Поделиться через

Как вручную удалить корпоративный центр сертификации Windows из домена Windows 2000/2003

Эта статья написана Yuval Sinay, Microsoft MVP.

Область применения: Windows Server 2003
Исходный номер базы знаний: 555151

Симптомы

В некоторых организациях существуют регулярные процедуры резервного копирования для центра сертификации Enterprise Windows. Если возникла проблема с сервером (программное обеспечение или оборудование), возможно, потребуется переустановить центр сертификации Enterprise Windows. Прежде чем переустановить центр сертификации Enterprise Windows, может потребоваться вручную удалить объекты и данные, принадлежащие оригинальной Enterprise Windows и находящиеся в Windows Active Directory.

Причина

Центр сертификации Enterprise Windows сохраняет параметры конфигурации и данные в Windows Active Directory.

Резолюция

А. Резервное копирование:

Рекомендуется создать резервную копию всех узлов, содержащих данные , связанные с Active Directory, до и после выполнения этой процедуры, в том числе:

  • Контроллеры домена Windows
  • Серверы Exchange
  • Соединитель Active Directory
  • Windows Server с службами для Unix
  • Сервер ISA Enterprise
  • Корпоративный центр сертификации Windows

Используйте следующую процедуру в качестве последнего средства. Это может повлиять на рабочую среду и может потребоваться перезапустить некоторые узлы или службы.

В. Очистка Active Directory:

Примечание.

Войдите в систему с учетной записью с указанными ниже разрешениями.

  1. Администратор предприятия
  2. Администратор домена
  3. Администратор центра сертификации
  4. Администратор схемы (сервер, который работает в качестве главного FSMO схемы, должен находиться в сети во время процесса).

Чтобы удалить все объекты служб сертификации из Active Directory:

  1. Запустите "Сайты и службы Active Directory".

  2. Выберите пункт меню "Вид", а затем выберите узел "Показать службы".

  3. Разверните "Службы", а затем разверните "Службы открытых ключей".

  4. Выберите узел AIA.

  5. В правой области найдите объект certificateAuthority для центра сертификации. Удалите объект.

  6. Выберите узел CDP.

  7. На панели справа найдите объект контейнера для сервера, на котором установлены службы сертификации. Удалите контейнер и объекты, которые он содержит.

  8. Выберите узел "Центры сертификации".

  9. В правой области найдите объект certificateAuthority для центра сертификации. Удалите объект.

  10. Выберите узел "Службы записи".

  11. В правой области убедитесь, что объект "pKIEnrollmentService" для вашего центра сертификации существует, а затем удалите его.

  12. Выберите узел "Шаблоны сертификатов".

  13. В правой области удалите все шаблоны сертификатов.

    Примечание.

    Удалите все шаблоны сертификатов, только если в лесу не установлены другие корпоративные ЦС. Если шаблоны непреднамеренно удаляются, восстановите шаблоны из резервной копии.

  14. Выберите узел "Службы открытого ключа" и найдите объект "NTAuthCertificates".

  15. Если в лесу нет других корпоративных или автономных ЦС, удалите объект, в противном случае оставьте его в одиночку.

  16. Используйте "Active Directory Sites and Services" или команду "c1 />" из набора ресурсов Windows, чтобы принудительно выполнить репликацию на другие контроллеры домена в домене/лесе.

Очистка контроллера домена

После удаления ЦС необходимо удалить сертификаты, выданные всем контроллерам домена. Его можно легко сделать с помощью DSSTORE.EXE из набора ресурсов:

Вы также можете удалить старые сертификаты контроллера домена с помощью certutil команды:

  1. В командной строке контроллера домена введите: certutil -dcinfo deleteBad

  2. Certutil.exe попытается проверить все сертификаты, выданные контроллерам домена. Сертификаты, которые не удалось проверить, будут удалены. На этом этапе можно переустановить службы сертификатов. После завершения установки новый корневой сертификат будет опубликован в Active Directory. Когда домен
    клиенты обновляют свою политику безопасности, они автоматически загружают новый корневой сертификат в доверенные корневые хранилища. o принудительное применение политики безопасности.

