SBK 3 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 (bearbeitet) Hallo Leute, Ich bin dran einen SBS 2011 zu Server 2019 (VM) zu migrieren. Exchange 2010 zu Office365 ist bereits abgeschlossen. Zwei neue DC als VM sind ebenfalls bereits eingebunden. Nun wollte ich die Active Directory Zertifizierungsstelle beim SBS2011 sichern und dann wiederherstellen. Siehe auch Anleitung: https://argonsys.com/microsoft-cloud/library/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2008-r2-to-2019/ Die Datenbank konnte ich mit Certutil.exe –backupdb <BackupDirectory> problemlos sichern. Beim privaten Key welche ich mit Certutil.exe –backupkey <BackupDirectory> zu sichern versuche erhalte ich immer nachfolgende Fehlermeldung: CertUtil: -backupKey-Befehl ist fehlgeschlagen: 0x80092004 (-2146885628) CertUtil: Das Objekt oder die Eigenschaft wurde nicht gefunden. Ich habe nach der Fehlermeldung gegoogelt aber nicht wirklich viel sinnvolles gefunden. Hat jemand einen Tipp? Gruss SBK bearbeitet 27. Februar 2020 von SBK Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 Mal wie in deiner Anleitung per GUI versucht? Zitieren Link zu diesem Kommentar
SBK 3 Geschrieben 27. Februar 2020 Autor Melden Teilen Geschrieben 27. Februar 2020 (bearbeitet) Auch per GUI kam die gleiche Meldung. Danke NorbertFe. Ich habe nun das Zerifizierungsstellenzertifikat erneuert und hierbei ein neues öffentlich-privates Schlüsselpaar erstellt. Anschliessend konnte ich den privaten Key exportieren. bearbeitet 27. Februar 2020 von SBK Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 Wars abgelaufen? ;) Bist du sicher, dass du diese CA überhaupt noch benötigst? Zitieren Link zu diesem Kommentar
SBK 3 Geschrieben 27. Februar 2020 Autor Melden Teilen Geschrieben 27. Februar 2020 (bearbeitet) Nein, eigentlich bin ich mir gar nicht sicher ob ich diese CA überhaupt benötige. Die Dateien auf dem Fileserver wurden nie in irgendeinerweise verschlüsselt, braucht es denn nicht zwingend eine Zertifizierungsstelle im AD? In den verschiedenen Migrationsleitfaden steht jeweils die CA zu sichern, deinstallieren und dann auf dem neuen wiederherzustellen. Oder anders gefragt wie kann ich feststellen ob ich die CA noch brauche? Ich war eigentlich bei Punkt 7 der Migration angelangt. Siehe nachfolgender Ablaufplan. Auch habe ich gelesen dass die CA nicht auf dem DC installiert werden sollte. Stimmt das? Ablaufplan der Migration: 1. Virtuelle Maschinen erstellen und installieren 2x Windows Server 2019 2. SBS Sichern / Backup erstellen 3. Virtuelle Maschinen der SBS Domäne hinzufügen und beide neue Server zum DC heraufstufen. Einen der beiden als Globalen Katalog einrichten. 4. Migration von Exchange 2010 zu Office365. 5. DNS und DHCP vom SBS auf den neuen DC migrieren / verschieben 6. Dateifreigaben auf den neuen DC verschieben / GPO's und Loginskript anpassen 7. Zertifikatdienste sichern und auf den neuen DC Server migrieren 8. FSMO Rollen auf den neuen DC 2019 Server verschieben (21 Tage Restzeit beachten) 9. SBS herabstufen 10. SBS aus der Domäne nehmen. bearbeitet 27. Februar 2020 von SBK Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 (bearbeitet) Der SBS hat damals per default die Root-CA mit installiert - man nimmt an, wegen Exchange und WSUS Wenn du eh zu O365 gehst, wir die interne CA wohl eher nicht gebraucht. Ggf. musst du einen Exchange zur Verwaltung lokal haben, gibt hier einen relativ aktuellen Thread dazu. Ansonsten deinstallieren und gut - kann man jederzeit hochziehen. bearbeitet 27. Februar 2020 von Nobbyaushb Zitieren Link zu diesem Kommentar
SBK 3 Geschrieben 27. Februar 2020 Autor Melden Teilen Geschrieben 27. Februar 2020 (bearbeitet) Danke Nobbyaushb. Ich habe bereits einen Exchange 2016 für die lokale Verwaltung installiert (hatte ich im Plan nicht explizit erwähnt) und auf dem Exchange2016 verwende ich ein gekauftes Zertifikat von psw.net (das war auch unter dem Exchange 2010 installiert). Insofern habe ich die CA auch nie verwendet, wusste aber nicht ob das Active Directory die CA in irgendeiner Form voraussetzt oder verwendet. Irgendwie hatte ich in Erinnerung gelesen zu haben, das Microsoft inskünftig LDAP nicht mehr unterstützt und nur noch LDAPS verwendet und man dafür ein Zertifikat benötigt. Aber vielleicht verwechsle ich da etwas. Dann riskiere ich im Active Directory nichts, wenn ich keinen neuen Zertifizierungsserver installiere und den SBS2011 deinstalliere? Bezüglich CA bin ich nicht wirklich sattelfest... bearbeitet 27. Februar 2020 von SBK Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 LDAPS brauchts du nur ein Zertifikat, wenn du z.B. MFP oder ähnliches verwendest. @NorbertFe hat da neulich erst in einem Thread geantwortet... Zitieren Link zu diesem Kommentar
