[El Scorpio]

Цитата mcmurphy:

При выполнении команды dcpromo ругнулся на то, что на сервере развернуты службы сертификации, и сначало надо удалить их. »

Это служба, которая использует корневой сертификат ЭЦП домена для создания доверенных сертификатов доменных и других служб, использующих протокол SSL: сам КД (для репликаций), сайт, почта, базы данных и т.д. Также сертификаты ЭЦП пользователей и компьютеров используются для автоматической авторизации на серверах.

Без него каждая служба будет использовать самоподписанный сертификат, который придётся добавлять в список "доверенных" на каждом компьютере / профиле пользователя. В маленькой сетке ещё прокатывает, а в большой - никак (over9000 сертификатов на over9000 пользователей ).

Цитата mcmurphy:

Вроде бы сертификация может использоваться в паре с терминалами »

Сервер терминалов также использует защищённый канал SSL. Разумеется, лучше использовать тот сертификат, который был выдан центром сертификации домена.

Цитата mcmurphy:

В общем, вопрос в том же - как и где посмотреть какие были созданы, выданы, или используются сертификаты, и их сроки. »

В папке "Администрирование" есть оснастка "Центр сертификации"

Цитата mcmurphy:

Когда поднимал новый КД на 2008 Р2 ни про какие сертификаты не спрашивало, все поднялось, роли передались... »

А это роль сервера, которая никакого отношения к ролям FSMO не имеет.
Запустить центр сертификации на новом сервере просто - "управление сервером" -> "Добавить роль".
В принципе, если вы просто остановите старый центр сертификатов, то ранее выданные сертификаты продолжат своё действие. До тех пор, пока вы не отзовёте старый корневой сертификат.
Однако просто перенести закрытый ключ старого сертификата на новый сервер нельзя, потому что данный сертификат использует сетевое имя сервера.
Так что создавайте на новом сервере новый корневой сертификат домена. Затем постепенно переводите все службы на новые сертификаты. Для контроля можно по мере перевода "отзывать" (блокировать) старые сертификаты.

[mcmurphy]

Хм... ну а если создаем домен с нуля, на те же 200 компов, разве не будет достаточно установить следующие роли: АД+ДНС и ДХЦП (по желанию). Потом просто завести компы в домен - и все. Службы сертификации по умолчанию, вместе с АД не ставяться.
В такой конфигурации разве не будет работать?
Да, и до кучи можно сервер терминалов установить - тоже без сертификатов, все должно подключаться.
Какие будут сложности?
Во всяком случае, в тестовой среде при таких настройках все работало, службы сертификации специально не устанавливал, и на раб станции и сервера ничего не добавлял.

[mcmurphy]

Сейчас посмотрел на виртуалках - действительно, центр сертификации не установлен (2008 Р2), там 2 КД, репликация проходит, все ок.
В списках сертификатов (смотрел через ММС - добавить оснастку Сертификаты) есть какие-то в Доверенных корневых центрах сертификации, но там Майкрософт, Class 3, Thawte Timestamping.

На работе, на своем компе в той же оснастке действительно фигурируют несколько ключей, два из них - по имени домена.
На КД - центре сертификации тоже есть ключи, истекают в 2014-2015 гг. По их истечении какие-то сервисы отваляться?

[El Scorpio]

Цитата mcmurphy:

Службы сертификации по умолчанию, вместе с АД не ставяться. »

Потому что они для работы самого домена (на самом простом уровне работы) не нужны.

Цитата mcmurphy:

На КД - центре сертификации тоже есть ключи, истекают в 2014-2015 гг. По их истечении какие-то сервисы отваляться? »

Не совсем.
Пользовательские программы при подключении к локальному серверу, почтовику и другим службам будут выводит стандартное предупреждение "Срок действия сертификата истёк. Вы уверены? Да/нет".
А вот системные программы вполне могут перестать работать с данными сервисами.

Повторяю, если у вас в сети есть службы, использующие SSL, то гораздо лучше организовать свой центр сертификации и выдавать доверенные ключи, заверенные корневым сертификатом домена, чем вручную добавлять все самоподписанные сертификаты всех служб на всех компьютерах.
Кстати да, чтобы распространять через групповые политики списки доверенных сертификатов внешних служб (сайты закупок и т.д.), данные списки также должны быть заверены сертификатом администратора домена. Разумеется, данный сертификат администратора также должен считаться доверенным - лучше всего, заверенным корневым сертификатом домена.

