Можно ли запустить центр сертификации W2k8 Enterprise (интегрированный в AD) на сервере, который не является контроллером домена - мой в настоящее время является контроллером домена, и я не помню, было ли это требованием? Если да, могу ли я запустить dcpromo, чтобы понизить сервер, который в настоящее время является контроллером домена и запускает центр сертификации, не делая этот центр сертификации недействительным? Я предполагаю, что ответ на мой первый вопрос должен быть "да", поскольку сервер является только RODC, но мне нужно быть уверенным, что я случайно не уничтожу центр сертификации.
решение1
Да, можно запустить CA на сервере, не являющемся DC. Так настроен наш домен. Записи CA публикуются в специальной области Active Directory и не требуют установки роли DC на том же сервере.
Тыдолжениметь возможность dcpromo сервера обратно в не-DC роль без каких-либо проблем; DC и CA роли отличаются друг от друга. Конечно, я бы рекомендовал сначала сделать резервную копию вашего CA (см.http://technet.microsoft.com/en-us/library/cc725565.aspx). Таким образом, если у вас возникнут какие-либо проблемы, вы сможете восстановить свой CA на новом экземпляре сервера.