SBK 3 Geschrieben 27. Februar 2020 Autor Melden Teilen Geschrieben 27. Februar 2020 (bearbeitet) Habe mich bezüglich LDAPS gleich eingelesen, das stellt uns vor keine Probleme, wir haben keine "alte Software" welche noch LDAP verwendet. Ich hatte das missverstanden und dachte das LDAPS betreffe die Kommunikation zwischen Server<->Windows 10 Client. Also ich habe ja nun die CA Konfiguration gesichert und wenn es irgendwo ein Problem geben sollte, kann ich dann immer noch die CA installieren und die Konfiguration wiederherstellen. Eine letzte Frage bleibt, wieso soll man die CA nicht auf dem neuen DC installieren? Aus Performancegründen spielt das ja kaum eine Rolle und der SBS hatte ja alle Rollen, welche bei den "normalen" Serverversionen als No-Go gedeutet wurde (Exchange auf DC, Sharepoint auf DC und CA auf DC). bearbeitet 27. Februar 2020 von SBK Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 vor einer Stunde schrieb SBK: wieso soll man die CA nicht auf dem neuen DC installieren? Weil das eine und das andere nicht kombiniert werden sollten. Du siehst ja schon rein technisch, dass du einen DC nicht hoch oder runter stufen kannst, wenn die CA drauf ist. Das verhindert also ggf. diverse Migrationsszenarien. Ansonsten ist eine CA per Definition etwas vertrauenswürdiges und sollte eben nicht auf einem System laufen, auf das quasi jeder im AD grundsätzlich zugreifen kann. Und ja der SBS war die eierlegende Wollmilchsau bei MS. Dass das keine gute Idee war, hat man später gemerkt. Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 Moin, ob du die CA noch brauchst, kannst du recht einfach feststellen, indem du dir ansiehst, ob sie Zertifikate ausgestellt hat, die noch gültig sind. Wenn ja, schaust du dir die Systeme an, auf denen diese verwendet werden. Solltest du feststellen, dass du noch eine CA brauchst, musst du die alte aber auch nicht migrieren. In den meisten Fällen ist dann der bessere Weg, eine neue PKI ordentlich (!) aufzusetzen und die verwendeten Zertifikate gegen neue von der neuen CA auszutauschen. Oft wird nur migriert, weil man es kann, und dann hat man eine unnötig schlecht eingerichtete PKI. Gruß, Nils Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 Ich bin mir gerade nicht sicher, ob man aktuell überhaupt noch eine CA auf einem DC als Rolle hinzufügen kann - ich erinnere mich dunkel, das es bei 2012R2 / 2016 eh nicht mehr geht. Ansonsten siehe Kommentar von Nils Zitieren Link zu diesem Kommentar
SBK 3 Geschrieben 27. Februar 2020 Autor Melden Teilen Geschrieben 27. Februar 2020 Danke NorbertFe, NilsK und Nobbyaushb für eure Antworten. Die SBS CA hat zwei Zertifikate die noch Gültigkeit haben, das sind aber Zertifikate welche der SBS als RootCA automatisch erstellt und ich jeweils erneuert habe. Ich wollte einfach auf Nummer sicher gehen, dass ich dann kein Problem im AD habe, falls die CA nicht mehr vorhanden ist. Aber die einzigen Zertifikate welche ich aktiv den Dienste zugewiesen hatte (Bsp. Exchange) hatte ich sowieso über psw.net gekauft. Noch ein Hinweis bezüglich Rolle, ich habe auf dem Server 2019 welcher als DC fungiert, die CA Rolle problemlos hinzufügen können, diese aber nun gleich wieder entfernt.... Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 vor 28 Minuten schrieb SBK: Noch ein Hinweis bezüglich Rolle, ich habe auf dem Server 2019 welcher als DC fungiert, die CA Rolle problemlos hinzufügen können, diese aber nun gleich wieder entfernt.... Moin, OK - danke für den Hinweis. Das man es trotzdem auf einem anderen Server installieren sollte, muss nicht extra erwähnt werden... Wie gesagt, ich war der Meinung, das es gar nicht geht. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 27. Februar 2020 Melden Teilen Geschrieben 27. Februar 2020 vor 4 Stunden schrieb Nobbyaushb: noch eine CA auf einem DC als Rolle hinzufügen kann Ja kann man. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.