wise 0 Geschrieben 30. Mai 2022 Melden Teilen Geschrieben 30. Mai 2022 (bearbeitet) Hallo, ich wollte die CA von einem Windows Server 2012 R2 auf einen Windows Server 2019 umziehen. Nachdem auf dem Windows Server 2019 die AD CA Dienste installiert sind (über install-WindowsFeature AD-Certificate), hatte ich angenommen, dass sich das Snap-In für Zertifizierungsstellen auswählen lassen würde. Leider ist dem nicht so. In %windir%/System32 finde ich auch keine certsrv.msc. Was fehlt denn dafür noch? bearbeitet 30. Mai 2022 von wise Schreibfehler korrigiert Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 30. Mai 2022 Melden Teilen Geschrieben 30. Mai 2022 Sind die Managementtools mit installiert worden? Zitieren Link zu diesem Kommentar
wise 0 Geschrieben 30. Mai 2022 Autor Melden Teilen Geschrieben 30. Mai 2022 (bearbeitet) Zitat Sind die Managementtools mit installiert worden? offensichtlich nicht. Aber weißt du, wie ich die z.B. mit install-windowsfeature noch installieren kann? Die meisten Management Tools fürs AD sind ja da (siehe Screenshot aus Post 1) bearbeitet 30. Mai 2022 von wise Ergänzung Zitieren Link zu diesem Kommentar
NilsK 2.939 Geschrieben 30. Mai 2022 Melden Teilen Geschrieben 30. Mai 2022 (bearbeitet) Moin, und warum machst du das nicht einfach übers GUI? Die CA-Installation ist ja nichts, was man fürs Massen-Rollout automatisiert. Ach, und: Wenn die neue CA sowieso noch nicht läuft, dann installier sie gleich auf einer separaten VM, nicht auf einem DC. Gruß, Nils bearbeitet 30. Mai 2022 von NilsK 2 Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 30. Mai 2022 Melden Teilen Geschrieben 30. Mai 2022 Install-WindowsFeature kennt den Parameter "-IncludeManagementTools" Zitieren Link zu diesem Kommentar
wise 0 Geschrieben 30. Mai 2022 Autor Melden Teilen Geschrieben 30. Mai 2022 Zitat und warum machst du das nicht einfach übers GUI? Weil ichs in der GUI nicht gefunden hab Aber ich hab die Zertifikatsdienste jetzt noch mal deinstalliert und über die GUI installiert (die vorherige Installtion hatte ich mit besagtem install-windowsfeature ad-certificate vorgenommen). Und stimmt... da gibts dann den extra Haken zum installieren der Management Tools, den ich jetzt auch aktiviert hab. und siehe da, jetzt sind sie auch da Zitat Ach, und: Wenn die neue CA sowieso noch nicht läuft, dann installier sie gleich auf einer separaten VM, nicht auf einem DC Ist mir bewusst, dass man das so machen sollte. In diesem Fall werde ich es aber auf dem DC belassen, weil ich aus ressourcengründen dafür keine dedizierte VM nutzen wollte. Wobei meine Frage an der Stelle noch wäre: Gilt diese Empfehlung vor allem aus Gründen ... der Sicherheit des DCs? oder mehr der Sicherheit der CA? oder überwiegend der Performance einer der beiden Dienste? Oder einfach nur aus Prinzip? vor 13 Minuten schrieb Dukel: Install-WindowsFeature kennt den Parameter "-IncludeManagementTools" Wenn ich das bei der Installation vergessen hab, könnte ich das nachträglich damit einfach noch mal drüber bügeln? Jetzt frag ich nur noch aus Interesse, denn mein Problem hab ich mit der Neuinstallation über die GUI und dem entsprechenden Haken (also genau diese Option) ja bereits behoben... Zitieren Link zu diesem Kommentar
NilsK 2.939 Geschrieben 30. Mai 2022 Melden Teilen Geschrieben 30. Mai 2022 Moin, Performance ist in aller Regel weder für einen DC noch für eine CA ein Thema. Es geht um Sicherheit für beide - weder auf einen DC noch auf eine CA gehört ein anderer Dienst. Beide sind angreifbar, das will man bei so kritischen Funktionen nicht noch kombinieren. Und einmal gemeinsam installiert, kann man weder das eine noch das andere hinterher entfernen. Eine CA lebt in der Regel deutlich länger als ein DC, da will man Abhängigkeiten tunlichst vermeiden. Weitere prinzipielle Erwägungen zu Design und Sicherheit einer CA lasse ich hier mal aus. Leider sieht man in der freien Wildbahn fast nur schlecht gemachte PKIs. Gruß, Nils Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 30. Mai 2022 Melden Teilen Geschrieben 30. Mai 2022 Du kannst die entsprechenden Features (RSAT-*) genau wie die Rolle selber mit dem selben Befehl installieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.