Das ist vielleicht eine dumme Frage, aber ich möchte nicht riskieren, ein funktionierendes System durcheinander zu bringen.
Wir haben zwei separate Active Directories, sagen wir „example.local“ und „example.com“. Zwischen den beiden besteht eine Vertrauensbeziehung, sodass diese Domänen tatsächlich verbunden sind.
Wir werden innerhalb weniger Tage eine neue Software einrichten und diese erfordert eine sichere LDAP-Verbindung zu beiden Domänen (LDAP über SSL). Derzeit ist keine CA verfügbar.
EntsprechendMicrosoftwir müssen eine Zertifizierungsstelle einrichten, ein neues Serverauthentifizierungszertifikat erstellen und dieses an alle Domänencontroller verteilen.
Ich frage mich, ob ich dasselbe Zertifikat auch an die DCs der anderen Domäne verteilen muss. Oder muss ich zwei separate CAs einrichten (eine für jede Domäne) und jedes Zertifikat nur an die entsprechenden DCs verteilen? Ich bin ein wenig verwirrt, entschuldigen Sie im Voraus!
Antwort1
Dank @GregAskew konnte ich einen offiziellenAnleitung von Microsoft.
Grundsätzlich lässt sich das gesamte Verfahren in vier Schritte unterteilen:
- Erstellen Sie eine bidirektionale Vertrauensstellung zwischen der Ressourcengesamtstruktur (Gesamtstruktur, in der ADCS bereitgestellt wird) und der Kontogesamtstruktur.
- Konfigurieren Sie die Zertifizierungsstelle in der Ressourcengesamtstruktur, um die gesamtstrukturübergreifende Registrierung zu unterstützen.
- Zertifikatsvorlagen kopieren.
- Kopieren Sie PKI-Objekte in die Kontogesamtstruktur.