Мы развернули DirectAccess в нашей сети для наших клиентов Windows 7/10, и он отлично работает. Проблема в том, что сертификаты сервера / клиента DA основаны на внутренней PKI, которую мы удаляем; мы создали еще один PKI (двухуровневый, автономный rootca и подчиненный CA), на который мы переносим все наши сертификаты.
Моя проблема заключается в переносе инфраструктуры DA на новую PKI. Мне нужно будет выпустить новый шаблон сертификата компьютера для клиентских компьютеров (вместе со старым сертификатом компьютера, чтобы сохранить их существующие возможности DA); затем, как только все клиенты получат сертификат компьютера от новой PKI, я обновлю сертификат на сервере DA.
Проблема (или недостаток знаний), с которой я столкнулся, в том, что происходит потом? Смогут ли клиенты повторно подключиться к серверу DA, используя новые сертификаты, выданные новой PKI?
Или это будет плохо, пока они не подключатся к сети, чтобы получить последнюю версию GPUPDATE.
Кто-нибудь проходит через что-то подобное, хочет поделиться своим опытом? Каков мой лучший образ действий.
Если вы переходите на совершенно новую иерархию PKI (в отличие от выпуска из нового подчиненного CA в существующей иерархии), это будет мешать клиентам, находящимся за пределами сети, когда вы вносите это изменение. Как только вы укажете новый корневой ЦС в консоли управления удаленным доступом, все текущие клиентские подключения DirectAccess будут отброшены. Единственный способ восстановить соединения - это вернуться во внутреннюю сеть и обновить групповую политику. В качестве альтернативы удаленные клиенты могут подключиться к VPN и обновить групповую политику. Если вы хотите осуществить миграцию PKI без перерыва, вам придется развернуть отдельный экземпляр DirectAccess, настроенный для использования новой PKI. Затем вы можете перенести клиентов из старого в новое развертывание DirectAccess и удалить старый после того, как все будут успешно перенесены.
Дайте мне знать, если у вас возникнут дополнительные вопросы! :)
--Богатый