Je me permets de revenir sur le forum concernant une préparation de
migration d'un DC vers un nouveau matériel.
Ma procédure est presque complète. Je possède actuellement deux DC : dc1 et
dc2.
dc1 possède tous les rôles.
Je vais migrer dc1 vers un nouveau matériel et le supprimer. Il devrait donc
y avoir dc2 et dc3.
J'ai écrit tout ce que je devais faire, mais d'un coup je me suis rappelé
que j'avais installé voici bien longtemps une autorité de certification sur
mon dc1 !
Dans absolu je ne me suis finalement jamais servi de cette autorité sauf
pour générer un certificat web interne. Que je n'utilise plus aujourd'hui.
Cette autorité à donc survécu mais n'a jamais été utilisé. Seulement voila,
il y a des certificats de type contrôleur délivrés pour dc1 et dc2.
Quelles sont les conséquences de la suppression de cet autorité pour AD, la
relation entre les contrôleurs DC1 et DC2 et bientôt DC3.
Y a t il un risque pour le bon fonctionnement de AD, les réplications ... ?
Puis je sans risque déplacer dc1 sur le nouveau matériel (qui sera nommé
dc3) sans me soucier de cette autorité de certification ? que va t il se
passer pour les certificats contrôleurs délivrés pour dc1 et dc2 quand ils
vont expirer et que l'autorité aura disparu ?
Vaut il mieux avant toute manipulation de migration vers un nouveau matériel
de désinstaller cette autorité de certification d'entreprise de dc1 et voir
ce qui se passe ? Dans ce cas y a t il des précautions à prendre ? suffit il
de révoquer les certificats de dc1 et dc2 et de supprimer ensuite le service
de certificats sur dc1 ?
Beaucoup de questions, je m'en excuse.
Merci de votre aide.
fabrice
--------------------------------------
ps : voici un certutils -cainfo
Nom de l'Autorité de certification: dc1paris
Nom d'Autorité de certification expurgé (nom DS): dc1
Type d'Autorité de certification: 0 -- Autorité de certification racine
d'entreprise
ENUM_ENTERPRISE_ROOTCA -- 0
Nombre de certificats d'Autorités de certification: 1
nombre de certificats KRA: 0
nombre utilisé de certificats KRA: 0
Certificat d'Autorité de certification[0]: 3 -- Valide
Version de certificat de l'Autorité de certification[0]: 0 -- V0.0
État de la vérification du certificat d'autorité de certification[0]: 0
Liste de révocation de certificats[0]: 3 -- Valide
Statut de publication de la liste de révocation de certificats[0]: 5
CPF_BASE -- 1
CPF_COMPLETE -- 4
État de la publication de la liste de révocation de certificats delta[0]: 6
CPF_DELTA -- 2
CPF_COMPLETE -- 4
Nom DNS: dc1paris.cabinet-ores.lan
Advanced Server: 0
CertUtil: -CAInfo La commande s'est terminée correctement.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Lognoul, Marc \(Private\)
Bonsoir,
Réponses voir ci-dessous
Marc
il y a des certificats de type contrôleur délivrés pour dc1 et dc2. Quelles sont les conséquences de la suppression de cet autorité pour AD, la relation entre les contrôleurs DC1 et DC2 et bientôt DC3. Y a t il un risque pour le bon fonctionnement de AD, les réplications ... ?
Non, sauf si la réplication utilise SMTP comme transport, ce dont je doute.
Puis je sans risque déplacer dc1 sur le nouveau matériel (qui sera nommé dc3) sans me soucier de cette autorité de certification ? que va t il se passer pour les certificats contrôleurs délivrés pour dc1 et dc2 quand ils vont expirer et que l'autorité aura disparu ?
Ces certificats sont utilisés par ex. pour le logon via smart card, l'authentification via IAS (peap) voire LDAP over SSL. Il ne sont pas nécessaires au bon fonctionnement standard d'AD. Voici deux articles qui décrivant ces problèmes possibles: http://support.microsoft.com/kb/939088/fr et http://support.microsoft.com/kb/950042/fr
Vaut il mieux avant toute manipulation de migration vers un nouveau matériel de désinstaller cette autorité de certification d'entreprise de dc1 et voir ce qui se passe ? Dans ce cas y a t il des précautions à prendre ? suffit il de révoquer les certificats de dc1 et dc2 et de supprimer ensuite le service de certificats sur dc1 ?
Voici une procédure pour retirer proprement un CA Enterprise: http://support.microsoft.com/kb/889250/fr
Bonsoir,
Réponses voir ci-dessous
Marc
il y a des certificats de type contrôleur délivrés pour dc1 et dc2.
Quelles sont les conséquences de la suppression de cet autorité pour AD,
la
relation entre les contrôleurs DC1 et DC2 et bientôt DC3.
Y a t il un risque pour le bon fonctionnement de AD, les réplications ...
?
Non, sauf si la réplication utilise SMTP comme transport, ce dont je doute.
Puis je sans risque déplacer dc1 sur le nouveau matériel (qui sera nommé
dc3) sans me soucier de cette autorité de certification ? que va t il se
passer pour les certificats contrôleurs délivrés pour dc1 et dc2 quand ils
vont expirer et que l'autorité aura disparu ?
Ces certificats sont utilisés par ex. pour le logon via smart card,
l'authentification via IAS (peap) voire LDAP over SSL.
Il ne sont pas nécessaires au bon fonctionnement standard d'AD.
Voici deux articles qui décrivant ces problèmes possibles:
http://support.microsoft.com/kb/939088/fr et
http://support.microsoft.com/kb/950042/fr
Vaut il mieux avant toute manipulation de migration vers un nouveau
matériel
de désinstaller cette autorité de certification d'entreprise de dc1 et
voir
ce qui se passe ? Dans ce cas y a t il des précautions à prendre ? suffit
il
de révoquer les certificats de dc1 et dc2 et de supprimer ensuite le
service
de certificats sur dc1 ?
Voici une procédure pour retirer proprement un CA Enterprise:
http://support.microsoft.com/kb/889250/fr
il y a des certificats de type contrôleur délivrés pour dc1 et dc2. Quelles sont les conséquences de la suppression de cet autorité pour AD, la relation entre les contrôleurs DC1 et DC2 et bientôt DC3. Y a t il un risque pour le bon fonctionnement de AD, les réplications ... ?
Non, sauf si la réplication utilise SMTP comme transport, ce dont je doute.
Puis je sans risque déplacer dc1 sur le nouveau matériel (qui sera nommé dc3) sans me soucier de cette autorité de certification ? que va t il se passer pour les certificats contrôleurs délivrés pour dc1 et dc2 quand ils vont expirer et que l'autorité aura disparu ?
Ces certificats sont utilisés par ex. pour le logon via smart card, l'authentification via IAS (peap) voire LDAP over SSL. Il ne sont pas nécessaires au bon fonctionnement standard d'AD. Voici deux articles qui décrivant ces problèmes possibles: http://support.microsoft.com/kb/939088/fr et http://support.microsoft.com/kb/950042/fr
Vaut il mieux avant toute manipulation de migration vers un nouveau matériel de désinstaller cette autorité de certification d'entreprise de dc1 et voir ce qui se passe ? Dans ce cas y a t il des précautions à prendre ? suffit il de révoquer les certificats de dc1 et dc2 et de supprimer ensuite le service de certificats sur dc1 ?
Voici une procédure pour retirer proprement un CA Enterprise: http://support.microsoft.com/kb/889250/fr
