企业CA证书服务器|两个不同角色的CA能否在AD中同时存在。企业为Win2003 AD，AD root Forest位于总部，分部与总部间有WAN的连线。分部的Win2003 Domain中，部署了企业从属CA Service。请问，能否在这种情况下，分部再建一个企业独立CA Server?两个不同角色的CA能否在AD中同时存在？

回答：根据您的描述，我对您提出的问题的理解是：您已经在分部的Win2003 Domain中，部署了企业从属CA Service，想知道能否在分部再建一个企业独立CA Server?两个不同角色的CA能否在AD中同时存在？

不同角色的CA能够在AD中同时存在，常见的方案是，让一个独立根CA与一个企业合格从属CA协作。Windows Server 2003 的合格从属 CA 可以作为企业合格从属 CA 或独立合格从属 CA 安装。这两种类型的合格从属 CA 之间的区别，是它们识别申请证书的用户的方式。企业合格从属 CA 要求使用 Active Directory，而独立合格从属 CA 却不要求。

企业合格从属 CA 按照它们的 Active Directory 用户对象的某些或所有属性来识别用户。当企业合格从属 CA 从用户那里接收证书申请时，它根据用户在进行网络登录期间使用的验证凭据来识别该用户，并使用该信息来查询 Active Directory 并获取用户的用户对象属性。

更多企业CA部署相关信息：
合格的部属概述
http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/35aefa23-d90a-4a73-9935-8fef7b5943522052.mspx?mfr=true

在中小型公司建立企业根证书颁发机构 (CA)
http://www.microsoft.com/china/technet/security/sgk/build_ent_root_ca.mspx

赵莹(Ken Zhao) MCSE 2000 微软全球技术支持中心

企业CA证书服务器的更多文章请参考
迁移证书服务器|替换重新部署2003企业根CA 活动目录域
Windows Server 2008 技术概述|非中文版下载活动目录域
如何删除企业中不存在的根证书从活动目录AD中活动目录域
http://www.googlesyndicatedsearch.com/u/blogbus?q=site:gnaw0725.blogbus.com+%E8%AF%81%E4%B9%A6%E6%9C%8D%E5%8A%A1&hl=zh-CN&inlang=zh-CN&newwindow=1&ie=UTF-8&start=40&sa=N
－－－gnaw0725