WolverineJR 10 Geschrieben 5. Juli 2006 Melden Teilen Geschrieben 5. Juli 2006 Hallo Leute! Habe heute mir mal die Zeit genommen, einige Dokumente bezüglich ADS-Pflege zu wälzen. U.a. wird dort dringend empfohlen, den privaten Schlüssel und das Zertifikat des Domänen-Administrators zu exportieren und sicher extern abzulegen. Nun haben wir hier insg. 6 ADS-Domänen. Bei 3 von diesen konnte ich den privaten Schlüssel und das Zertifikat jeweils in eine Datei exportieren. Bei den restlichen dreien konnte ich den privaten Schlüssel nicht exportieren. Die Meldung besagt, dass der private Schlüssel nicht gefunden werden kann. Nun meine Frage: Wie erzeuge bzw. finde ich diesen Schlüssel und binde ihn an? Danke! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. Juli 2006 Melden Teilen Geschrieben 5. Juli 2006 Das zertifikat mit private key kann man auf dem ersten DC der Domäne (sollte natürlich nicht geplättet worden sein) über die MMC Zertifikate exportieren. Hast du das so in den drei Domänen gemacht? grizzly999 Zitieren Link zu diesem Kommentar
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Teilen Geschrieben 5. Juli 2006 ersten DC der Domäne (sollte natürlich nicht geplättet worden sein) grizzly999 Tja... dann war es das wohl... durch eine Migration unserer DC´s auf VMWare-Sessions von nem 3/4-Jahr existieren von den erwähnten drei Domänen die ersten DC der jeweilige Domäne nicht mehr. Gibt es keine Möglichkeit mehr, in diesem Fall den privaten Schlüssel wieder zu exportieren? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. Juli 2006 Melden Teilen Geschrieben 5. Juli 2006 Nein, denn den gibt es nicht mehr...... (außer eine alte Datensicherung vielleicht... auf einem vom Netz separierten Server ....) grizzly999 Zitieren Link zu diesem Kommentar
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Teilen Geschrieben 5. Juli 2006 Nein, denn den gibt es nicht mehr...... (außer eine alte Datensicherung vielleicht... auf einem vom Netz separierten Server ....) grizzly999 Das wäre noch ne Möglichkeit. Machen ja Jahressicherungen, welche, was weiß ich wieviele Jahre, aufgehoben werden müssen. Dort könnte ich mal nachsehen, ob noch ne Sicherung vorhanden ist. Befindet sich das Zertifikat in der SYSVOL-Sicherung des Servers? Oder muss ich da ein komplettes Image nehmen? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. Juli 2006 Melden Teilen Geschrieben 5. Juli 2006 Du brauchst den Server komplett wieder hergestellt. Dann wie oben beschrieben .... grizzly999 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. Juli 2006 Melden Teilen Geschrieben 5. Juli 2006 Weitere (unausgesponnene) Idee: Nur das Profil des Domain-Admin zurücksichern in temp-Ordner auf einem Testrechner oder anderem Rechner. Default Profile wegkopieren. Altes Domain Admin Profile da rein kopieren Neuen Benutzeranlegen mit dem alten Admin Kennwort Benutzer anmelden -> Er bekommt das Profil Evtl. Jetzt Zugriff auf das Zertifikat ?? grizzly999 Zitieren Link zu diesem Kommentar
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Teilen Geschrieben 5. Juli 2006 Werde ich mal ausprobieren (also das komplette Zurücksichern)...jetzt muss ich nur bis morgen warten, bis unser Backup-Admin wieder da ist. Macht das was, wenn der DC damals noch W2k3 OHNE SP1 gewesen ist? Aktuell haben alle unsere DC´s SP1 installiert. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. Juli 2006 Melden Teilen Geschrieben 5. Juli 2006 Nein, das macht nichts. Das einzige "problem" bei der Komplett Rücksicherung ist, es muss hardwaremäßig die selber Maschine sein, wegen Plattencontroller-Treibern. grizzly999 Zitieren Link zu diesem Kommentar
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Teilen Geschrieben 5. Juli 2006 Nein, das macht nichts. Das einzige "problem" bei der Komplett Rücksicherung ist, es muss hardwaremäßig die selber Maschine sein, wegen Plattencontroller-Treibern. Das wird in der Tat ein Problem. Die Server, von denen das Image damals gemacht wurde, haben wir nun als VMWare-GSX-Server für die DC´s im Einsatz. Und ein vergleichbares Modell haben wir z.Z. nicht verfügbar. Dann wäre eventuell dein zweiter Vorschlag ein Versuch wert. Muss ich also einen neue Maschine aufsetzen (am besten eine VMWare-Session) und auf die das Konto des Domänen-Admins der Sicherung draufkopieren. Muss das dann ein DC sein? Oder kann ich das auch mit einem ganz normalen W2k3-Standard-Server machen? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. Juli 2006 Melden Teilen Geschrieben 5. Juli 2006 . Muss ich also einen neue Maschine aufsetzen (am besten eine VMWare-Session) und auf die das Konto des Domänen-Admins der Sicherung draufkopieren. Muss das dann ein DC sein? Oder kann ich das auch mit einem ganz normalen W2k3-Standard-Server machen? Da könntest du irgendeinen vorhandenen Rechner hernehmen, könnte auch eine XP WS sein. Du brauchst halt das komplette Profilverzeichnis des Admin auf dem Band. grizzly999 Zitieren Link zu diesem Kommentar
WolverineJR 10 Geschrieben 5. Juli 2006 Autor Melden Teilen Geschrieben 5. Juli 2006 Dann probiere ich das Morgen mal. Bis dahin! Zitieren Link zu diesem Kommentar
WolverineJR 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 Tja... Backup existiert nicht mehr. So ein Sch... Und jetzt??? Gibt es wirklich keine andere Möglichkeit?? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.