Ist es möglich, eine W2k8 Enterprise (AD-integrierte) Zertifizierungsstelle auf einem Server auszuführen, der kein Domänencontroller ist – meiner ist derzeit ein DC und ich weiß nicht mehr, ob dies eine Voraussetzung war? Wenn ja, kann ich dcpromo ausführen, um einen Server herabzustufen, der derzeit ein DC ist und die Zertifizierungsstelle ausführt, ohne diese Zertifizierungsstelle ungültig zu machen? Ich gehe davon aus, dass die Antwort auf meine erste Frage „Ja“ sein sollte, da der Server nur RODC ist, ich aber sicherstellen muss, dass ich die Zertifizierungsstelle nicht versehentlich zerstöre.
Antwort1
Ja, es ist möglich, die CA auf einem Nicht-DC-Server auszuführen. So ist unsere Domäne eingerichtet. CA-Einträge werden in einem speziellen Bereich von Active Directory veröffentlicht und erfordern nicht, dass auf demselben Server eine DC-Rolle installiert ist.
DusollenSie können den Server problemlos per Dcpromo wieder auf eine Nicht-DC-Rolle zurückversetzen; die DC- und CA-Rollen sind voneinander verschieden. Natürlich würde ich empfehlen, zuerst ein Backup Ihrer CA zu erstellen (siehehttp://technet.microsoft.com/en-us/library/cc725565.aspx). Auf diese Weise können Sie Ihre CA auf einer neuen Serverinstanz wiederherstellen, falls irgendwelche Probleme auftreten.