次の方法で共有

Windows 2000/2003 ドメインから Enterprise Windows 証明機関を手動で削除する方法

この記事は、Microsoft MVP Yuval Sinay によって書かれています。

適用対象: Windows Server 2003
元の KB 番号: 555151

症状

一部の組織では、Enterprise Windows 証明機関の定期的なバックアップ手順があります。 サーバーの問題 (ソフトウェア/ハードウェア) がある場合は、Enterprise Windows 証明機関の再インストールが必要になる場合があります。 Enterprise Windows 証明機関を再インストールする前に、元のエンタープライズ Windows に属し、Windows Active Directory に存在するオブジェクトとデータを手動で削除することが必要になる場合があります。

原因

エンタープライズ Windows 証明機関は、構成設定とデータを Windows Active Directory に保存します。

解決策

A。 バックアップ:

Active Directory 関連のデータを含むすべてのノードを、次の手順を実行するにバックアップすることをお勧めします。

  • Windows ドメイン コントローラー
  • エクスチェンジサーバー
  • Active Directory コネクタ
  • Windows Server と Unix 用サービス
  • ISAサーバーエンタープライズ
  • Enterprise Windows 証明機関

最後の手段として、次の手順を使用します。 運用環境に影響を与える可能性があり、一部のノード/サービスの再起動が必要になる場合があります。

B. Active Directory のクリーン:

次のアクセス許可を持つアカウントでシステムにログオンします。

  1. エンタープライズ管理者
  2. ドメイン管理者
  3. 証明機関管理者
  4. スキーマ管理者 (スキーマ マスター FSMO として機能するサーバーは、プロセス中にオンラインにする必要があります)。

Active Directory からすべての Certification Services オブジェクトを削除するには:

  1. "Active Directory サイトとサービス" を起動します。

  2. [View] メニュー オプションを選択し、[Show Services] ノードを選択します。

  3. [Services] を展開し、[Public Key Services] を展開します。

  4. [AIA] ノードを選択します。

  5. 右側のウィンドウで、証明機関の "certificateAuthority" オブジェクトを見つけます。 オブジェクトを削除します。

  6. [CDP] ノードを選択します。

  7. 右側のウィンドウで、Certification Services がインストールされているサーバーの Container オブジェクトを見つけます。 コンテナーとコンテナーに含まれるオブジェクトを削除します。

  8. [証明書機関] ノードを選択します。

  9. 右側のウィンドウで、証明機関の "certificateAuthority" オブジェクトを見つけます。 オブジェクトを削除します。

  10. [登録サービス] ノードを選択します。

  11. 右側のウィンドウで、証明機関の "pKIEnrollmentService" オブジェクトが削除されていることを確認します。

  12. ["証明書テンプレート"] ノードを選択します。

  13. 右側のウィンドウで、すべての証明書テンプレートを削除します。

    他のエンタープライズ CA がフォレストにインストールされていない場合にのみ、すべての証明書テンプレートを削除します。 テンプレートが誤って削除された場合は、バックアップからテンプレートを復元します。

  14. [Public key Services] ノードを選択し、"NTAuthCertificates" オブジェクトを見つけます。

  15. フォレストに他の Enterprise またはスタンドアロン CA がインストールされていない場合は、オブジェクトを削除します。それ以外の場合は、そのままにします。

  16. Windows リソース キットの "Active Directory サイトとサービス" または "Repadmin" コマンドを使用して、ドメイン/フォレスト内の他のドメイン コントローラーへのレプリケーションを強制します。

ドメイン コントローラーのクリーンアップ

CA が停止したら、すべてのドメイン コントローラーに対して発行された証明書を削除する必要があります。 リソース キットのDSSTORE.EXEを使用すると、簡単に実行できます。

certutil コマンドを使用して、古いドメイン コントローラー証明書を削除することもできます。

  1. ドメイン コントローラーのコマンド プロンプトで、「 certutil -dcinfo deleteBad」と入力します。

  2. Certutil.exe は、ドメイン コントローラーに発行されたすべての DC 証明書の検証を試みます。 検証に失敗した証明書は削除されます。 この時点で、証明書サービスを再インストールできます。 インストールが完了すると、新しいルート証明書が Active Directory に発行されます。 ドメインが
    クライアントがセキュリティ ポリシーを更新すると、新しいルート証明書が信頼されたルート ストアに自動的にダウンロードされます。 o セキュリティ ポリシーの適用を強制します。

  3. コマンド プロンプトで、「gpupdate /target: computer」と入力します。

    Enterprise Windows 証明機関によって発行されたコンピューター/ユーザー証明書またはその他の種類の証明書 (Web サーバー証明書など) の場合は、Enterprise Windows 証明書を再インストールする前に古い証明書を削除することをお勧めします。

詳細情報

Community ソリューション コンテンツの免責事項

MICROSOFT CORPORATION および/またはそのそれぞれのサプライヤーは、ここに含まれる情報および関連するグラフィックスの適合性、信頼性、または正確性について一切表明しません。 そのような情報および関連するグラフィックスはすべて、いかなる種類の保証もなく「現状のまま」提供されます。 マイクロソフトおよび/またはそのそれぞれのサプライヤーは、商品性、特定の目的への適合性、仕事好みの努力、タイトル、および非侵害に関するすべての黙示的な保証と条件を含め、この情報および関連するグラフィックスに関するすべての保証と条件をここに否認します。 お客は、マイクロソフトおよびそのサプライヤーが、本書に含まれる情報や関連グラフィックスの使用または使用不可能に起因または関連して生じた、使用、データ、利益の損失を含むあらゆる種類の損害について、直接的、間接的、懲罰的、偶発的、特別、結果的損害に関して、一切の責任を負わないことに明確に同意します。これは、損害の可能性が知らされていた場合でも同様であり、契約、不法行為、過失、厳格な責任に基づくものを問いません。