  3. В командной строке введите gpupdate /target: computer.

    Примечание.

    Если центр сертификации Enterprise Windows опубликовал сертификат компьютера или пользователя или другие типы сертификатов (сертификат веб-сервера и т. д.), рекомендуется удалить старые сертификаты, прежде чем переустановить корпоративный сертификат Windows.

Дополнительные сведения

Отказ от ответственности за содержимое общедоступных решений

КОРПОРАЦИЯ МАЙКРОСОФТ И(ИЛИ) ЕЕ СООТВЕТСТВУЮЩИЕ ПОСТАВЩИКИ НЕ ПРЕДСТАВЛЯЮТ НИКАКИХ ПРЕДСТАВЛЕНИЙ О ПРИГОДНОСТИ, НАДЕЖНОСТИ ИЛИ ТОЧНОСТИ ИНФОРМАЦИИ И СВЯЗАННОЙ ГРАФИКИ, СОДЕРЖАЩЕЙСЯ В ЭТОМ ДОКУМЕНТЕ. ВСЕ ТАКИЕ СВЕДЕНИЯ И СВЯЗАННЫЕ ГРАФИКИ ПРЕДОСТАВЛЯЮТСЯ "КАК ЕСТЬ" БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. КОРПОРАЦИЯ МАЙКРОСОФТ И/ИЛИ СООТВЕТСТВУЮЩИЕ ПОСТАВЩИКИ НАСТОЯЩИМ ОТКАЗЫВАЮТСЯ ОТ ВСЕХ ГАРАНТИЙ И УСЛОВИЙ В ОТНОШЕНИИ ЭТОЙ ИНФОРМАЦИИ И СВЯЗАННОЙ ГРАФИКИ, ВКЛЮЧАЯ ВСЕ ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ И УСЛОВИЯ ТОВАРНОЙ ПРИГОДНОСТИ, ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ, ДОБРОСОВЕСТНЫХ УСИЛИЙ, ПРАВА НА СОБСТВЕННОСТЬ И НЕНАРУШЕНИЯ ПРАВ. ВЫ В ЧАСТНОСТИ СОГЛАСНЫ С ТЕМ, ЧТО В ЛЮБОМ СЛУЧАЕ КОРПОРАЦИЯ МАЙКРОСОФТ И/ИЛИ ЕЕ ПОСТАВЩИКИ НЕ НЕСУТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ПРЯМЫЕ, КОСВЕННЫЕ, ШАТАНЬЕ, СЛУЧАЙНЫЕ, СПЕЦИАЛЬНЫЕ, КОСВЕННЫЕ ИЛИ ЛЮБЫЕ УБЫТКИ, ВКЛЮЧАЯ, БЕЗ ОГРАНИЧЕНИЙ, ПОТЕРЮ ПРАВА ИСПОЛЬЗОВАНИЯ, ПОТЕРЮ ДАННЫХ ИЛИ ПРИБЫЛИ, ВОЗНИКАЮЩИЕ ИЛИ КАКИМ-ЛИБО ОБРАЗОМ СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ИЛИ НЕСПОСОБНОСТЬЮ ИСПОЛЬЗОВАТЬ ИНФОРМАЦИЮ И СВЯЗАННЫЕ ГРАФИКИ, СОДЕРЖАЩИЕСЯ В ЭТОМ ДОКУМЕНТЕ, НЕЗАВИСИМО ОТ ТОГО, НА ОСНОВЕ КОНТРАКТА, ДЕЛИКТА, ХАЛАТНОСТИ, СТРОГОЙ ОТВЕТСТВЕННОСТИ ИЛИ ИНЫМ ОБРАЗОМ, ДАЖЕ ЕСЛИ КОРПОРАЦИЯ МАЙКРОСОФТ ИЛИ ЛЮБОЙ ИЗ ЕЕ ПОСТАВЩИКОВ БЫЛИ ПРЕДУПРЕЖДЕНЫ О ВОЗМОЖНОСТИ УЩЕРБА.