Hi,
ich habe folgendes Verhalten das ich mir so nicht mehr erklären kann.
Vielleicht könnt Ihr Licht ins Dunkel bringen:
Folgendes Szenario:
- Server 1 W2k3 DC + AD CS (Standard)
- Server 2 W12 neuer Server (Standard)
- Server 3 W2k3 DC (Standard)
- Server 4 W2k8R2 DC (Enterprise)
Ziel ist es von Server 1 die AD CS (Zertifizierungsstelle) auf Server 2 zu migrieren um den Server 1 (und Server 3) irgendwann in Rente zu schicken.
In meiner Testumgebung habe ich die Migration nach folgendem Technetartikel durchgeführt.
http://technet.microsoft.com/en-us/library/ee126140(WS.10).aspx
- Root CA Zertifikat gesichert
- DB Backup durchgeführt
- Registry Einstellungen gesichert
- Alte Root CA deinstalliert
- Neue Root CA installiert, und das exportierte Zertifikat angegeben
- Datenbank wiederhergestellt
- Registry Einstellungen wurden NICHT wiederhergestellt (Habe keine Einstellung gefunden die Notwendig war)
Der neue Server ist soweit aktiv und verteilt auch brav (User-)Zertifikate.
Jetzt habe ich nur das Problem das die CRL Verteilpunkte beim Zertifikat der Stammzertifizierungsstelle immer noch auf den alten Server verweisen.
Folgende Schritte wurden schon versucht:
- Root CA Zertifikat neu erstellt
- Registry wurde angepasst
- Einstellungen unter Erweitert in der Zertifizierungsstelle angepasst
- Es ist keine (ca)Policy.inf vorhanden.
Egal wie oft ich das Root CA Zertifikat erstellen lasse, es wird immer der alte Server 1 in die CSP des ROOT-CA Zertifikates eingetragen.
Ich hab sogar alle CSP aus den jeweiligen Einstellungen entfernt, keine Veränderung.
Es gibt im Eventlog keine Warnung oder Fehler.
Aufgefallen ist mir folgendes:
- Alle ausgestellten (User-) Zertifikate selber haben den richtigen Server 2 in Ihren CSP Einstellungen. Zusammen mit allen konfigurierten CSPs in "Erweiterung"
- Ein CSP der auf dem alten Server konfiguriert war (eine Externe URL), wird bei der Erstellung nicht mehr angezogen.
Hat hier noch jemand eine Idee was ich übersehen habe?
Gruß
Para el Mundo