Мы развернули DirectAccess в нашей сети для наших клиентов Windows 7/10, и он отлично работает. Проблема в том, что сертификаты сервера / клиента DA основаны на внутренней PKI, которую мы удаляем; мы создали еще один PKI (двухуровневый, автономный rootca и подчиненный CA), на который мы переносим все наши сертификаты.
Моя проблема заключается в переносе нашей инфраструктуры DA на новую PKI. Мне нужно будет выпустить новый шаблон сертификата компьютера для клиентских компьютеров (вместе со старым сертификатом компьютера, чтобы сохранить их существующие возможности DA); Затем, как только все клиенты получат сертификат компьютера от новой PKI, я обновлю сертификат на сервере DA.
Проблема (или недостаток знаний), с которой я столкнулся, заключается в том, что происходит потом? Смогут ли клиенты повторно подключиться к серверу DA, используя новые сертификаты, выданные новым PKI?
Или это будет плохо, пока они не подключатся к сети и не получат последнюю версию GPUPDATE.
Любой, кто пройдет через что-то подобное, захочет поделитесь своим опытом? Как я могу поступить лучше всего?
Если вы переходите на совершенно новую иерархию PKI (в отличие от выдачи из новый подчиненный ЦС в существующей иерархии) это будет мешать клиентам, находящимся за пределами сети, когда вы вносите это изменение. Как только вы укажете новый корневой ЦС в консоли управления удаленным доступом, все текущие клиентские подключения DirectAccess будут разорваны. Единственный способ восстановить соединения - это вернуться во внутреннюю сеть и обновить групповую политику. В качестве альтернативы удаленные клиенты могут подключиться к VPN и обновить групповую политику. Если вы хотите осуществить миграцию PKI без перерыва, вам придется развернуть отдельный экземпляр DirectAccess, настроенный для использования новой PKI. Затем вы можете перенести клиентов из старого в новое развертывание DirectAccess и удалить старый после того, как все будут успешно перенесены.
Дайте мне знать, если у вас возникнут дополнительные вопросы! :)
- Рич