Kategorie: Uncategorized

How to transfer logins and passwords between instances of SQL Server

USE master
GO
IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
  DROP PROCEDURE sp_hexadecimal
GO
CREATE PROCEDURE sp_hexadecimal
    @binvalue varbinary(256),
    @hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
  DECLARE @tempint int
  DECLARE @firstint int
  DECLARE @secondint int
  SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
  SELECT @firstint = FLOOR(@tempint/16)
  SELECT @secondint = @tempint - (@firstint*16)
  SELECT @charvalue = @charvalue +
    SUBSTRING(@hexstring, @firstint+1, 1) +
    SUBSTRING(@hexstring, @secondint+1, 1)
  SELECT @i = @i + 1
END

SELECT @hexvalue = @charvalue
GO
 
IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
  DROP PROCEDURE sp_help_revlogin
GO
CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary  varbinary (256)
DECLARE @PWD_string  varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr  varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)

DECLARE @defaultdb sysname
 
IF (@login_name IS NULL)
  DECLARE login_curs CURSOR FOR

      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
  DECLARE login_curs CURSOR FOR


      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
  PRINT 'No login(s) found.'
  CLOSE login_curs
  DEALLOCATE login_curs
  RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
  IF (@@fetch_status <> -2)
  BEGIN
    PRINT ''
    SET @tmpstr = '-- Login: ' + @name
    PRINT @tmpstr
    IF (@type IN ( 'G', 'U'))
    BEGIN -- NT authenticated account/group

      SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
    END
    ELSE BEGIN -- SQL Server authentication
        -- obtain password and sid
            SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
        EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
        EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT
 
        -- obtain password policy state
        SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
        SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
 
            SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

        IF ( @is_policy_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
        END
        IF ( @is_expiration_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
        END
    END
    IF (@denylogin = 1)
    BEGIN -- login is denied access
      SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
    END
    ELSE IF (@hasaccess = 0)
    BEGIN -- login exists but does not have access
      SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
    END
    IF (@is_disabled = 1)
    BEGIN -- login is disabled
      SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
    END
    PRINT @tmpstr
  END

  FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO
EXEC sp_help_revlogin

ADSyncExportDeletionThreshold

$AzureCred = Get-Credential
$AzureCred = Get-Credential
Import-Module ADSync
Get-ADSyncExportDeletionThreshold -AADCredential $AzureCred
Disable-ADSyncExportDeletionThreshold -AADCredential $AzureCred
Get-ADSyncExportDeletionThreshold -AADCredential $AzureCred
Enable-ADSyncExportDeletionThreshold -AADCredential $AzureCred


[Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500 {or more} -AADCredential $AzureCred]


Get-ADSyncExportDeletionThreshold -AADCredential $AzureCred

SQL Installation – Fehler

SQL-Server: Fehler beim Warten auf das Wiederherstellungshandle des Datenbankmoduls

Nicht immer läuft die Installation des Microsoft SQL Servers  problemlos ab. Wer die Meldung „Fehler beim Warten auf das Wiederherstellungshandle des Datenbankmoduls“ bzw. den Code 0x851A001A als Fehler bei der Installation erhält – so wirds einfach und schnell gelöst!

Der Fehler tritt insbesondere bei der Installation von SQL Server Express auf – kann aber auch bei anderen SQL Server Versionen auftreten.

Lösung

Bereinigung

Zuerst einmal muss die mit dem Fehler installierte SQL – Instanz deinstalliert werden. Es ist nicht nötig, den ganzen SQL-Server zu deinstallieren(!)

Dazu wechselt man zu den Programmen, wählt den SQL – Server aus (z.B. SQL Server Express 2014) und klickt auf Deinstallieren.

MS SQL Server deinstallieren

(Hinweis:Die Funktion Reparieren hilft bei diesem Problem nicht).

Anschliessend klickt man sich durch den Assistenten und entfernt das Datenbankmodul (und nur das!) der entsprechenden Instanz.

Modifizierte Installation

Anschliessend ist alles bereit für eine neue, leicht modifizierte Installation des SQL-Servers. Ein Neustart ist nicht nötig aber empfohlen.

Bei der Installation der „neuen Instanz“ folgt man wiederum dem Assistenten, bis man zur Eingabemaske Serverkonfiguration kommt.

Hier ändert man den Kontonamen des SQL Server-Datenbankmoduls manuell (d.h. Eingeben oder Copy & Paste) wie folgt ab:

NT AUTHORITY\NETWORK SERVICE

SQL Server Dienst anpassen

Anschliessend kann die Installation abgeschlossen werden; es  sollten keine weiteren Fehlermeldungen auftreten – und auch der SQL – Server Dienst sollte problemlos gestartet werden.

Berechtigungen Profil-Ordner und Home Verzeichnisse

Um sicherzustellen, dass die Berechtigungen korrekt gesetzt sind, verwenden Sie die folgenden Richtlinien:
Wenn Sie die freigegebenen Ordner für servergespeicherte Benutzerprofile zu erstellen, beschränken den Zugriff auf den Ordner nur für Benutzer, die Zugriff benötigen.

Da ein Roaming-Profil persönliche Informationen, wie Dokumente des Benutzers und EFS-Zertifikate enthält, ist es wichtig, sicherzustellen, dass servergespeicherte Benutzerprofile sicher sind.

Hier sind einige Möglichkeiten, wie Sie die Sicherheit von servergespeicherten Benutzerprofilen zu verbessern:

 

Berechtigungen für die Home-Verzeichnisse Vorgabe für \home  ACL:Set Share Permissions for the Everyone group to Full Control.Use the following settings for NTFS Permissions:CREATOR OWNER – Full Control (Apply onto: Subfolders and Files Only)System – Full Control (Apply onto: This Folder, Subfolders and Files)TMB\FileServerAdmin – Full Control (Apply onto: This Folder, Subfolders and Files)Authenticated Users – Create Folder/Append Data (Apply onto: This Folder Only)Authenticated Users – List Folder/Read Data (Apply onto: This Folder Only) Authenticated Users – Read Attributes (Apply onto: This Folder Only)Authenticated Users – Traverse Folder/Execute File (Apply onto: This Folder Only) Vorgaben für \home\%username% ACL: OWNER for all sub files and folders %username%Use the following settings for NTFS Permissions: (ergibt sich durch Vererbung von \home)CREATOR OWNER – Full Control (Apply onto: Subfolders and Files Only)System – Full Control (Apply onto: This Folder, Subfolders and Files)TMB\FileServerAdmin – Full Control (Apply onto: This Folder, Subfolders and Files)

 

Berechtigungen für die Profil-Verzeichnisse Erforderliche Berechtigungen für die Dateifreigabe, die die Roamingbenutzerprofile hostetBenutzerkonto Access Gilt fürSystemVollzugriff Dieser Ordner, die Unterordner und DateienAdministratorenVollzugriffNur dieser OrdnerErsteller/BesitzerVollzugriff Nur Unterordner und DateienSicherheitsgruppe der Benutzer, die Daten in der Freigabe speichern müssen (Roamingbenutzerprofil-Benutzer und -Computer)Ordner auflisten / Daten lesen1Ordner erstellen / Daten anhängen1Nur dieser OrdnerAndere Gruppen und KontenKeine (entfernen) ​  ​​

 

NTFS-Berechtigungen für Roaming-Profil Übergeordneter Ordner

Roaming Profile Permission.jpg

Share level (SMB) Permissions for Roaming Profile Share

SMB Permission.jpg

NTFS Permissions for Each User’s Roaming Profile Folder

NTFS Permission.jpg

DISM for Dummies

Dism /Mount-Image /ImageFile:C:\xyz\SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_German_-3_MLF_X19-53604\sources\install.wim /MountDir:C:\xyz\mount /index:

Dism /Get-ImageInfo /ImageFile:C:\xyz\SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_German_-3_MLF_X19-53604\sources\install.wim

Dism /Image:C:\xyz\mount /Get-Features > featurelist.txt

featurelist.txt

Dism /Image:C:\xyz\mount /Enable-Feature /FeatureName:NetFx3serverFeatures

Dism /Image:C:\xyz\mount /Enable-Feature /FeatureName:NetFx3 /Source:C:\xyz\SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_German_-3_MLF_X19-53604\sources\sxs

Dism /Unmount-Image /MountDir:C:\xyz\mount /Commit

AD CS-Migration: Migrieren der Zertifizierungsstelle

AD CS-Migration: Migrieren der Zertifizierungsstelle

Letzte Aktualisierung: Januar 2011

Betrifft: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Server 2008, Windows Server 2008 R2

Überprüfen Sie alle Verfahren in diesem Thema, und führen Sie nur die Verfahren aus, die für Ihr Migrationsszenario erforderlich sind.

