Jak ręcznie usunąć rolę Enterprise Windows Certificate Authority w domenie Windows 2000/2003

Ten artykuł został napisany przez Yuval Sinay, Microsoft MVP.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 555151

Objawy

W niektórych organizacjach istnieją regularne procedury tworzenia kopii zapasowych dla urzędu certyfikacji systemu Windows w przedsiębiorstwie. Jeśli występuje problem z serwerem (oprogramowanie/sprzęt), może być konieczne ponowne zainstalowanie urzędu certyfikacji Windows dla przedsiębiorstw. Przed ponowną instalacją urzędu certyfikacji Enterprise Windows może być konieczne ręczne usunięcie obiektów i danych należących do oryginalnego Enterprise Windows i znajdujących się w Windows Active Directory.

Przyczyna

Urząd certyfikacji systemu Windows w przedsiębiorstwie zapisuje ustawienia konfiguracji i dane w usłudze Active Directory systemu Windows.

Rezolucja

Odp. Kopia zapasowa:

Zaleca się wykonanie kopii zapasowej wszystkich węzłów zawierających dane związane z usługą Active Directory przed wykonaniem tej procedury, w tym:

• Kontrolery domeny systemu Windows
• Serwery Exchange
• Łącznik usługi Active Directory
• Windows Server z usługami dla systemu Unix
• ISA Server Enterprise
• Korporacyjny urząd certyfikacji Windows

Użyj poniższej procedury w ostateczności. Może to mieć wpływ na środowisko produkcyjne i może wymagać ponownego uruchomienia niektórych węzłów/usług.

B. Czyszczenie usługi Active Directory:

Uwaga

Zaloguj się do systemu przy użyciu konta z uprawnieniami:

1. Administrator przedsiębiorstwa
2. Administrator domeny
3. Administrator urzędu certyfikacji
4. Administrator schematu (serwer, który pełni funkcję wzorca schematu FSMO, powinien być online podczas procesu).

Aby usunąć wszystkie obiekty usług certyfikacji z usługi Active Directory:

1. Uruchom "Lokacje i usługi Active Directory".

2. Wybierz opcję menu "Widok", a następnie wybierz pozycję "Pokaż usługi" Node.

3. Rozwiń węzeł "Usługi", a następnie rozwiń węzeł "Usługi kluczy publicznych".

4. Wybierz węzeł "AIA".

5. W okienku po prawej stronie znajdź obiekt "certificateAuthority" dla urzędu certyfikacji. Usuń obiekt.

6. Wybierz węzeł "CDP".

7. W okienku po prawej stronie znajdź obiekt Kontener dla serwera, na którym są zainstalowane usługi certyfikacji. Usuń kontener i zawarte w nim obiekty.

8. Wybierz węzeł "Urzędy certyfikacji".

9. W okienku po prawej stronie znajdź obiekt "certificateAuthority" dla urzędu certyfikacji. Usuń obiekt.

10. Wybierz węzeł "Usługi rejestracji".

11. W okienku po prawej stronie sprawdź, czy istnieje obiekt "pKIEnrollmentService" dla twojego urzędu certyfikacji, a następnie usuń go.

12. Wybierz węzeł "Szablony certyfikatów".

13. W okienku po prawej stronie usuń wszystkie szablony certyfikatów.

    Uwaga

    Usuń wszystkie szablony certyfikatów tylko wtedy, gdy w lesie nie zainstalowano żadnych innych urzędów certyfikacji przedsiębiorstwa. Jeśli szablony są przypadkowo usuwane, przywróć szablony z kopii zapasowej.

14. Wybierz węzeł "Public key Services" i znajdź obiekt "NTAuthCertificates".

15. Jeśli w lesie domen nie są zainstalowane żadne inne Enterprise lub Samodzielne Urzędy Certyfikacji, usuń obiekt, w przeciwnym razie pozostaw go bez zmian.

16. Użyj "Active Directory Sites and Services" lub polecenia "Repadmin" z zestawu zasobów systemu Windows, aby wymusić replikację do innych kontrolerów domeny w domenie lub lesie.

