是否可以在不是網域控制器的伺服器上運行 W2k8 企業(AD 整合)憑證授權單位 - 我的伺服器目前是 DC,我不記得這是否是一個要求?如果是這樣,我是否可以運行 dcpromo 來降級當前為 DC 並運行 CA 的伺服器而不使該 CA 失效?我認為第一個問題的答案應該是“是”,因為伺服器只是 RODC,但我需要確保不會意外破壞 CA。
答案1
是的,可以在非 DC 伺服器上執行 CA。這就是我們的網域的設定方式。 CA 項目發佈到 Active Directory 的特殊區域,且不需要在同一台伺服器上安裝 DC 角色。
你應該能夠毫無問題地將伺服器恢復為非 DC 角色; DC 和 CA 角色彼此不同。當然,我建議先備份您的 CA(請參閱http://technet.microsoft.com/en-us/library/cc725565.aspx)。這樣,如果您遇到任何問題,您可以在新的伺服器執行個體上還原您的 CA。