Sichern der Datenbank der Zertifizierungsstelle und des privaten Schlüssels

Sie können die Datenbank der Zertifizierungsstelle und den privaten Schlüssel mit dem Snap-In „Zertifizierungsstelle“ oder mit „Certutil.exe“ über eine Eingabeaufforderung sichern. Führen Sie eines der beiden Sicherungsverfahren in diesem Abschnitt aus.

noteHinweis
Wenn die Zertifizierungsstelle ein Hardwaresicherheitsmodul (HSM) verwendet, sichern Sie die privaten Schlüssel anhand der vom HSM-Anbieter bereitgestellten Verfahren.

 

Nachdem Sie die Sicherungsschritte ausgeführt haben, sollten die Active Directory-Zertifikatdienste (Certsvc) beendet werden, um die Ausstellung weiterer Zertifikate zu verhindern. Bevor der Zertifizierungsstellen-Rollendienst dem Zielserver hinzugefügt wird, muss der Zertifizierungsstellen-Rollendienst vom Quellserver entfernt werden.

Die in diesen Verfahren erstellten Sicherungsdateien sollten am gleichen Speicherort gespeichert werden, um die Migration zu vereinfachen. Der Speicherort muss auf dem Zielserver zugänglich sein, z. B. Wechselmedien oder ein freigegebener Ordner auf dem Zielserver oder einem anderen Domänenmitglied.

Sichern der Datenbank der Zertifizierungsstelle und des privaten Schlüssels mit dem Snap-In „Zertifizierungsstelle“

Im folgenden Verfahren wird beschrieben, wie Sie die Datenbank der Zertifizierungsstelle und den privaten Schlüssel mit dem Snap-In „Zertifizierungsstelle“ sichern, während Sie bei der Quellzertifizierungsstelle angemeldet sind.

Für dieses Verfahren muss das Konto eines Zertifizierungsstellenadministrators verwendet werden. Bei einer Unternehmenszertifizierungsstelle umfasst die Standardkonfiguration für Zertifizierungsstellenadministratoren die lokale Gruppe „Administratoren“, die Gruppe „Organisations-Admins“ und die Gruppe „Domänen-Admins“. Bei einer eigenständigen Zertifizierungsstelle enthält die Standardkonfiguration für Zertifizierungsstellenadministratoren die lokale Gruppe „Administratoren“.

So sichern Sie die Datenbank der Zertifizierungsstelle und den privaten Schlüssel mit dem Snap-In „Zertifizierungsstelle“

  1. Wählen Sie einen Sicherungsspeicherort aus, und fügen Sie ggf. Medien an.
  2. Melden Sie sich bei der Quellzertifizierungsstelle an.
  3. Öffnen Sie das Snap-In Zertifizierungsstelle.
  4. Klicken Sie mit der rechten Maustaste auf den Knoten mit dem Zertifizierungsstellennamen, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Zertifizierungsstelle sichern.
  5. Klicken Sie auf der Seite Willkommen des Assistenten zum Sichern von Zertifizierungsstellen auf Weiter.
  6. Aktivieren Sie auf der Seite Zu sichernde Elemente die Kontrollkästchen Privater Schlüssel und Zertifizierungsstellenzertifikat und Zertifikatdatenbank und Zertifikatdatenbankprotokoll, geben Sie den Sicherungsspeicherort an, und klicken Sie dann auf Weiter.
  7. Geben Sie auf der Seite Kennwort auswählen ein Kennwort ein, um den privaten Schlüssel der Zertifizierungsstelle zu schützen, und klicken Sie auf Weiter.
    securitySicherheit Hinweis
    Verwenden Sie ein sicheres Kennwort (z. B. mindestens acht Zeichen mit einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Interpunktionszeichen).

     

  8. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.
  9. Überprüfen Sie nach Abschluss der Sicherung die folgenden Dateien an dem von Ihnen angegebenen Speicherort:
    • Zertifizierungsstellenname.p12″ mit dem Zertifizierungsstellenzertifikat und privaten Schlüssel
    • Ordner „Database“ mit den Dateien „certbkxp.dat“, „edb#####.log“ und „Zertifizierungsstellenname.edb“

     

  10. Öffnen Sie ein Eingabeaufforderungsfenster, und geben Sie net stop certsvc ein, um die Active Directory-Zertifikatdienste zu beenden.
    ImportantWichtig
    Der Dienst sollte beendet werden, um die Ausstellung weiterer Zertifikate zu verhindern. Wenn nach dem Abschließen einer Datenbanksicherung Zertifikate von der Quellzertifizierungsstelle ausgestellt werden, wiederholen Sie das Verfahren zum Sichern der Datenbank der Zertifizierungsstelle, um sicherzustellen, dass die Sicherung alle ausgegebenen Zertifikate enthält.

     

  11. Kopieren Sie alle Sicherungsdateien an einen Speicherort, auf den vom Zielserver zugegriffen werden kann, z. B. eine Netzwerkfreigabe oder Wechselmedien.
    securitySicherheit Hinweis
    Der private Schlüssel muss vor Kompromittierung geschützt werden. Schützen Sie einen freigegebenen Ordner, indem Sie die Zugriffssteuerungsliste auf autorisierte Zertifizierungsstellenadministratoren beschränken. Schützen Sie Wechselmedien vor nicht autorisiertem Zugriff und Beschädigung.

     

Sichern der Datenbank der Zertifizierungsstelle und des privaten Schlüssels mit „Certutil.exe“

Im folgenden Verfahren wird beschrieben, wie Sie die Datenbank der Zertifizierungsstelle und den privaten Schlüssel mit „Certutil.exe“ sichern, während Sie bei der Quellzertifizierungsstelle angemeldet sind.

Für dieses Verfahren muss das Konto eines Zertifizierungsstellenadministrators verwendet werden. Bei einer Unternehmenszertifizierungsstelle umfasst die Standardkonfiguration für Zertifizierungsstellenadministratoren die lokale Gruppe „Administratoren“, die Gruppe „Organisations-Admins“ und die Gruppe „Domänen-Admins“. Bei einer eigenständigen Zertifizierungsstelle enthält die Standardkonfiguration für Zertifizierungsstellenadministratoren die lokale Gruppe „Administratoren“.

So sichern Sie die Datenbank der Zertifizierungsstelle und den privaten Schlüssel mit „Certutil.exe“

  1. Melden Sie sich mit lokalen Administratoranmeldedaten am Zertifizierungsstellencomputer an.
  2. Öffnen Sie ein Eingabeaufforderungsfenster.
  3. Geben Sie Certutil.exe –backupdb <Sicherungsverzeichnis> ein, und drücken Sie die EINGABETASTE.
  4. Geben Sie Certutil.exe –backupkey <Sicherungsverzeichnis> ein, und drücken Sie die EINGABETASTE.
    noteHinweis
    Sicherungsverzeichnis ist das Verzeichnis, in dem die Sicherungsdateien erstellt werden. Sie können einen relativen oder einen absoluten Pfad angeben. Wenn das angegebene Verzeichnis nicht vorhanden ist, wird es erstellt. Die Sicherungsdateien werden in einem Unterverzeichnis mit dem Namen „Database“ erstellt.

     

  5. Geben Sie an der Eingabeaufforderung ein Kennwort ein, und drücken Sie die EINGABETASTE. Sie müssen eine Kopie des Kennworts aufbewahren, um während der Zertifizierungsstelleninstallation auf dem Zielserver auf den Schlüssel zugreifen zu können.
    securitySicherheit Hinweis
    Verwenden Sie ein sicheres Kennwort (z. B. mindestens acht Zeichen mit einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Symbolen).

     

  6. Geben Sie net stop certsvc ein, und drücken Sie die EINGABETASTE, um die Active Directory-Zertifikatdienste zu beenden. Der Dienst muss beendet werden, um die Ausstellung weiterer Zertifikate zu verhindern.
  7. Überprüfen Sie nach Abschluss der Sicherung die folgenden Dateien an dem von Ihnen angegebenen Speicherort:
    • Zertifizierungsstellenname.p12″ mit dem Zertifizierungsstellenzertifikat und privaten Schlüssel
    • Ordner „Database“ mit den Dateien „certbkxp.dat“, „edb#####.log“ und „Zertifizierungsstellenname.edb“

     

  8. Kopieren Sie alle Sicherungsdateien an einen Speicherort, auf den vom Zielserver zugegriffen werden kann, z. B. eine Netzwerkfreigabe oder Wechselmedien.
    securitySicherheit Hinweis
    Der private Schlüssel muss vor Kompromittierung geschützt werden. Schützen Sie einen freigegebenen Ordner, indem Sie nur autorisierten Zertifizierungsstellenadministratoren Berechtigungen gewähren. Schützen Sie Wechselmedien vor nicht autorisiertem Zugriff und Beschädigung.

