Como remover manualmente a Autoridade de Certificação do Windows Corporativo de um domínio do Windows 2000/2003

Este artigo foi escrito por Yuval Sinay, MVP da Microsoft.

aplica-se a: Windows Server 2003
Número original do KB: 555151

Sintomas

Em algumas organizações, há procedimentos regulares de backup para a Autoridade de Certificação do Windows Corporativo. Se houver um problema no servidor (software/hardware), talvez seja necessário reinstalar a Autoridade de Certificação do Windows Corporativo. Antes de reinstalar a Autoridade de Certificação do Windows Corporativo, talvez seja necessário excluir manualmente objetos e dados que pertencem ao Windows Enterprise original e residem no Windows Active Directory.

Motivo

A Autoridade de Certificação do Windows Enterprise salva as configurações, definições e dados no Windows Active Directory.

Resolução

Um. Cópia de segurança

É recomendável fazer backup de todos os nós que contêm dados relacionados ao Active Directory antes e depois de seguir este procedimento, incluindo:

• Controladores de domínio do Windows
• Servidores Exchange
• Conector para Active Directory
• Windows Server com Serviços para Unix
• ISA Server Empresarial
• Autoridade de Certificação do Windows Corporativo

Use o procedimento a seguir como último recurso. Isso pode afetar seu ambiente de produção e pode exigir a reinicialização de alguns nós/serviços.

B. Limpeza do Active Directory:

Observação

Faça login no sistema com uma conta que tenha as permissões abaixo:

1. Administrador Corporativo
2. Administrador do Domínio
3. Administrador da Autoridade de Certificação
4. Administrador de Esquema (O servidor que funciona como FSMO Mestre de Esquema deve estar online durante o processo).

Para remover todos os objetos dos Serviços de Certificação do Active Directory:

1. Inicie "Sites e Serviços do Active Directory".

2. Selecione a opção de menu "Exibir" e selecione o nó "Mostrar Serviços".

3. Expanda os "Serviços" e, em seguida, expanda "Serviços de chave pública".

4. Selecione o nó "AIA".

5. No painel direito, localize o objeto "certificateAuthority" da Autoridade de Certificação. Exclua o objeto.

6. Selecione o nó "CDP".

7. No painel direito, localize o objeto Container para o servidor em que os Serviços de Certificação estão instalados. Exclua o contêiner e os objetos que ele contém.

8. Selecione o nó "Autoridades de certificação".

9. No painel direito, localize o objeto "certificateAuthority" da Autoridade de Certificação. Exclua o objeto.

10. Selecione o nó "Serviços de Inscrição".

11. No painel direito, verifique se existe o objeto "pKIEnrollmentService" da Autoridade de Certificação e, em seguida, exclua-o.

12. Selecione o nó "Modelos de certificado".

13. No painel direito, exclua todos os Modelos de Certificado.

    Observação

    Exclua todos os modelos de certificado somente se nenhuma outra autoridade de certificação corporativa estiver instalada na floresta. Se os modelos forem excluídos inadvertidamente, restaure-os do backup.

14. Selecione o nó "Serviços de chave pública" e localize o objeto "NTAuthCertificates".

15. Se não houver outras autoridades de certificação corporativas ou autônomas instaladas na floresta, exclua o objeto; senão, deixe-o como está.

16. Use o comando "Sites e Serviços do Active Directory" ou "Repadmin" do kit de recursos do Windows para forçar a replicação para os outros controladores de domínio no domínio/floresta.

Limpeza do controlador de domínio

Depois que a autoridade de certificação for removida, os certificados emitidos para todos os controladores de domínio precisarão ser removidos. Isso pode ser feito facilmente usando DSSTORE.EXE do Resource Kit:

Você também pode remover certificados de controlador de domínio antigos usando o certutil comando:

1. No prompt de comando em um controlador de domínio, digite: certutil -dcinfo deleteBad.

2. Certutil.exe tentará validar todos os certificados DC emitidos para os controladores de domínio. Os certificados que não forem validados serão removidos. Neste ponto, você pode reinstalar os Serviços de Certificados. Após a conclusão da instalação, o novo certificado raiz será publicado no Active Directory. Quando o domínio
   Quando os clientes atualizarem sua política de segurança, eles baixarão automaticamente o novo certificado raiz em seus repositórios raiz confiáveis. o Forçar a aplicação da política de segurança.

3. No prompt de comando, digite gpupdate /target: computer.

   Observação

   Se a Autoridade de Certificação do Windows Enterprise publicou o certificado de computador/usuário ou outros tipos de certificados (Certificado de Servidor Web e assim por diante), é recomendável remover os certificados antigos antes de reinstalar o Certificado do Windows Enterprise.

Mais informações

Aviso de isenção de responsabilidade por conteúdo de soluções da comunidade

A MICROSOFT CORPORATION E/OU SEUS RESPECTIVOS FORNECEDORES NÃO FAZEM REPRESENTAÇÕES SOBRE A ADEQUAÇÃO, CONFIABILIDADE OU PRECISÃO DAS INFORMAÇÕES E DOS ELEMENTOS GRÁFICOS RELACIONADOS CONTIDOS AQUI. TODAS ESSAS INFORMAÇÕES E ELEMENTOS GRÁFICOS RELACIONADOS SÃO FORNECIDOS "COMO ESTÃO" SEM GARANTIA DE QUALQUER TIPO. A MICROSOFT E/OU SEUS RESPECTIVOS FORNECEDORES SE ISENTAM DE TODAS AS GARANTIAS E CONDIÇÕES EM RELAÇÃO A ESSAS INFORMAÇÕES E ELEMENTOS GRÁFICOS RELACIONADOS, INCLUINDO TODAS AS GARANTIAS IMPLÍCITAS E CONDIÇÕES DE COMERCIALIZAÇÃO, APTIDÃO PARA UMA FINALIDADE ESPECÍFICA, ESFORÇO DE TRABALHO, TÍTULO E NÃO VIOLAÇÃO. VOCÊ CONCORDA ESPECIFICAMENTE QUE, EM NENHUM CASO, A MICROSOFT E/OU SEUS FORNECEDORES SERÃO RESPONSABILIZADOS POR QUAISQUER DANOS DIRETOS, INDIRETOS, PUNITIVOS, INCIDENTAIS, ESPECIAIS, CONSEQUENCIAIS OU QUAISQUER DANOS, INCLUINDO, SEM LIMITAÇÃO, DANOS POR PERDA DE USO, DADOS OU LUCROS, DECORRENTES OU DE QUALQUER FORMA CONECTADOS COM O USO OU INCAPACIDADE DE USAR AS INFORMAÇÕES E ELEMENTOS GRÁFICOS RELACIONADOS CONTIDOS AQUI, SEJA COM BASE EM CONTRATO, DELITO, NEGLIGÊNCIA, RESPONSABILIDADE ESTRITA OU NÃO, MESMO QUE A MICROSOFT OU QUALQUER UM DE SEUS FORNECEDORES TENHA SIDO AVISADO DA POSSIBILIDADE DE DANOS.