어리석은 질문일지도 모르지만 저는 작동하는 시스템을 망칠 위험을 감수하고 싶지 않습니다.
"example.local"과 "example.com"이라는 두 개의 별도 Active Directory가 있습니다. 둘 사이에는 신뢰가 있으므로 이러한 도메인은 실제로 연결되어 있습니다.
며칠 내에 새 소프트웨어를 설정할 예정이며 이를 위해서는 두 도메인 모두에 대한 보안 LDAP 연결(SSL을 통한 LDAP)이 필요합니다. 현재 사용할 수 있는 CA가 없습니다.
에 따르면마이크로소프트CA를 설정하고 새 서버 인증 인증서를 생성한 후 이를 모든 DC에 배포해야 합니다.
다른 도메인의 DC에도 동일한 인증서를 배포해야 하는지 궁금합니다. 아니면 두 개의 별도 CA(도메인당 하나씩)를 설정하고 각 인증서를 해당 DC에만 배포해야 합니까? 조금 혼란스럽네요. 미리 죄송합니다!
답변1
@GregAskew 덕분에 공식을 찾을 수 있었습니다.마이크로소프트 지침.
기본적으로 전체 절차는 네 단계로 나눌 수 있습니다.
- 리소스 포리스트(ADCS가 배포된 포리스트)와 계정 포리스트 간에 양방향 신뢰를 만듭니다.
- 포리스트 간 등록을 지원하도록 리소스 포리스트에 CA를 구성합니다.
- 인증서 템플릿을 복사합니다.
- PKI 개체를 계정 포리스트에 복사합니다.