     

Sichern der Registrierungseinstellungen der Zertifizierungsstelle

Führen Sie eines der folgenden Verfahren aus, um die Registrierungseinstellungen der Zertifizierungsstelle zu sichern.

Die während der Sicherung erstellten Dateien sollten am gleichen Speicherort wie die Sicherungsdateien für die Datenbank und den privaten Schlüssel gespeichert werden, um die Migration zu vereinfachen. Der Speicherort muss auf dem Zielserver zugänglich sein, z. B. Wechselmedien oder ein freigegebener Ordner auf dem Zielserver oder einem anderen Domänenmitglied.

Sie müssen mit einem Konto, das Mitglied der lokalen Gruppe „Administratoren“ ist, bei der Quellzertifizierungsstelle angemeldet sein.

So sichern Sie die Registrierungseinstellungen der Zertifizierungsstelle mit „Regedit.exe“

  1. Klicken Sie auf Start, zeigen Sie auf Ausführen, und geben Sie regedit ein, um den Registrierungs-Editor zu öffnen.
  2. Klicken Sie in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc mit der rechten Maustaste auf Konfiguration, und klicken Sie dann auf Exportieren.
  3. Geben Sie einen Speicherort und einen Dateinamen an, und klicken Sie dann auf Speichern. Dadurch wird eine Registrierungsdatei erstellt, die die Zertifizierungsstellen-Konfigurationsdaten der Quellzertifizierungsstelle enthält.
  4. Kopieren Sie die Registrierungsdatei an einen Speicherort, auf den vom Zielserver zugegriffen werden kann, z. B. einen freigegebenen Ordner oder Wechselmedien.

So sichern Sie die Registrierungseinstellungen der Zertifizierungsstelle mit „Reg.exe“

  1. Öffnen Sie ein Eingabeaufforderungsfenster.
  2. Geben Sie reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration <Ausgabedatei.reg> ein, und drücken Sie die EINGABETASTE.
  3. Kopieren Sie die Registrierungsdatei an einen Speicherort, auf den vom Zielserver zugegriffen werden kann, z. B. einen freigegebenen Ordner oder Wechselmedien.

Sichern von „CAPolicy.inf“

Wenn die Quellzertifizierungsstelle eine benutzerdefinierte Datei „CAPolicy.inf“ verwendet, sollten die Datei an den gleichen Speicherort wie die Sicherungsdateien der Quellzertifizierungsstelle kopiert werden.

Die Datei „CAPolicy.inf“ befindet sich im Verzeichnis %SystemRoot% (normalerweise „C:\Windows“).

Entfernen des Zertifizierungsstellen-Rollendiensts vom Quellserver

Der Zertifizierungsstellen-Rollendienst muss vom Quellserver entfernt werden, nachdem die Sicherungsverfahren ausgeführt wurden und bevor der Zertifizierungsstellen-Rollendienst auf dem Zielserver installiert wird. Unternehmenszertifizierungsstellen und eigenständige Zertifizierungsstellen, die Domänenmitglieder sind, speichern dem allgemeinen Namen der Zertifizierungsstelle zugeordnete Konfigurationsdaten in Active Directory-Domänendiensten (AD DS). Durch das Entfernen des Zertifizierungsstellen-Rollendiensts werden auch die Konfigurationsdaten der Zertifizierungsstelle aus AD DS entfernt. Für die Quellzertifizierungsstelle und die Zielzertifizierungsstelle wird der gleiche allgemeine Name verwendet. Wenn der Zertifizierungsstellen-Rollendienst vom Quellserver entfernt wird, nachdem er auf dem Zielserver installiert wurde, werden daher von der Zielzertifizierungsstelle benötigte Konfigurationsdaten entfernt. Dies beeinträchtigt die Funktion der Zielzertifizierungsstelle.

Die Datenbank, der private Schlüssel und das Zertifikat der Zertifizierungsstelle werden durch das Entfernen des Zertifizierungsstellen-Rollendiensts nicht vom Quellserver entfernt. Daher kann die Quellzertifizierungsstelle durch eine erneute Installation des Zertifizierungsstellen-Rollendiensts auf dem Quellserver wiederhergestellt werden, wenn die Migration fehlschlägt und ein Rollback erforderlich ist. Weitere Informationen finden Sie unter Wiederherstellen von AD CS auf dem Quellserver im Fall eines Migrationsfehlers.

WarningWarnung
Obwohl es nicht empfohlen wird, entscheiden sich einige Administratoren möglicherweise, den Zertifizierungsstellen-Rollendienst auf dem Quellserver nicht zu deinstallieren, damit die Quellzertifizierungsstelle im Fall eines Migrationsfehlers schnell online gebracht werden kann. Wenn Sie den Zertifizierungsstellen-Rollendienst nicht vom Quellserver entfernen, bevor Sie ihn auf dem Zielserver installieren, müssen Sie vor dem Installieren des Zertifizierungsstellen-Rollendiensts auf dem Zielserver die Active Directory-Zertifikatdienste (Certsvc) deaktivieren und den Quellserver herunterfahren. Entfernen Sie den Zertifizierungsstellen-Rollendienst nach der Migration zum Zielserver nicht vom Quellserver. Wird der Zertifizierungsstellen-Rollendienst nach der Migration zum Zielserver vom Quellserver entfernt, beeinträchtigt dies die Funktion der Zielzertifizierungsstelle.

 

  • Verwenden Sie zum Entfernen der Zertifizierungsstelle auf einem Computer unter Windows Server 2003 den Assistenten „Windows-Komponenten hinzufügen/entfernen“.
  • Verwenden Sie zum Entfernen der Zertifizierungsstelle auf einem Computer unter Windows Server 2008 den Assistenten „Rollen entfernen“ im Server-Manager.

Entfernen des Quellservers aus der Domäne

Da Computernamen innerhalb einer Active Directory-Domäne eindeutig sein müssen, müssen Sie den Quellserver aus seiner Domäne entfernen und das zugehörige Computerkonto aus Active Directory löschen, bevor Sie den Zielserver der Domäne hinzufügen.

Wenn Sie Zugriff auf einen Domänenmitgliedscomputer unter Windows Server 2008 oder Windows Server 2008 R2 haben, führen Sie das folgende Verfahren aus, um den Quellserver mit „Netdom.exe“ aus der Domäne zu entfernen.

Wenn Sie keinen Zugriff auf einen Computer haben, auf dem Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird, führen Sie das Verfahren unter Beitreten zu einer Arbeitsgruppe(http://go.microsoft.com/fwlink/?LinkId=207683) aus. Durch das Beitreten zu einer Arbeitsgruppe wird ein Domänenmitgliedscomputer auch aus seiner Domäne entfernt.

So entfernen Sie den Quellserver mit „Netdom.exe“ aus der Domäne

  1. Öffnen Sie auf einem Domänenmitgliedscomputer unter Windows Server 2008 oder Windows Server 2008 R2 ein Eingabeaufforderungsfenster mit erhöhten Rechten.
  2. Gebe Sie netdom remove <Quellservername> /d:<Domänenname> /ud:<Domänenbenutzerkonto> /pd:* ein, und drücken Sie die EINGABETASTE. Weitere Befehlszeilenoptionen finden Sie im Abschnitt zur Syntax von „Netdom remove“ (http://go.microsoft.com/fwlink/?LinkID=207681) (möglicherweise in englischer Sprache).
  3. Fahren Sie den Quellserver herunter.

Nachdem Sie den Quellserver aus seiner Domäne entfernt haben, löschen Sie das Computerkonto des Quellservers aus AD DS, indem Sie das Verfahren unter Löschen eines Computerkontos(http://go.microsoft.com/fwlink/?LinkID=138386) ausführen

Hinzufügen des Zielservers zur Domäne

Ändern Sie vor dem Hinzufügen des Zielservers zur Domäne den Computernamen in den Namen, der für den Quellserver verwendet wurde. Führen Sie anschließend das Verfahren zum Hinzufügen des Zielservers zur Domäne aus.