[mcmurphy]

Что-то трудно мне даются сертификаты, уж извиняйте :-)
Зашел на основной сервер терминалов, там в Конфигурации узла сеансов, в Свойствах РДП опции по умолчанию: Уровень безопасности "Согласование", Уровень шифрования "Совместимый с клиентом".
Чуть ниже, в разделе сертификаты, при щелчке на кнопке "Выбрать" пишет - "На этом узле сеансов удаленных рабочих столов не установлены сертификаты".
Похоже, что сертификаты при подключении по РДП и правда не задействованы.

Есть еще один сервер, тоже терминальный, но на нем настроены удаленные приложения. В той же оснастке, по кнопке "Выбрать" выдает 3 сертификата (во всех них фигурирует имя этого сервера). Правда все равно в настройках - "Согласование" и "Совместимый с клиентом".

Если зайти в корневой центр сертификации, который на КД, и щелкнуть на сертификатах правой кнопкой, выпадает меню - Все задачи - Экспорт... Там будет несколько вариантов действий что именно экспортировать: двоичные данные, двоичный сертификат и что-то в таком же духе.

Имеет ли смысл экспортировать эти сертификаты и затем импортировать уже на новом центре сертификации?

Где лучше создать такой центр сертификации - на новом КД (но прямо скажу - как-то не хочется), или можно просто на другом сервере?

Ну и еще - что именно надо отключить (может службу какую-то), чтобы временно смоделировать ситуацию, как будто срок действия сертификатов истек, или центр сертификации просто удалили.
Хотелось бы все-таки посмотреть - что при этом отвалится, если отвалится вообще.

Мэни фенкс.

[El Scorpio]

Цитата mcmurphy:

Ну и еще - что именно надо отключить (может службу какую-то), чтобы временно смоделировать ситуацию, как будто срок действия сертификатов истек, или центр сертификации просто удалили. »

Чтобы смоделировать ситуацию истечения срока действия сертификата установите на компьютере соответствующую дату. Так то!

Что касается моделирования ситуации с удалением центра сертификации...
Нужно отключить службу центра сертификации на старом сервере
Также в параметрах сертификата указывается адрес списка отзывов. Многие программы при установлении защищённого соединения просматривают данный список для проверки текущего статуса используемого сертификата. Обычно используются адреса HTTP или SMB (сетевые папки)
Попробуйте удалить (переместить) этот файл или папку.

Цитата mcmurphy:

Зашел на основной сервер терминалов, там в Конфигурации узла сеансов, в Свойствах РДП опции по умолчанию: Уровень безопасности "Согласование", Уровень шифрования "Совместимый с клиентом". Чуть ниже, в разделе сертификаты, при щелчке на кнопке "Выбрать" пишет - "На этом узле сеансов удаленных рабочих столов не установлены сертификаты". Похоже, что сертификаты при подключении по РДП и правда не задействованы. »

Значит существует возможность перехвата данного соединения. Теоретическая.

Цитата mcmurphy:

Есть еще один сервер, тоже терминальный, но на нем настроены удаленные приложения. В той же оснастке, по кнопке "Выбрать" выдает 3 сертификата (во всех них фигурирует имя этого сервера). »

А каким компьютером выданы эти сертификаты? Самим сервером терминалов (самоподписанные) или же старым контроллером домена (центром сертификации)?

[mcmurphy]

По поводу трех сертификатов: два выданы самим сервером удаленного ПО, один - похоже от сервера - КД.
При этом, на сервере приложений тоже есть центр сертификации, но если зайти в оснастку, там все папки пустые.
Есть еще интересный момент: два работника используют EFS-шифрование, причем один - стал использовать буквально на днях. Его сертификат отображается в Центре сертификации (вернее, оба сертификата для шифрования). Они туда автоматически попадают, или требуется какое-то действие со стороны работника - зайти в центр сертификации, создать сертификат?

Да, на старом КД, который настоящий сервер сертификатов, в Сайтах и службах, в разделе Службы - AIA присутствует два сертификата - Mycompany и mycompany-serverAPP (как раз этот - один из тех трех сертификатов на сервере приложений).
После удаления центра сертификации, в Сайтах и службах надо будет тоже вручную удалять?

Хотелось бы еще уточнить: по какому принципу рабочая станция выбирает, кто у нее будет логон-сервером?
Сейчас открылось, что иногда на раб станциях фигурирует старый КД. На нем есть АД, ДНС, но он не держатель ролей ФСМО, и не глобальный каталог. Кроме этого, его адрес не выдается рабочим станциям как ДНС. В роли ДНС выдаются адреса двух новых КД, на 2008 сервере.

Еще появился интересный момент: если на старом КД (роль АД и ДНС я с него уже деинсталировал), заменить пароль встроенного администратора, этот же пароль автоматически реплицируется на новые КД. И еще - этот старый КД присутствует в Сайтах и службах в виде папки, т.е. внутри нее Ntds settings нет. Непонятно - почему идет репликация пароля...