauchte ich die CA auch für Exchange und RDP. 

 

Nach "Umzug" der CA vom Essentials-Server auf den neuen DC findet sich unter "Ausgestellte Zertifikate" nur noch ein einziges Zertifikat, das für den DC selbst ausgestellt wurde (Screenshot siehe Anlage). Für mich spricht jetzt eigentlich alles dafür, dass ich keine eigene Zertifizierungsstelle mehr benötige.