Wenn der Zielserver unter der Server Core-Installationsoption ausgeführt wird, müssen Sie das Befehlszeilenverfahren verwenden.

Um den Zielserver umzubenennen, müssen Sie ein Mitglied der lokalen Gruppe „Administratoren“ sein. Um den Server der Domäne hinzuzufügen, müssen Sie ein Mitglied der Gruppe „Domänen-Admins“ oder „Organisations-Admins“ sein oder über delegierte Berechtigungen zum Hinzufügen des Zielservers zu einer Organisationseinheit (OU) in der Domäne verfügen.

noteHinweis
Wenn Sie eine eigenständige Zertifizierungsstelle migrieren, die kein Domänenmitglied ist, führen Sie nur die Schritte zum Umbenennen des Zielservers aus, und fügen Sie den Zielserver nicht der Domäne hinzu.

 

So fügen Sie den Zielserver der Domäne mit „Netdom.exe“ hinzu

  • Öffnen Sie auf dem Zielserver ein Eingabeaufforderungsfenster mit erhöhten Rechten.
  • Geben Sie netdom renamecomputer <Computername> /newname:<neuer Computername> ein.
  • Starten Sie den Zielserver neu.
  • Melden Sie sich nach dem Neustart des Zielservers mit einem Konto an, das über die Berechtigung zum Hinzufügen von Computern zur Domäne verfügt.
  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, geben Sie netdom join <Computername> /d:<Domänenname> /ud:<Domänenbenutzerkonto> /pd:* [/ou:<Name der Organisationseinheit>] ein, und drücken Sie die EINGABETASTE. Weitere Befehlszeilenoptionen finden Sie im Abschnitt zur Syntax von „Netdom join“ (http://go.microsoft.com/fwlink/?LinkID=207680) (möglicherweise in englischer Sprache).
  2. Starten Sie den Zielserver neu.

Hinzufügen des Zertifizierungsstellen-Rollendiensts zum Zielserver

In diesem Abschnitt werden zwei unterschiedliche Verfahren zum Hinzufügen des Zertifizierungsstellen-Rollendiensts zum Zielserver beschrieben, einschließlich spezieller Anweisungen für die Failover-Clusterunterstützung.

Den folgenden Anweisungen können Sie entnehmen, welche Verfahren Sie ausführen müssen.

Spezielle Anweisungen zum Migrieren zu einem Failovercluster

Wenn Sie zu einem Failovercluster migrieren, müssen Sie die Verfahren zum Importieren des Zertifizierungsstellenzertifikats und Hinzufügen des Zertifizierungsstellen-Rollendiensts auf jedem Clusterknoten ausführen. Nachdem der Zertifizierungsstellen-Rollendienst jedem Knoten hinzugefügt wurde, sollten Sie die Active Directory-Zertifikatdienste (Certsvc) beenden.

Zudem müssen Sie sicherstellen, dass der von der Zertifizierungsstelle verwendete freigegebene Speicher online und dem Knoten zugewiesen ist, dem Sie den Zertifizierungsstellen-Rollendienst hinzufügen.

Die Datenbank und die Protokolldateien der Zertifizierungsstelle müssen sich im freigegebenen Speicher befinden. Der freigegebene Speicherort wird in Schritt 12 des Verfahrens zum Installieren der Zertifizierungsstelle angegeben.

So überprüfen Sie, ob der freigegebene Speicher online ist

  1. Melden Sie sich am Zielserver an.
  2. Starten Sie den Server-Manager.
  3. Doppelklicken Sie in der Konsolenstruktur auf Speicher, und klicken Sie dann auf Datenträgerverwaltung.
  4. Stellen Sie sicher, dass der freigegebene Speicher online und dem Knoten zugewiesen ist, bei dem Sie angemeldet sind.

Importieren des Zertifizierungsstellenzertifikats

Wenn Sie den Zertifizierungsstellen-Rollendienst mit dem Server-Manager hinzufügen, müssen Sie das folgende Verfahren ausführen, um das Zertifizierungsstellenzertifikat zu importieren.

Wenn Sie den Zertifizierungsstellen-Rollendienst mit „SetupCA.vbs“ hinzufügen, überspringen Sie das folgende Verfahren, und fahren Sie mit dem Abschnitt Hinzufügen des Zertifizierungsstellen-Rollendiensts mit „SetupCA.vbs“ fort.

So importieren Sie das Zertifizierungsstellenzertifikat

  1. Starten Sie das Snap-In „Zertifikate“ für das lokale Computerkonto.
  2. Doppelklicken Sie in der Konsolenstruktur auf Zertifikate (Lokaler Computer), und klicken Sie auf Persönlich.
  3. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Importieren, um den Zertifikatimport-Assistenten zu öffnen. Klicken Sie auf Weiter.
  4. Suchen Sie nach der Datei „<Zertifizierungsstellenname>.p12″, die beim Sichern des Zertifizierungsstellenzertifikats und privaten Schlüssels der Quellzertifizierungsstelle erstellt wurde, und klicken Sie aufÖffnen.
  5. Geben Sie das Kennwort ein, und klicken Sie auf OK.
  6. Klicken Sie auf Alle Zertifikate in folgendem Speicher speichern.
  7. Stellen Sie sicher, dass in Zertifikatspeicher der Eintrag Persönlich angezeigt wird. Falls dies nicht der Fall ist, klicken Sie auf Durchsuchen, auf Persönlich und dann auf OK.
    noteHinweis
    Wenn Sie ein Netzwerk-HSM verwenden, führen Sie die Schritte 8 bis 10 aus, um die Zuordnung zwischen dem importierten Zertifizierungsstellenzertifikat und dem im HSM gespeicherten privaten Schlüssel zu reparieren.

     

  8. Doppelklicken Sie in der Konsolenstruktur auf Persönliche Zertifikate, und klicken Sie auf das importierte Zertifizierungsstellenzertifikat.
  9. Klicken Sie im Menü Aktion auf Öffnen. Klicken Sie auf die Registerkarte Details, kopieren Sie die Seriennummer in die Zwischenablage, und klicken Sie dann auf OK.
  10. Öffnen Sie ein Eingabeaufforderungsfenster, geben Sie certutil –repairstore My „{Seriennummer}“ ein, und drücken Sie dann die EINGABETASTE.

Hinzufügen des Zertifizierungsstellen-Rollendiensts mit dem Server-Manager

Wenn der Zielserver ein Domänenmitglied ist, müssen Sie ein Konto verwenden, das Mitglied der Gruppe „Domänen-Admins“ oder „Organisations-Admins“ ist, damit der Installations-Assistent auf Objekte in AD DS zugreifen kann.

So fügen Sie den Zertifizierungsstellen-Rollendienst mit dem Server-Manager hinzu

  1. Melden Sie sich am Zielserver an, und starten Sie den Server-Manager.
  2. Klicken Sie in der Konsolenstruktur auf Rollen.
  3. Klicken Sie im Menü Aktion auf Rollen hinzufügen.
  4. Wenn die Seite Vorbemerkungen angezeigt wird, klicken Sie auf Weiter.
  5. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste, und klicken Sie dann auf Weiter.
  6. Klicken Sie auf der Seite Einführung in Active Directory-Zertifikatdienste auf Weiter.
  7. Klicken Sie auf der Seite Rollendienste auf das Kontrollkästchen Zertifizierungsstelle, und klicken Sie auf Weiter.
    noteHinweis
    Wenn Sie vorhaben, andere Rollendienste auf dem Zielserver zu installieren, sollten Sie zuerst die Installation der Zertifizierungsstelle abschließen und andere Rollendienste dann separat installieren. Installationsverfahren für andere AD CS-Rollendienste werden nicht in diesem Handbuch beschrieben.

     

  8. Geben Sie auf der Seite Setuptyp angeben entsprechend der Quellzertifizierungsstelle Unternehmen oder Eigenständig an, und klicken Sie auf Weiter.
  9. Geben Sie auf der Seite Zertifizierungsstellentyp angeben entsprechend der Quellzertifizierungsstelle Stammzertifizierungsstelle oder Untergeordnete Zertifizierungsstelle an, und klicken Sie aufWeiter.
  10. Wählen Sie auf der Seite Privaten Schlüssel einrichten die Optionen Vorhandenen privaten Schlüssel verwenden und Zertifikat auswählen und dazugehörigen privaten Schlüssel verwendenaus.
    noteHinweis
    Wenn die Zertifizierungsstelle ein HSM verwendet, wählen Sie den privaten Schlüssel anhand der vom HSM-Anbieter bereitgestellten Verfahren aus.

