Aus verschiedenen Gründen haben wir uns entschieden, keine interne Zertifizierungsstelle einzurichten und werden ein SAN-Zertifikat eines Drittanbieters (GoDaddy) für verschiedene interne Sites und zur Sicherung von LDAP in Vorbereitung auf dieMicrosoft-Updates vom März 2020, die nicht verschlüsselten LDAP-Verkehr blockieren.
Um Geld zu sparen, würden wir gerne ein SAN-Zertifikat erwerben, aber ich lese widersprüchliche Dokumentationen darüber, ob dies für unseren Anwendungsfall (2x DCs) geeignet ist.
In Petris Dokumentation heißt es:
...the first name in the Subject Alternative Name (SAN) must match the Fully Qualified Domain Name (FQDN) of the host machine
In der Dokumentation von Microsoft heißt es:
The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places... DNS entry in the Subject Alternative Name extension.
Microsoft gibt nicht an, dass es sich um dieErsteEintrag.
Wenn ich das richtig verstehe, da wir dieses Zertifikat verwenden möchten aufbeideDomänencontroller, beide Hostnamen können unmöglich zuerst aufgeführt werden.
Welche Quelle ist richtig?
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc