Pode ser uma pergunta boba, mas não quero arriscar bagunçar um sistema em funcionamento.
Temos dois Active Directory separados, digamos "example.local" e "example.com". Há uma confiança entre os dois, então esses domínios estão realmente conectados.
Configuraremos um novo software dentro de alguns dias e ele exigirá uma conexão LDAP segura para ambos os domínios (LDAP sobre SSL). Atualmente não há CA disponível.
De acordo comMicrosofttemos que configurar uma CA, criar um novo certificado de autenticação de servidor e distribuí-lo para todos os DCs.
Estou me perguntando se devo distribuir o mesmo certificado para os controladores de domínio do outro domínio também? Ou preciso configurar duas CAs separadas (uma para cada domínio) e distribuir cada certificado apenas para seus DCs correspondentes? Estou um pouco confuso, desculpe antecipadamente!
Responder1
Graças a @GregAskew consegui encontrar um funcionárioOrientação da Microsoft.
Basicamente todo o procedimento pode ser dividido em quatro etapas:
- Crie uma confiança bidirecional entre a floresta de recursos (floresta onde o ADCS está implantado) e a floresta de contas.
- Configure a CA na floresta de recursos para dar suporte ao registro entre florestas.
- Copie modelos de certificado.
- Copie objetos PKI para a floresta de contas.