     

  11. Klicken Sie in der Liste Zertifikate auf das importierte Zertifizierungsstellenzertifikat und dann auf Weiter.
    noteHinweis
    Wenn Sie einen benutzerdefinierten Kryptografiedienstanbieter (CSP) verwenden, der hohen Schutz für den privaten Schlüssel erfordert, klicken Sie auf Administratorinteraktion bei jedem Zertifizierungsstellenzugriff auf den privaten Schlüssel zulassen. Für die in Windows Server enthaltenen CSPs muss diese Einstellung nicht aktiviert werden.

     

  12. Geben Sie auf der Seite Zertifikatdatenbank konfigurieren die Speicherorte für die Datenbank und die Protokolldateien der Zertifizierungsstelle an.
    noteHinweis
    Wenn Sie die Zertifizierungsstelle zu einem Failovercluster migrieren, müssen sich die Speicherorte für die Datenbank und die Protokolldateien in einem freigegebenen Speicher befinden, der allen Knoten angefügt ist. Da der Speicherort für alle Clusterknoten gilt, klicken Sie beim Hinzufügen des Zertifizierungsstellen-Rollendiensts auf anderen Knoten auf Ja, um die vorhandene Datenbank der Zertifizierungsstelle zu überschreiben.

     

    ImportantWichtig
    Wenn sich die angegebenen Speicherorte von denen der Quellzertifizierungsstelle unterscheiden, müssen Sie auch die Sicherungsdatei der Registrierungseinstellungen bearbeiten, bevor die Zertifizierungsstelle wiederhergestellt wird. Wenn sich die während des Setups angegebenen Speicherorte von den in den Registrierungseinstellungen angegebenen Speicherorten unterscheiden, kann die Zertifizierungsstelle nicht gestartet werden.

     

  13. Überprüfen Sie die Meldungen auf der Seite Installationsauswahl bestätigen, und klicken Sie dann auf Installieren.
  14. Wenn Sie zu einem Failovercluster migrieren, beenden Sie die Active Directory-Zertifikatdienste (Certsvc) und den HSM-Dienst, sofern dieser von der Zertifizierungsstelle verwendet wird. Wiederholen Sie anschließend die Verfahren zum Importieren des Zertifizierungsstellenzertifikats und Hinzufügen des Zertifizierungsstellen-Rollendiensts auf anderen Clusterknoten.

Hinzufügen des Zertifizierungsstellen-Rollendiensts mit „SetupCA.vbs“

Sie müssen das folgende Verfahren ausführen, wenn der Zielserver unter der Server Core-Installationsoption von Windows Server 2008 R2 ausgeführt wird. Das Verfahren kann auch für vollständige Installationen von Windows Server 2008 R2 verwendet werden, wenn Sie weder Failover-Clusterunterstützung noch ein HSM verwenden.

So fügen Sie den Zertifizierungsstellen-Rollendienst auf einem Computer unter der Server Core-Installationsoption von Windows Server 2008 R2 hinzu

  1. Melden Sie sich als Mitglied der lokalen Gruppe „Administratoren“ oder der Gruppe „Organisations-Admins“ am Zielserver an.
  2. Kopieren Sie das Skript „Setupca.vbs“ aus AD CS-Migration: Anhang A in ein Verzeichnis auf dem Zielserver.
  3. Kopieren Sie das Verzeichnis mit den Sicherungsdateien für die Datenbank der Zertifizierungsstelle und den Sicherungsdateien für das Zertifizierungsstellenzertifikat in ein Verzeichnis auf dem Zielserver.
    ImportantWichtig
    Die Sicherungsdateien für die Datenbank der Zertifizierungsstelle werden in einem Verzeichnis mit dem Namen Database erstellt. Kopieren Sie das gesamte Verzeichnis Database, anstatt nur die Sicherungsdateien im Verzeichnis zu kopieren.

     

  4. Geben Sie certutil.exe -importpfx <Zertifizierungsstellenname>.p12„, und drücken Sie die EINGABETASTE.
  5. Geben Sie das Kennwort für den privaten Schlüssel ein, und drücken Sie die EINGABETASTE.
  6. Geben Sie certutil.exe -store my | find „Key Container“ ein, und drücken Sie die EINGABETASTE.
  7. Kopieren Sie den nach dem Gleichheitszeichen (=) angezeigten Wert von Key Container. Verwenden Sie keine führenden oder nachfolgenden Leerzeichen.
  8. Geben Sie Cscript Setupca.vbs /IS /RC /SN „<Key Container-Wert> ein.
    ImportantWichtig
    Verwenden Sie zum Installieren einer eigenständigen Zertifizierungsstelle /IS.

    Verwenden Sie zum Installieren einer Unternehmenszertifizierungsstelle /IE.

    <Key Container-Wert> ist der Wert, den Sie im vorherigen Schritt kopiert haben.

     

  9. Geben Sie net stop certsvc ein, und drücken Sie die EINGABETASTE.
WarningWarnung
Wenn Sie vorhaben, die Zertifikatsperrliste und die Erweiterungen des Stelleninformationszugriffs für die Zielzertifizierungsstelle zu veröffentlichen, installieren Sie IIS 7 mit dem IIS 6-Metabasiskompatibilität-Rollenfeature der Zielzertifizierungsstelle, bevor Sie „SetupCA.vbs“ ausführen. Andernfalls wird das virtuelle Verzeichnis Enroll von „SetupCA.vbs“ nicht erstellt oder konfiguriert. Alternativ können Sie das virtuelle Verzeichns Enroll durch Ausführen des Befehls certutil –vroot erstellen und konfigurieren, nachdem Sie IIS 7 mit dem Rollenfeature IIS 6-Metabasiskompatibilitätinstalliert haben.

 

Wiederherstellen der Datenbank und Konfiguration der Zertifizierungsstelle auf dem Zielserver

Die Verfahren in diesem Abschnitt sollten erst ausgeführt werden, nachdem der Zertifizierungsstellen-Rollendienst auf dem Zielserver installiert wurde.

Wenn Sie zu einem Failovercluster migrieren, fügen Sie den Zertifizierungsstellen-Rollendienst allen Clusterknoten hinzu, bevor Sie die Datenbank der Zertifizierungsstelle wiederherstellen. Die Datenbank der Zertifizierungsstelle sollte nur auf einem Clusterknoten wiederhergestellt werden und muss sich an einem freigegebenen Speicher befinden.

Das Wiederherstellen der Sicherung der Quellzertifizierungsstelle umfasst die folgenden Aufgaben:

Wiederherstellen der Datenbank der Quellzertifizierungsstelle auf dem Zielserver

In diesem Abschnitt werden zwei unterschiedliche Verfahren zum Wiederherstellen der Datenbanksicherung der Quellzertifizierungsstelle auf dem Zielserver beschrieben.

Wenn Sie zu einer Server Core-Installation von Windows Server 2008 R2 migrieren, müssen Sie das Verfahren „So stellen Sie die Sicherung der Datenbank und des privaten Schlüssels der Quellzertifizierungsstelle mit „Certutil.exe“ auf der Zielzertifizierungsstelle wieder her“ verwenden. Im Allgemeinen kann eine auf einer Server Core-Installation ausgeführte Zertifizierungsstelle mit dem Snap-In „Zertifizierungsstelle“ und dem Server-Manager remote verwaltet werden. Es ist jedoch nicht möglich, die Datenbank einer Zertifizierungsstelle mit Remoteverwaltungstools wiederherzustellen.

Wenn Sie zu einem Failovercluster migrieren, müssen Sie sicherstellen, dass der freigegebene Speicher online ist, und die Datenbank der Zertifizierungsstelle nur auf einem Clusterknoten wiederherstellen.

So stellen Sie die Datenbank der Zertifizierungsstelle mit dem Snap-In „Zertifizierungsstelle“ wieder her

  1. Melden Sie sich mit einem Zertifizierungsstellenadministrator-Konto am Zielserver an.
  2. Starten Sie das Snap-In „Zertifizierungsstelle“.
  3. Klicken mit der rechten Maustaste auf den Knoten mit dem Zertifizierungsstellennamen, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Zertifizierungsstelle wiederherstellen. Klicken Sie auf OK, um den Zertifizierungsstellendienst zu beenden, wenn Sie dazu aufgefordert werden.
  4. Klicken Sie auf der Seite Willkommen auf Weiter.
  5. Wählen Sie auf der Seite Zu wiederherstellende Elemente die Option Zertifikatdatenbank und Zertifikatdatenbankprotokoll aus.
  6. Klicken Sie auf Durchsuchen, und suchen Sie nach dem Verzeichnis Database mit den Datenbankdateien, die während der Sicherung der Datenbank der Zertifizierungsstelle erstellt wurden.
    noteHinweis
    Wählen Sie nicht das Verzeichnis Database aus. Wählen Sie das übergeordnete Verzeichnis aus.

