¿Es posible ejecutar una autoridad de certificación W2k8 Enterprise (integrada en AD) en un servidor que no sea un controlador de dominio? El mío actualmente es un DC y no recuerdo si esto era un requisito. Si es así, ¿puedo ejecutar dcpromo para degradar un servidor que actualmente es DC y ejecuta la CA sin invalidar esa CA? Supongo que la respuesta a mi primera pregunta debería ser "sí", porque el servidor es solo RODC, pero debo asegurarme de no destruir accidentalmente la CA.
Respuesta1
Sí, es posible ejecutar la CA en un servidor que no sea DC. Así está configurado nuestro dominio. Las entradas de CA se publican en un área especial de Active Directory y no requieren que se instale una función de DC en el mismo servidor.
Túdeberíapoder realizar una promoción continua del servidor para que vuelva a una función que no sea DC sin ningún problema; Las funciones de DC y CA son distintas entre sí. Por supuesto, recomendaría primero hacer una copia de seguridad de su CA (consultehttp://technet.microsoft.com/en-us/library/cc725565.aspx). De esa manera, si tiene algún problema, puede restaurar su CA en una nueva instancia de servidor.