Oczyszczanie kontrolera domeny

Po usunięciu urzędu certyfikacji należy usunąć certyfikaty wystawione dla wszystkich kontrolerów domeny. Można to łatwo zrobić przy użyciu DSSTORE.EXE z zestawu Resource Kit:

Możesz również usunąć stare certyfikaty kontrolera domeny za pomocą certutil polecenia:

1. W wierszu polecenia na kontrolerze domeny wpisz: certutil -dcinfo deleteBad.

2. Certutil.exe podejmie próbę zweryfikowania wszystkich certyfikatów wystawionych dla kontrolerów domeny. Certyfikaty, których weryfikacja nie powiedzie się, zostaną usunięte. W tym momencie można ponownie zainstalować usługi certyfikatów. Po zakończeniu instalacji nowy certyfikat główny zostanie opublikowany w usłudze Active Directory. Gdy domena
   Kiedy klienci odświeżą swoje zasady zabezpieczeń, automatycznie pobiorą nowy certyfikat główny do zaufanych magazynów certyfikatów głównych. o wymusić stosowanie zasad zabezpieczeń.

3. W wierszu polecenia wpisz gpupdate /target: computer.

   Uwaga

   Jeśli urząd certyfikacji systemu Windows przedsiębiorstwa opublikował certyfikat komputera/użytkownika lub inne typy certyfikatów (certyfikat serwera sieci Web itd.), zaleca się usunięcie starych certyfikatów przed ponownym zainstalowaniem certyfikatu przedsiębiorstwa systemu Windows.

Więcej informacji

Rozwiązania społecznościowe – zrzeczenie się odpowiedzialności za treść

FIRMA MICROSOFT CORPORATION I/LUB JEJ ODPOWIEDNI DOSTAWCY NIE SKŁADAJĄ ŻADNYCH OŚWIADCZEŃ DOTYCZĄCYCH PRZYDATNOŚCI, NIEZAWODNOŚCI ANI DOKŁADNOŚCI INFORMACJI I POWIĄZANYCH GRAFIK ZAWARTYCH W NINIEJSZYM DOKUMENCIE. WSZYSTKIE TAKIE INFORMACJE I POWIĄZANE GRAFIKI SĄ DOSTARCZANE "TAK, JAK JEST" BEZ GWARANCJI JAKIEGOKOLWIEK RODZAJU. Firma Microsoft i/lub jej odpowiedni dostawcy niniejszym zrzekają się wszelkich gwarancji i warunków w odniesieniu do tych informacji i powiązanej grafiki, w tym wszystkich domniemanych gwarancji i warunków sprzedaży, przydatności do określonego celu, starannej pracy, tytułu i nienaruszania praw. WYRAŹNIE ZGADZASZ SIĘ, ŻE W ŻADNYM WYPADKU MICROSOFT I/LUB JEGO DOSTAWCY NIE PONOSZĄ ODPOWIEDZIALNOŚCI ZA JAKIEKOLWIEK SZKODY BEZPOŚREDNIE, POŚREDNIE, KARNE, PRZYPADKOWE, SPECJALNE LUB NASTĘPCZE ORAZ JAKIEKOLWIEK INNE SZKODY, W TYM BEZ OGRANICZEŃ, SZKODY Z TYTUŁU UTRATY MOŻLIWOŚCI UŻYTKOWANIA, DANYCH LUB ZYSKÓW, WYNIKAJĄCE Z UŻYTKOWANIA LUB NIEMOŻNOŚCI UŻYTKOWANIA INFORMACJI I POWIĄZANYCH GRAFIK ZAWARTYCH W NINIEJSZYM DOKUMENCIE, NIEZALEŻNIE OD TEGO, CZY OPARTE JEST TO NA UMOWIE, CZNIE PRAWNYM, ZANIEDBANIACH, ŚCISŁEJ ODPOWIEDZIALNOŚCI LUB W JAKIKOLWIEK INNY SPOSÓB, NAWET JEŚLI MICROSOFT LUB KTÓRYKOLWIEK Z JEGO DOSTAWCÓW ZOSTAŁ INFORMOWANY O MOŻLIWOŚCI WYSTĄPIENIA TAKICH SZKÓD.