     

  7. Geben Sie das Kennwort ein, mit dem Sie die Datenbank der Zertifizierungsstelle auf der Quellzertifizierungsstelle gesichert haben.
  8. Klicken Sie auf Fertig stellen, und klicken Sie dann auf Ja, um den Zertifizierungsstellendienst neu zu starten.

So stellen Sie die Datenbank der Zertifizierungsstelle mit „Certutil.exe“ wieder her

  1. Melden Sie sich mit einem Zertifizierungsstellenadministrator-Konto am Zielserver an.
  2. Öffnen Sie ein Eingabeaufforderungsfenster.
  3. Geben Sie certutil.exe -f -restoredb <Sicherungsverzeichnis der Datenbank der Zertifizierungsstelle> ein, und drücken Sie die EINGABETASTE.
    noteHinweis
    <Sicherungsverzeichnis der Datenbank der Zertifizierungsstelle> ist das übergeordnete Verzeichnis des Verzeichnisses Database. Wenn sich die Sicherungsdateien für die Datenbank der Zertifizierungsstelle z. B. in „C:\Temp\Database“ befinden, ist <Sicherungsverzeichnis der Datenbank der Zertifizierungsstelle> „C:\Temp“.

     

Wiederherstellen der Registrierungseinstellungen der Quellzertifizierungsstelle auf dem Zielserver

Durch das Importieren der Sicherung der Registrierungseinstellungen des Quellservers in den Zielserver wird die Konfiguration der Quellzertifizierungsstelle zum Zielserver migriert.

Einige Registrierungswerte müssen geändert werden, nachdem die Sicherung der Registrierungseinstellungen des Quellservers auf dem Zielserver wiederhergestellt wurde.

Führen Sie das Verfahren zum Importieren der Registrierungseinstellungen aus, lesen Sie dann das Verfahren zum Bearbeiten der Einstellungen, und führen Sie die für Ihr Szenario zutreffenden Schritte aus.

Wenn sich der Name des Zielservers vom Namen des Quellservers unterscheidet, führen Sie auch die Schritte 6 und 8 des Verfahrens „So bearbeiten Sie die Registrierungseinstellungen der Zertifizierungsstelle“ aus. Dadurch stellen Sie sicher, dass die Zertifizierungsstelle auf dem Zielserver Zertifikatsperrlisten und Zertifizierungsstellenzertifikate an den Speicherorten veröffentlichen kann, die in den Zertifikatsperrlisten-Verteilungspunkterweiterungen und Erweiterungen des Stelleninformationszugriffs der von der Quellzertifizierungsstelle ausgestellten Zertifikate angegeben sind. Dieser Schritt ist erforderlich, um sicherzustellen, dass die Vorgänge der Zertifikatsperrüberprüfung und Zertifikatüberprüfung nicht durch die Migration der Zertifizierungsstelle gestört werden.

So importieren Sie die Registrierungssicherung der Quellzertifizierungsstelle auf der Zielzertifizierungsstelle

  1. Melden Sie sich als Mitglied der lokalen Gruppe „Administratoren“ am Zielserver an.
  2. Öffnen Sie ein Eingabeaufforderungsfenster.
  3. Geben Sie net stop certsvc ein, und drücken Sie die EINGABETASTE.
  4. Geben Sie reg import <Sicherung der Registrierungseinstellungen> ein, und drücken Sie die EINGABETASTE.

So bearbeiten Sie die Registrierungseinstellungen der Zertifizierungsstelle

  1. Klicken Sie auf Start, geben Sie regedit.exe in das Feld Programme/Dateien durchsuchen ein, und drücken Sie dann die EINGABETASTE, um den Registrierungs-Editor zu öffnen.
  2. Suchen Sie in der Konsolenstruktur nach dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration, und klicken Sie auf Konfiguration.
  3. Doppelklicken Sie im Detailbereich auf DBSessionCount.
  4. Klicken Sie auf Hexadezimal. Geben Sie im Feld Wert den Wert 64 ein, und klicken Sie dann auf OK.
  5. Überprüfen Sie, ob die in den folgenden Einstellungen angegebenen Speicherorte für den Zielserver korrekt sind, und ändern Sie sie ggf., um den Speicherort der Datenbank und der Protokolldateien der Zertifizierungsstelle anzugeben.
    • DBDirectory
    • DBLogDirectory
    • DBSystemDirectory
    • DBTempDirectory
    ImportantWichtig
    Führen Sie die Schritte 6 bis 8 nur aus, wenn sich der Name des Zielservers vom Namen des Quellservers unterscheidet.

     

  6. Erweitern Sie in der Konsolenstruktur Konfiguration, und klicken Sie auf den Zertifizierungsstellennamen.
  7. Ändern Sie die Werte der folgenden Registrierungseinstellungen, indem Sie den Quellservernamen durch den Zielservernamen ersetzen.
    noteHinweis
    Die Werte von „CACertFileName“ und „ConfigurationDirectory“ in der folgenden Liste werden nur erstellt, wenn bestimmte Installationsoptionen für die Zertifizierungsstelle angegeben werden. Wenn diese zwei Einstellungen nicht angezeigt werden, können Sie mit dem nächsten Schritt fortfahren.

     

    • CAServerName
    • CACertFileName
    • ConfigurationDirectory
  8. Ändern Sie die Werte der folgenden Registrierungseinstellungen, indem Sie %1 durch den vollqualifizierten Domänennamen des Zielservers und %2 durch den NetBIOS-Namen des Zielservers ersetzen.
    • CACertPublicationURLs
    • CRLPublicationURLs
    noteHinweis
    Die Werte %1 und %2 sind zwei der Ersetzungsvariablen, die von einer Zertifizierungsstelle verwendet werden, um Komponenten von URIs darzustellen, z. B. Servernamen und Dateinamen. Diese Variablen werden während der Zertifikatausstellung von einer Zertifizierungsstelle übersetzt, um sicherzustellen, dass die den Zertifikaterweiterungen hinzugefügten Speicherorte den korrekten Speicherorten der Zertifikatsperrliste und des Zertifizierungsstellenzertifikats entsprechen. %1 stellt den vollqualifizierten DNS-Namen des Servers dar und %2 den NetBIOS-Namen des Servers. Wenn sich der Name des Zielservers vom Namen des Quellservers unterscheidet und die Ersetzungsvariablen nicht durch den Quellservernamen ersetzt werden, werden Zertifikatsperrlisten an einem Speicherort veröffentlicht, der auf den Zielservernamen verweist. Dadurch werden die Zertifikatsperrüberprüfung und Zertifikatüberprüfung gestört, da von der Quellzertifizierungsstelle ausgestellte Zertifikate Speicherorte enthalten, die auf den Quellservernamen verweisen.

     

Überprüfen der Zertifikaterweiterungen auf der Zielzertifizierungsstelle

Die Schritte zum Importieren der Registrierungseinstellungen der Quellzertifizierungsstelle und Bearbeiten der Registrierung bei einer Änderung des Servernamens dienen dazu, die Netzwerkadressen beizubehalten, die von der Quellzertifizierungsstelle zum Veröffentlichen von Zertifikatsperrlisten und Zertifizierungsstellenzertifikaten verwendet wurden. Wenn die Quellzertifizierungsstelle an standardmäßigen Active Directory-Speicherorten veröffentlicht wurde, sollten nach dem Abschließen des vorherigen Verfahrens eine Erweiterung mit aktivierten Veröffentlichungsoptionen und eine LDAP-URL, die auf den NetBIOS-Namen des Quellservers verweist, vorhanden sein. Beispiel: ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Da viele Administratoren für ihre Netzwerkumgebung angepasste Erweiterungen konfigurieren, ist es nicht möglich, genaue Anweisungen zum Konfigurieren der Zertifikatsperrlisten-Verteilungspunkterweiterungen und Erweiterungen des Stelleninformationszugriffs bereitzustellen.

Überprüfen Sie die konfigurierten Speicherorte und Veröffentlichungsoptionen sorgfältig, und stellen Sie sicher, dass die Erweiterungen den Anforderungen der Organisation entsprechen.

