agorts Posted March 23, 2011 Report Share Posted March 23, 2011 Καλησπέρα, Έχω εγκαταστήσει και χρησιμοποιώ το CA σε ένα server 2003 R2 STD... Επειδή θέλω να τον κάνω format, πως μπορώ να μεταφέρω ότι χρειάζεται σε ένα νέο CA? Πρέπει να είναι υποχρεωτικά 2003 R2 STD (ο νέος server)? Ευχαριστώ Link to comment Share on other sites More sharing options...
agorts Posted March 23, 2011 Author Report Share Posted March 23, 2011 Έχω βγάλει το server που έχει το CA εκτός δικτύου (είναι αναμένος, αλλά όχι στυο δίκτυο) και τώρα σε ένα DC λαμβάνω το εξής event: "Error, Autoenrollment, 16, Automatic certificate enrollment for local system failed to renew one Domain Controller certificate (0x800706ba). The RPC server is unavailable." Είναι σοβαρό? Θα έχει πρόβλημα ο DC? ή δεν πειράζει ιδιαίτερα, οπότε αφήνω το CA server εκτός δικτύου... Link to comment Share on other sites More sharing options...
agorts Posted March 24, 2011 Author Report Share Posted March 24, 2011 Κανείς? Link to comment Share on other sites More sharing options...
merlinios Posted March 24, 2011 Report Share Posted March 24, 2011 Καλησπέρα, Έχω εγκαταστήσει και χρησιμοποιώ το CA σε ένα server 2003 R2 STD... Επειδή θέλω να τον κάνω format, πως μπορώ να μεταφέρω ότι χρειάζεται σε ένα νέο CA? Πρέπει να είναι υποχρεωτικά 2003 R2 STD (ο νέος server)? Ευχαριστώ Δεν είναι υποχρεωτικό να είναι 2003 o καινούργιος server .. Δες εδώ ένα ωραίο άρθρο με τα βήματα που πρέπει να γίνουν για να είναι επιτυχείς η μεταφορά http://www.scottfeltmann.com/index.php/2010/03/02/move-root-ca-from-w2k3-to-w2k8/ Link to comment Share on other sites More sharing options...
agorts Posted March 25, 2011 Author Report Share Posted March 25, 2011 Πράγματι πολύ καλό άρθρο! Ευχαριστώ... Όσον αφορά το error που παίρνω στο domain controller, από όσο έψαξα δεν πρέπει να με ανησυχεί, οπότε και το αφήνω ως έχει (δηλαδή το CA server εκτός δικτύου)... Link to comment Share on other sites More sharing options...
ThanosZ Posted March 25, 2011 Report Share Posted March 25, 2011 Ναι, απλα άσε το AD να θεωρει πως έχει 27 CA's και το autoenrollment το κανει ενας σερβερ στη Δημοκρατία του Νίγηρα. [] How to decommission a ROOT CA Μην το αφήσεις στην τυχη του σε παρακαλώ. Θα εχεις θεμα στο μελλον. Βαλτον στο δίκτυο , και ακολούθησε της οδηγίες της "μαμας". Μετα βάλε τον νεο CA και θα γουργουριζει σα γατακι το AD. Link to comment Share on other sites More sharing options...
agorts Posted March 27, 2011 Author Report Share Posted March 27, 2011 Εννοείται πως θα το κάνω... απλά τον έχω βγάλει από το δίκτυο έως ότου να το κάνω... γιατί λείπω από το γραφείο... Link to comment Share on other sites More sharing options...
agorts Posted March 27, 2011 Author Report Share Posted March 27, 2011 ΟΚ πήρα backup το CA (και export to registry CA config) στο παλιό server και έκανα uninstall το CA... τώρα τον έχω αποσυνδέσει από το δίκτυο πάλι... Κάποια στιγμή θα χρειαστεί να τον ξανασυνδέσω (το παλιό server) στο δίκτυο για να κάνω uninstall τον Exchange 2003 STD που έχει πάνω του (πρίν τελικά τον κάνω format)... Υπάρχει περίπτωση να υπάρξει πρόβλημα (όταν μετά από κάποιες ημέρες συνδέσω το παλιό CA server στο δίκτυο) με το νέο CA (win2008R2) που θα εγκαταστήσω...??? Link to comment Share on other sites More sharing options...
