我在小型网络(大约 30 台客户端电脑)上继承了 Windows Server 2019 域控制器,并安装了 AD CS。我想为 AD CS 设置专用服务器,因为在 DC 上安装 AD CS 是不好的做法,并且我计划使用证书对用户/计算机进行 Radius 身份验证。
我已经研究了将 ca 传输到另一台计算机的过程,但由于所有证书模板都未配置,并且根证书的密钥长度只有 2048 位,所以我宁愿从头开始。
目前唯一仍然有效的证书是域控制器证书。DC 与 Entra 同步,我认为这需要域控制器证书。
问题:
- 在这种情况下删除完整的 ca 是否可以接受?
- DC 会只获取新的域控制器证书还是会损坏?
- Entra 对此有任何问题吗?
域控制器证书用于:
如果两者均未使用,则可以使用本文中的说明安全地停用旧 CA:https://learn.microsoft.com/en-us/archive/technet-wiki/3527.how-to-decommission-a- Windows 企业认证机构和如何删除所有相关对象
或者只是向林中添加一个新的 DC,并将原始服务器降级,仅将其保留为 CA?