So überprüfen Sie Erweiterungen mit dem Snap-In „Zertifizierungsstelle“

  1. Überprüfen und ändern Sie die Zertifikatsperrlisten-Verteilungspunkterweiterungen, die Erweiterungen des Stelleninformationszugriffs und die Veröffentlichungsoptionen anhand der Beispielverfahren im Abschnitt zum Angeben von Zertifikatsperrlisten-Verteilungspunkten (http://go.microsoft.com/fwlink/?LinkID=145848).
  2. Wenn sich der Zielservername vom Quellservernamen unterscheidet, fügen Sie einen LDAP-URL hinzu, und geben Sie dabei mit der Ersetzungsvariable <ServerShortName> einen Speicherort an, der auf den NetBIOS-Namen des Zielservers verweist. Beispiel: ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Wiederherstellen der Zertifikatvorlagenliste

Das folgende Verfahren ist nur für eine Unternehmenszertifizierungsstelle erforderlich. Bei einer eigenständigen Zertifizierungsstelle werden keine Zertifikatvorlagen verwendet.

So weisen Sie Zertifikatvorlagen der Zielzertifizierungsstelle zu

  1. Melden Sie sich mit Administratoranmeldedaten bei der Zielzertifizierungsstelle an.
  2. Öffnen Sie ein Eingabeaufforderungsfenster.
  3. Geben Sie certutil -setcatemplates +<Vorlagenliste> ein, und drücken Sie die EINGABETASTE.
    noteHinweis
    Ersetzen Sie <Vorlagenliste> durch eine durch Trennzeichen getrennte Liste der Vorlagennamen, die in der Datei „catemplates.txt“ aufgeführt sind (diese Datei wird im Verfahren „So erfassen Sie eine Zertifizierungsstellen-Vorlagenliste mit Certutil.exe“ erstellt), z. B. certutil -setcatemplates +Administrator, Benutzer, DomainController. Überprüfen Sie die Liste der Vorlagen, die in Sichern einer Zertifizierungsstellen-Vorlagenliste erstellt wurde.

     

Gewähren von Berechtigungen für AIA- und CDP-Container

Wenn sich der Name des Zielservers vom Namen des Quellservers unterscheidet, müssen dem Zielserver Berechtigungen für die CDP- und AIA-Container des Quellservers in AD DS gewährt werden, um Zertifikatsperrlisten und Zertifizierungsstellenzertifikate veröffentlichen zu können. Führen Sie das folgende Verfahren im Fall einer Servernamenänderung aus.

So gewähren Sie Berechtigungen für die AIA- und CDP-Container

  1. Melden Sie sich als Mitglied der Gruppe „Organisations-Admins“ an einem Computer an, auf dem das Snap-In „Active Directory-Standorte und -Dienste“ installiert ist.
  2. Klicken Sie auf Start, zeigen Sie auf Ausführen, geben Sie dssite.msc ein, und klicken Sie dann auf OK.
  3. Klicken Sie in der Konsolenstruktur auf den obersten Knoten.
  4. Klicken Sie im Menü Ansicht auf Dienstknoten anzeigen.
  5. Erweitern Sie in der Konsolenstruktur Dienste und Public Key Services, und klicken Sie dann auf AIA.
  6. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Namen der Quellzertifizierungsstelle, und klicken Sie dann auf Eigenschaften.
  7. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen.
  8. Klicken Sie auf Objekttypen, auf Computer und dann auf OK.
  9. Geben Sie den Namen des Zielservers ein, und klicken Sie auf OK.
  10. Klicken Sie in der Spalte Zulassen auf Vollzugriff, und klicken Sie auf Übernehmen.
  11. Wenn das Quellserverobjekt in Gruppen- oder Benutzernamen angezeigt wird, klicken Sie auf den Namen des Quellservers und dann auf Entfernen. Klicken Sie anschließend auf OK.
  12. Erweitern Sie in der Konsolenstruktur CDP, und klicken Sie dann auf den Namen des Quellservers.
  13. Klicken Sie im Detailbereich mit der rechten Maustaste auf das Element cRLDistributionPoint am Anfang der Liste, und klicken Sie dann auf Eigenschaften.
  14. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen.
  15. Klicken Sie auf Objekttypen, auf Computer und dann auf OK.
  16. Geben Sie den Namen des Zielservers ein, und klicken Sie auf OK.
  17. Klicken Sie in der Spalte Zulassen auf Vollzugriff, und klicken Sie auf Übernehmen.
  18. Wenn das Quellserverobjekt in Gruppen- oder Benutzernamen angezeigt wird, klicken Sie auf den Namen des Quellservers und dann auf Entfernen. Klicken Sie anschließend auf OK.
  19. Wiederholen Sie die Schritte 13 bis 18 für jedes cRLDistributionPoint-Element.

Zusätzliche Verfahren für Failover-Clusterunterstützung

Wenn Sie zu einem Failovercluster migrieren, führen Sie die folgenden Verfahren aus, nachdem die Datenbank der Zertifizierungsstelle und die Registrierungseinstellungen zum Zielserver migriert wurden.

noteHinweis
Die Migration einer Zertifizierungsstelle zu einem Failovercluster, der unter der Server Core-Installationsoption von Windows Server 2008 R2 ausgeführt wird, wird nicht in diesem Handbuch beschrieben.

 

Wenn Sie zu einem Failovercluster migrieren, führen Sie die folgenden Verfahren aus, um die Failover-Clusterunterstützung für AD CS zu konfigurieren.

So konfigurieren Sie AD CS als Clusterressource

  1. Klicken Sie auf Start, zeigen Sie auf Ausführen, geben Sie Cluadmin.msc ein, und klicken Sie dann auf OK.
  2. Klicken Sie in der Konsolenstruktur des Failovercluster-Verwaltungs-Snap-Ins auf Dienste und Anwendungen.
  3. Klicken Sie im Menü Aktion auf Dienst oder Anwendung konfigurieren. Wenn die Seite Vorbemerkungen angezeigt wird, klicken Sie auf Weiter.
  4. Wählen Sie in der Liste der Dienste und der Anwendungen Allgemeiner Dienst aus, und klicken Sie auf Weiter.
  5. Wählen Sie in der Liste der Dienste Active Directory-Zertifikatdienste aus, und klicken Sie auf Weiter.
  6. Geben Sie einen Dienstnamen an, und klicken Sie auf Weiter.
  7. Wählen Sie den Speicher aus, der noch für den Knoten bereitgestellt ist, und klicken Sie auf Weiter.
  8. Um eine freigegebene Registrierungsstruktur zu konfigurieren, klicken Sie auf Hinzufügen, geben Sie SYSTEM\CurrentControlSet\Services\CertSvc ein, und klicken Sie dann auf OK. Klicken Sie zweimal auf Weiter.
  9. Klicken Sie auf Fertig stellen, um die Failoverkonfiguration für AD CS abzuschließen.
  10. Doppelklicken Sie in der Konsolenstruktur auf Dienste und Anwendungen, und wählen Sie den neu erstellten geclusterten Dienst aus.
  11. Klicken Sie im Detailbereich auf Allgemeiner Dienst. Klicken Sie im Menü Aktion auf Eigenschaften.
  12. Ändern Sie Ressourcenname in Zertifizierungsstelle, und klicken Sie auf OK.

 

Wenn Sie ein Hardwaresicherheitsmodul (HSM) für die Zertifizierungsstelle verwenden, führen Sie das folgende Verfahren aus.

So erstellen Sie eine Abhängigkeit zwischen einer Zertifizierungsstelle und dem Netzwerk-HSM-Dienst

  1. Öffnen Sie das Failovercluster-Verwaltungs-Snap-In, und klicken Sie in der Konsolenstruktur auf Dienste und Anwendungen.
  2. Wählen Sie im Detailbereich den zuvor erstellten Namen des geclusterten Diensts aus.
  3. Klicken Sie im Menü Aktion auf Ressource hinzufügen und dann auf Allgemeiner Dienst.
  4. Klicken Sie in der Liste der verfügbaren Dienste im Assistenten zum Erstellen neuer Ressourcen auf den Namen des Diensts, der für die Verbindung mit dem Netzwerk-HSM installiert wurde. Klicken Sie zweimal auf Weiter und dann auf Fertig stellen.
  5. Klicken Sie in der Konsolenstruktur unter Dienste und Anwendungen auf den Namen der geclusterten Dienste.
  6. Wählen Sie im Detailbereich den neu erstellten Dienst Allgemeiner Dienst aus. Klicken Sie im Menü Aktion auf Eigenschaften.
  7. Ändern Sie ggf. auf der Registerkarte Allgemein den Dienstnamen, und klicken Sie auf OK. Überprüfen Sie, ob der Dienst online ist.
  8. Wählen Sie im Detailbereich den zuvor als Zertifizierungsstelle benannten Dienst aus. Klicken Sie im Menü Aktion auf Eigenschaften.
  9. Klicken Sie auf der Registerkarte Abhängigkeiten auf Einfügen, wählen Sie in der Liste den Netzwerk-HSM-Dienst aus, und klicken Sie auf OK.

