Re: Serwer certyfikatów 2003 nie przydziela - dla ekspertów

Autor: Aleks <kiebok1_at_NOSPAM.gazeta.pl>
Data: Tue 01 Mar 2005 - 13:24:41 MET
Message-ID: <d01mu9$kpm$1@inews.gazeta.pl>
Content-Type: text/plain; charset=ISO-8859-2

Jacek Marek <no.spam_jmarekw@interia.pl> napisał(a):

> Aleks wrote:
> > Co to może być?
>
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/se
c
> urity/kyacws03.mspx#EEAA
>
> Migrating Exchange KMS to Windows Server 2003 CA
> The following are the summary steps for migrating Exchange 2000 Server KMS
> to a Windows Server 2003 Certificate Authority.
>
> 1. If running Exchange 5.5 KMS, upgrade to Exchange 2000.
> 2. Configure Windows Server 2003 CA for key archival.
> (Czy aby przypadkiem "key archival" nie ma tylko Enterprise 2003, Data
> Center Server?)
> 3. Ensure that the certificate is available for database migration.
> 4. Enable the foreign certificate import option on the CA, if necessary.
> 5. Export the Exchange KMS database.
> 6. Import the Exchange database into the CA.
>
> Important: Before migrating KMS to a Windows Server 2003 CA, it is important
> to consider the version 1 CRL that is published by the Exchange KMS for
> Outlook clients in the Exchange Global Address List (GAL). If KMS is
> migrated to a Windows Server 2003 CA, the v1 certificates can no longer be
> revoked and it is recommended that a KMS migration is only performed when
> all V1 certificates are expired and/or are no longer being issued by KMS. If
> x.509 version 3 certificates are being issued by KMS with a Windows 2000 CA,
> the existing CA will need to be maintained to publish CRL(s) until all the
> original certificates issued by KMS have expired.
>
> JM
>
>

Zaraz przeczytam ten artykuł.

Informacje dodatkowe:
Serwer, na którym chodzi Exchange 2000 kiedys byl kontrolerem domeny 2000.
Domena zostala zmigrowana na 2003 a funkcja kontrolera domeny zostala
przeniesiona z tego serwera na inny. (nie wiem, czy odrazu po migracji mozna
bylo przydzielac certyfikaty User Exchange)
Na maszynie z Enterp CA zauwazylem, ze certyfikat dla Exchange'a (kiedys
dawno temu utworzony za pom. template'a MachineEnrollmentAgent) wygasl. Od
wczoraj walczylem, zeby wygenerowac nowy certyfikat na podstawie tego
template'a. Udalo sie, ale problemu nie rozwiazalo.

Na serwerze z Enterpise CA widze, ze serwer z Exchange posiada jeszcze jeden
certyfikat (tez wygasly) utworzony za pom. template'a DomainController. Ale
ten certyfikat juz chyba nie jest potrzebny.

Pozdrawiam i bede wdzieczny za kazda pomoc,
Aleks. 

-- 
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
Received on Tue Mar 1 13:25:23 2005

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 01 Mar 2005 - 13:42:01 MET