ドメイン コントローラではないサーバーで W2k8 Enterprise (AD 統合) 証明機関を実行することは可能ですか。私のサーバーは現在 DC ですが、これが要件であったかどうかは覚えていません。可能であれば、現在 DC であり、その CA を無効にせずに CA を実行しているサーバーを降格するために dcpromo を実行できますか。サーバーは RODC のみであるため、最初の質問の答えは「はい」であるはずですが、CA を誤って破壊しないようにする必要があります。
答え1
はい、DC 以外のサーバーで CA を実行することは可能です。これが当社のドメインの設定方法です。CA エントリは Active Directory の特別な領域に公開され、同じサーバーに DC ロールをインストールする必要はありません。
あなたすべき問題なくサーバーを非DCロールにdcpromoすることができます。DCとCAロールは互いに異なります。もちろん、最初にCAのバックアップを作成することをお勧めします(http://technet.microsoft.com/en-us/library/cc725565.aspx)。そうすれば、何らかの問題が発生した場合でも、新しいサーバー インスタンスで CA を復元できます。