Gewähren von Berechtigungen für Container von öffentlichen Schlüsseln

Wenn Sie zu einem Failovercluster migrieren, führen Sie die folgenden Verfahren aus, um allen Clusterknoten Berechtigungen für die folgenden AD DS-Container zu gewähren:

  • AIA-Container
  • Registrierungscontainer
  • KRA-Container

So gewähren Sie Berechtigungen für Container von öffentlichen Schlüsseln in AD DS

  1. Melden Sie sich als Mitglied der Gruppe „Domänen-Admins“ oder „Organisations-Admins“ an einem Domänenmitgliedscomputer an.
  2. Klicken Sie auf Start, zeigen Sie auf Ausführen, geben Sie dssite.msc ein, und klicken Sie dann auf OK.
  3. Klicken Sie in der Konsolenstruktur auf den obersten Knoten.
  4. Klicken Sie im Menü Ansicht auf Dienstknoten anzeigen.
  5. Erweitern Sie in der Konsolenstruktur Dienste und Public Key Services, und klicken Sie dann auf AIA.
  6. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Namen der Quellzertifizierungsstelle, und klicken Sie dann auf Eigenschaften.
  7. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen.
  8. Klicken Sie auf Objekttypen, auf Computer und dann auf OK.
  9. Geben Sie die Computerkontonamen aller Clusterknoten ein, und klicken Sie auf OK.
  10. Aktivieren Sie in der Spalte Zulassen das Kontrollkästchen Vollzugriff neben jedem Clusterknoten, und klicken Sie auf OK.
  11. Klicken Sie in der Konsolenstruktur auf den Knoten Enrollment Services.
  12. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Namen der Quellzertifizierungsstelle, und klicken Sie dann auf Eigenschaften.
  13. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen.
  14. Klicken Sie auf Objekttypen, auf Computer und dann auf OK.
  15. Geben Sie die Computerkontonamen aller Clusterknoten ein, und klicken Sie auf OK.
  16. Aktivieren Sie in der Spalte Zulassen das Kontrollkästchen Vollzugriff neben jedem Clusterknoten, und klicken Sie auf OK.
  17. Klicken Sie in der Konsolenstruktur auf KRA.
  18. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Namen der Quellzertifizierungsstelle, und klicken Sie auf Eigenschaften.
  19. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen.
  20. Klicken Sie auf Objekttypen, auf Computer und dann auf OK.
  21. Geben Sie die Namen aller Clusterknoten ein, und klicken Sie auf OK.
  22. Aktivieren Sie in der Spalte Zulassen das Kontrollkästchen Vollzugriff neben jedem Clusterknoten, und klicken Sie auf OK.

Bearbeiten des DNS-Namens für eine geclusterte Zertifizierungsstelle in AD DS

Bei der Installation des Zertifizierungsstellendiensts auf dem ersten Clusterknoten wurde das Registrierungsdienstobjekt erstellt, und der DNS-Name dieses Clusterknotens wurde dem dNSHostName-Attribut des Registrierungsdienstobjekts hinzugefügt. Da die Zertifizierungsstelle auf allen Clusterknoten verfügbar sein muss, muss es sich bei dem Wert des dNSHostName-Attributs des Registrierungsdienstobjekts um den in Schritt 6 des Verfahrens „So konfigurieren Sie AD CS als Clusterressource“ angegebenen Dienstnamen handeln.

Wenn Sie zu einer geclusterten Zertifizierungsstelle migrieren, führen Sie das folgende Verfahren auf dem aktiven Clusterknoten auf. Das Verfahren muss nur auf einem Clusterknoten ausgeführt werden.

So bearbeiten Sie den DNS-Namen für eine geclusterte Zertifizierungsstelle in AD DS

  1. Melden Sie sich als Mitglied der Gruppe „Organisations-Admins“ am aktiven Clusterknoten an.
  2. Klicken Sie auf Start, zeigen Sie auf Ausführen, geben Sie adsiedit.msc ein, und klicken Sie dann auf OK.
  3. Klicken Sie in der Konsolenstruktur auf ADSI-Editor.
  4. Klicken Sie im Menü Aktion auf Verbinden mit.
  5. Klicken Sie in der Liste der bekannten Namenskontexte auf Konfiguration und dann auf OK.
  6. Erweitern Sie in der Konsolenstruktur Konfiguration, Dienste und Public Key Services, und klicken Sie auf Enrollment Services.
  7. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Namen der Clusterzertifizierungsstelle, und klicken Sie dann auf Eigenschaften.
  8. Klicken Sie auf dNSHostName und auf Bearbeiten.
  9. Geben Sie den im Failovercluster-Manager-Snap-In unter Failover-Clusterverwaltung angezeigten Dienstnamen der Zertifizierungsstelle ein, und klicken Sie auf OK.
  10. Klicken Sie auf OK, um die Änderungen zu speichern.

Konfigurieren von Sperrlisten-Verteilungspunkten für Failovercluster

In der Standardkonfiguration einer Zertifizierungsstelle wird der Kurzname des Servers als Teil des Sperrlisten-Verteilungspunkts und der Orte des Stelleninformationszugriffs verwendet.

Wenn eine Zertifizierungsstelle auf einem Failovercluster ausgeführt wird, muss der Kurzname des Servers im Sperrlisten-Verteilungspunkt und in den Orten des Stelleninformationszugriffs durch den Kurznamen des Clusters ersetzt werden. Um die Zertifikatsperrliste in AD DS zu veröffentlichen, muss der Container für den Sperrlisten-Verteilungspunkt manuell hinzugefügt werden.

ImportantWichtig
Die folgenden Verfahren müssen auf dem aktiven Clusterknoten ausgeführt werden.

 

So ändern Sie die konfigurierten Sperrlisten-Verteilungspunkte

  1. Melden Sie sich als Mitglied der lokalen Gruppe „Administratoren“ am aktiven Clusterknoten an.
  2. Klicken Sie auf Start und Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  3. Suchen Sie nach dem Registrierungsschlüssel \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.
  4. Klicken auf den Namen der Zertifizierungsstelle.
  5. Doppelklicken Sie im rechten Bereich auf CRLPublicationURLs.
  6. Ersetzen Sie in der zweiten Zeile %2 durch den Dienstnamen, der in Schritt 6 des Verfahrens „So konfigurieren Sie AD CS als Clusterressource“ angegeben wurde.
    TipTipp
    Der Dienstname wird auch im Failovercluster-Verwaltungs-Snap-In unter Dienste und Anwendungen angezeigt.

     

  7. Starten Sie den Zertifizierungsstellendienst neu.
  8. Öffnen Sie eine Eingabeaufforderung, geben Sie certutil -CRL ein, und drücken Sie die EINGABETASTE.
    noteHinweis
    Wenn die Fehlermeldung „Verzeichnisobjekt nicht gefunden“ angezeigt wird, führen Sie das folgende Verfahren aus, um den Container für den Sperrlisten-Verteilungspunkt in AD DS zu erstellen.

     

So erstellen Sie den Container für den Sperrlisten-Verteilungspunkt in AD DS

  1. Geben Sie an einer Eingabeaufforderung cd %windir%\System32\CertSrv\CertEnroll ein, und drücken Sie die EINGABETASTE. Die mit dem Befehl „certutil –CRL“ erstellte CRL-Datei sollte sich in diesem Verzeichnis befinden.
  2. Geben Sie certutil -f -dspublish „CRLDatei.crl“ ein, und drücken Sie die EINGABETASTE, um die Zertifikatsperrliste in AD DS zu veröffentlichen.

Weitere Schritte

Nachdem Sie die Verfahren zum Migrieren der Zertifizierungsstelle abgeschlossen haben, sollten Sie die in AD CS-Migration: Überprüfen der Migration beschriebenen Verfahren ausführen.

Siehe auch