Nasazení certifikační autority (AD CS)

Certifikační autorita (CA) umožňuje vydávat, zneplatňovat a spravovat certifikáty v rámci prostředí Active Directory. Pokud plánuješ autoenrollment, šifrování, ověřování pomocí certifikátu nebo vlastní PKI, začíná se právě tady.

Požadavky

  • Člen domény s Windows Server (např. 2019 nebo 2022)
  • Admin oprávnění (Domain Admin nebo Enterprise Admin)
  • DNS správně nakonfigurovaný v síti
  • Doporučeno: vlastní statická IP, zapsané jméno v DNS

1. Instalace role AD CS

Spusť PowerShell jako administrátor:

Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Alternativa: Server Manager → Add roles and features → Active Directory Certificate Services → role „Certification Authority“

2. Konfigurace certifikační autority

Po instalaci spusť konfiguraci role:

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" -KeyLength 2048 -HashAlgorithmName SHA256 -ValidityPeriod Years -ValidityPeriodUnits 5 -Force

Pokud chceš GUI: Server Manager → Post-deployment configuration → Configure Active Directory Certificate Services

Základní volby:

  • CA type: Enterprise CA (integrovaná s AD)
  • Role: Root CA (většinou stačí)
  • Key length: 2048 bitů (minimum), doporučeno 4096 bitů v zabezpečených prostředích
  • Platnost certifikátu CA: 5–10 let (podle bezpečnostní politiky)

3. Ověření funkčnosti

Po dokončení:

  • Služba CertSvc by měla být spuštěná
  • Konzole certifikační autority: certsrv.msc
  • V logu Event Viewer zkontroluj chyby pod „AD CS“

4. Volitelné: publikace CRL a AIA

V prostředí bez internetu nastav CRL a AIA distribuci přes interní cestu:

  • Např. http://ca.firma.local/CertEnroll/
  • Nebo souborově: \\ca-server\CertEnroll

Nastavení v konzoli CA → pravý klik → Properties → Extensions

5. Přidání šablon

  • certsrv.msc → Certificate Templates → klik pravým → Manage
  • Aktivuj šablony: Computer, User, případně vlastní
  • Přidej práva Autoenroll pro Domain Computers nebo Domain Users

6. Využití CA

Po nasazení můžeš:

  • Aktivovat autoenrollment certifikátů přes GPO
  • Nasadit 802.1X Wi-Fi/RADIUS na základě certifikátů
  • Používat S/MIME nebo šifrování EFS
  • Vystavovat certifikáty pro servery (IIS, VPN, NPS…)

Migrace DHCP serveru

Potřebuješ přesunout DHCP roli na nový server a zachovat stávající rozsahy, rezervace a konfiguraci? Tady je osvědčený a jednoduchý postup.

Postup krok za krokem

1. Export DHCP konfigurace ze starého serveru

Na starém DHCP serveru:

  • Otevři DHCP konzoli, zálohuj přes GUI (Action → Backup)
  • Spusť PowerShell nebo CMD jako administrátor: cmdZkopírovatUpravitnetsh dhcp server export C:\Users\%username%\Desktop\dhcp.txt all Uloží konfiguraci do souboru dhcp.txt na plochu.

2. Přenes soubor na nový server

  • Zkopíruj dhcp.txt na nový server (např. na plochu)

3. Nainstaluj DHCP roli na novém serveru

Na novém stroji:

  • Otevři Server Manager → Add roles and features
  • Nainstaluj roli DHCP Server
  • Po dokončení ověř, že služba DHCP je nainstalovaná a spuštěná: powershellZkopírovatUpravitGet-Service -Name dhcpserver

4. Import konfigurace na novém serveru

  • Spusť CMD jako administrátor: cmdZkopírovatUpravitnetsh dhcp server import C:\Users\%username%\Desktop\dhcp.txt all

Pokud použiješ jinou cestu, uprav ji podle umístění souboru.

5. Autorizace DHCP serveru v AD

  • Otevři DHCP konzoli (dhcpmgmt.msc)
  • V levém panelu klikni pravým tlačítkem na DHCP
  • Zvol Authorize

Po chvilce se server stane aktivním DHCP serverem pro síť.

Co zkontrolovat po migraci:

  • Jsou vidět správné rozsahy a rezervace?
  • DHCP služba je spuštěná?
  • Nový server je autorizovaný v AD?
  • Starý server není stále aktivní (dočasně ho můžeš vypnout)

Migrace NPS (Network Policy Server)

Potřebuješ-li přesunout NPS roli na nový server, ať už z důvodu upgradu OS nebo konsolidace infrastruktury, postup je jednoduchý – stačí exportovat konfiguraci ze starého stroje a naimportovat ji na nový.

Požadavky

  • Starý a nový server jsou členy stejné domény
  • Nový server má nainstalovanou roli Network Policy and Access Services (npssvc)
  • Správní práva na obou strojích

1. Export konfigurace ze starého serveru

Na původním NPS serveru spusť PowerShell jako admin:

powershellZkopírovatUpravitnetsh nps export filename="C:\nps-backup.xml" exportPSK=YES

Vytvoří se soubor nps-backup.xml s kompletní konfigurací, včetně RADIUS klientů a sdílených klíčů.

exportPSK=YES je potřeba pro export sdílených tajemství (PSK). Soubor uchovávej bezpečně.

2. Přenesení souboru na nový server

Např. pomocí SMB, WinSCP nebo PowerShellu:

Copy-Item "C:\nps-backup.xml" -Destination "\\newserver\C$"

3. Import konfigurace na novém serveru

Na novém stroji nejdříve nainstaluj NPS roli:

Install-WindowsFeature NPAS -IncludeManagementTools

Pak spusť import:

netsh nps import filename="C:\nps-backup.xml"

4. Ověření a test

  • Spusť nps.msc a zkontroluj:
    • RADIUS klienty
    • Connection request policies
    • Network policies
  • Proveď testovací připojení (např. z VPN, Wi-Fi nebo switch portu)

5. (Volitelně) registrace do AD

Pokud NPS server autorizuje přístup na základě členství ve skupinách AD:

netsh ras add registeredserver

Nebo: otevři nps.msc, pravý klik na NPS (Local) → Register server in Active Directory

🧼 6. Vyřazení starého serveru

Po ověření funkčnosti můžeš starý NPS server odinstalovat:

Uninstall-WindowsFeature NPAS

Oficiální zdroj k exportu/importu NPS konfigurace:

🔗 Microsoft Learn – Export or import NPS server configuration
https://learn.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-import-export

Tento článek popisuje:

Inicializace synchronizace řadičů v doméně

Pokud děláte změny na jednom z doménových řadičů a potřebujete změny rychle forcnout na další (např. kvůli AD connectu)
Může se hodit následující příkaz (stačí v cmd nebo v spustit):

repadmin /syncall /AdeP

Co znamenají přepínače:

  • /A – všechny adresáře (naming contexty)
  • /d – zobrazení podrobností (detailed output)
  • /e – synchronizace i přes všechny připojené DC (enterprise)
  • /P – vynucená synchronizace (Push)

Alternativa pro ruční výběr konkrétního DC:

repadmin /syncall DC01 /AdeP

(kde DC01 je název konkrétního doménového řadiče)

Chceš-li spustit synchronizaci i z jiných DC zpětně, můžeš použít /f pro obousměrné replikace:

repadmin /syncall /AedPf