ThanosZ Posted March 28, 2011 Report Share Posted March 28, 2011 Δεν θα εχεις , πιστευω, αρκει να εκανες revoke τα certs του παλιου CA πριντ την απεγκατασταση τοιυ, όπως το περιγραφει η Μαμα. Αλλιως θα γκρινιαζουν οι ΗΥ για τα παλια certs που δεν έχουν γίνει revoked. Αν γινει αυτό θα πρέπει να δεις πως θα μπορέσεις να τα κάνεις revoke, μεσα απο τον νεο. Link to comment Share on other sites More sharing options...
agorts Posted March 29, 2011 Author Report Share Posted March 29, 2011 Μάλλον κάτι μου διαφεύγει... Που το λέει η "Μαμά"? Αλήθεια ποια είναι η "Μαμά"? Εγώ έκανα αυτά: In the Certification Authority snap-in, right-click the CA name, click All Tasks, and then click Back up CA to start the Certification Authority Backup Wizard. Click Next, and then click Private key and CA certificate. Click Certificate database and certificate database log. Use an empty folder as the backup location. Make sure that the backup folder can be accessed by the new server. Click Next. If the specified backup folder does not exist, the Certification Authority Backup Wizard creates it. Type and then confirm a password for the CA private key backup file. Click Next, and then verify the backup settings. The following settings should be displayed: Private Key and CA Certificate Issued Log and Pending Requests Click Finish. Next we have to save the registry settings. To save the registry settings perform the following: Click Start, and then Run. In the Run field type regedit and click Ok Locate and then right-click the following registry subkey, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration (While you are here, why not take a look at the settings, take a screen shot, make sure they match up in the end) Click Export Save the Registry file in the CA Backup folder that was defined above Now that we have the database, certificate and registry backed up the next step was to remove Certificate Services from the old computer. This process is pretty straight forward. Go into the Control Panel, Add/Remove Programs, Windows Components and remove the Tick from Certificate Authority. Note Be sure to remove the Certificate Authority from the old computer prior to deploying Certificate Services on the new machine. If you deploy AD CS first the target CA will become unusable. Link to comment Share on other sites More sharing options...
agorts Posted April 3, 2011 Author Report Share Posted April 3, 2011 Είναι υποχρεωτικό να γίνει η εγκατάσταση του CA σε domain controller? Εγώ έχω AD (windows server 2003) αλλά θέλω να βάνω το CA σε ένα server 2008 R2 STD... Θα υπάρξει κάποιο πρόβλημα? Θεωρώ πως όχι... Link to comment Share on other sites More sharing options...
ThanosZ Posted April 3, 2011 Report Share Posted April 3, 2011 Μαμα = Microsoft. Ο hyperlink που σου εστειλα , δειχνει το πως. Στον 2008 θα πρέπει να εγκαταστήσεις active directory certificate services με οποια services/features αυτό προαπαιτεί. Θα σου τα πει και ο wizard απο μονος του και θα τα εγκαταστησει κι ολας. ο CA μπορει να ειναι member server στο domain σου, κι οχι απαραιτητα ρολο DC. Μαλλον θα εχεις προβλημα μονον στην περιπτωση που εχεις certificates απο τον παλιο σερβερ και ληξουν, και ζητηθει ανανεωση απο CA που δεν υπάρχει, εκτος κι αν αυτα γινουν superceed απο τον νεο CA αφου θα ειναι εκδομενα για τον ιδιο λογο. Τοσο βαθια δεν εψαξα νου σου πω την αληθεια. Link to comment Share on other sites More sharing options...
agorts Posted April 3, 2011 Author Report Share Posted April 3, 2011 Τελικά ολοκληρώσα τη διαδικασία... μετέφερα το CA server (DB, key) στο νέο server... το όνομα του CA είναι του παλιού server και η DB έχει τις εγγραφές (issued certificates) που είχε και ο παλιός, οπότε θεωρώ ότι δεν χρειάζεται να κάνω revoke τίποτε... Ευχαριστώ πάντως... Εάν κάνω bare metal backup το νέο server, σε περίπτωση που τον χάσω και τον επαναφέρω από το bare metal backup θα είμαι εντάξει? Link to comment Share on other sites More sharing options...
Recommended Posts