Aracılığıyla paylaş

Windows 2000/2003 etki alanından El ile Kurumsal Windows Sertifika Yetkilisi'ni kaldırma

Bu makale Yuval Sinay, Microsoft MVP tarafından yazılmıştır.

Şunlar için geçerlidir: Windows Server 2003
Özgün KB numarası: 555151

Belirti -leri

Bazı kuruluşlarda, Kurumsal Windows Sertifika Yetkilisi için düzenli yedekleme yordamları vardır. Bir sunucu sorunu (yazılım/donanım) varsa, Kurumsal Windows Sertifika Yetkilisi'ni yeniden yüklemeniz gerekebilir. Kurumsal Windows Sertifika Yetkilisi'ni yeniden yükleyebilmeniz için önce, özgün Kurumsal Windows'a ait olan ve Windows Active Directory'de bulunan nesneleri ve verileri el ile silmeniz gerekebilir.

Nedeni

Kurumsal Windows Sertifika Yetkilisi, yapılandırma ayarlarını ve verilerini Windows Active Directory'ye kaydeder.

Çözüm

A. Yedekleme:

Aşağıdakiler de dahil olmak üzere, bu yordamı izlemeden önce ve sonra Active Directory ile ilgili verileri içeren tüm düğümleri yedeklemeniz önerilir:

  • Windows Etki Alanı Denetleyicileri
  • Exchange Sunucuları
  • Active Directory Bağlayıcısı
  • Unix Hizmetleri ile Windows Server
  • ISA Server Enterprise
  • Kurumsal Windows Sertifika Yetkilisi

Son çare olarak aşağıdaki yordamı kullanın. Üretim ortamınızı etkileyebilir ve bazı düğümleri/hizmetleri yeniden başlatmanız gerekebilir.

B. Active Directory Temizleme:

Uyarı

İzinleri olan bir hesapla sistemde oturum açın:

  1. Kuruluş Yöneticisi
  2. Etki Alanı Yöneticisi
  3. Sertifika Yetkilendirme Yöneticisi
  4. Şema Yöneticisi (İşlem sırasında Şema Yöneticisi FSMO olarak işlev gösteren sunucu çevrimiçi olmalıdır).

Active Directory'den tüm Sertifika Hizmetleri nesnelerini kaldırmak için:

  1. "Active Directory Siteleri ve Hizmetleri"ni başlatın.

  2. "Görünüm" menü seçeneğini belirleyin ve "Hizmetleri Göster" Düğümünü seçin.

  3. "Hizmetler" öğesini ve ardından "Ortak Anahtar Hizmetleri" öğesini genişletin.

  4. "AIA" düğümünü seçin.

  5. Sağ bölmede, Sertifika Yetkilinizin "certificateAuthority" nesnesini bulun. Nesneyi silin.

  6. "CDP" düğümünü seçin.

  7. Sağ bölmede, Sertifika Hizmetleri'nin yüklü olduğu sunucunun Container nesnesini bulun. Kapsayıcıyı ve içerdiği nesneleri silin.

  8. "Sertifika Yetkilileri" düğümünü seçin.

  9. Sağ bölmede, Sertifika Yetkilinizin "certificateAuthority" nesnesini bulun. Nesneyi silin.

  10. "Kayıt Hizmetleri" düğümünü seçin.

  11. Sağ bölmede, Sertifika Yetkiliniz için "pKIEnrollmentService" nesnesinin silindiğini doğrulayın.

  12. "Sertifika Şablonları" düğümünü seçin.

  13. Sağ bölmede tüm Sertifika Şablonlarını silin.

    Uyarı

    Tüm Sertifika Şablonlarını yalnızca ormanda başka Bir Kurumsal CA yüklü değilse silin. Şablonlar yanlışlıkla silinirse, şablonları yedekten geri yükleyin.

  14. "Ortak Anahtar Hizmetleri" düğümünü seçin ve "NTAuthCertificates" nesnesini bulun.

  15. Ormanda yüklü başka Kurumsal veya Bağımsız CA'lar yoksa, nesneyi silin; aksi takdirde öyle bırakın.

  16. Etki alanındaki/ormandaki diğer etki alanı denetleyicilerine çoğaltmayı zorlamak için Windows kaynak setindeki "Active Directory Siteleri ve Hizmetleri" veya "Repadmin" komutunu kullanın.

Etki Alanı Denetleyicisi Temizleme

CA indirildikten sonra, tüm etki alanı denetleyicilerine verilen sertifikaların kaldırılması gerekir. Kaynak Seti'nden DSSTORE.EXE kullanarak kolayca yapılabilir:

Ayrıca komutunu kullanarak certutil eski etki alanı denetleyicisi sertifikalarını kaldırabilirsiniz:

  1. Bir etki alanı denetleyicisindeki komut istemine şunu yazın: certutil -dcinfo deleteBad.

  2. Certutil.exe etki alanı denetleyicilerine verilen tüm DC sertifikalarını doğrulamayı dener. Doğrulanemeyen sertifikalar kaldırılır. Bu noktada Sertifika Hizmetleri'ni yeniden yükleyebilirsiniz. Yükleme tamamlandıktan sonra, yeni kök sertifika Active Directory'de yayımlanır. Alan adı olduğunda
    İstemciler güvenlik ilkelerini yenilerse, yeni kök sertifikayı güvenilir kök depolarına otomatik olarak indirirler. güvenlik ilkesinin uygulanmasını zorlar.

  3. Komut isteminde gpupdate /target: computeryazın.

    Uyarı

    Kurumsal Windows Sertifika Yetkilisi bilgisayar/kullanıcı sertifikası veya diğer sertifika türlerini (Web Sunucusu Sertifikası vb.) yayımladıysa, Enterprise Windows Sertifikasını yeniden yüklemeden önce eski sertifikaları kaldırmanız önerilir.

Daha fazla bilgi

Topluluk Çözümleri İçeriği Bildirimi

MICROSOFT CORPORATION VE/VEYA ILGILI TEDARIKÇILERI, BURADA YER ALAN BILGILERIN VE ILGILI GRAFIKLERIN UYGUNLUĞU, GÜVENILIRLIĞI VEYA DOĞRULUĞU HAKKıNDA HIÇBIR BEYANDA BULUNMAZ. TÜM BU BİlGİLER VE İlGİlİ GRAFİkLER, HERHANGİ Bİr GARANTİ OLMADAN "OLDUĞU GIBI" SAĞLANMAKTADıR. MICROSOFT VE/VEYA İLGİLİ TEDARİKÇİLERİ, BU BİLGİLER VE İLGİLİ GRAFİKLERLE İLGİLİ OLARAK, SATILABİLİRLİK, BELİRLİ BİR AMACA UYGUNLUK, ÖZENLİ ÇABA, UNVAN VE İHLALSİZLİĞİ DAHİL TÜM ZIMNİ GARANTİLER VE KOŞULLARI REDDEDER. MICROSOFT'UN VE/VEYA TEDARİKÇİLERİNİN, BURADA YER ALAN BİLGİLERİN VE İLGİLİ GRAFİKLERİN KULLANILMASI VEYA KULLANILAMAMASIYLA İLGİLİ KULLANIM KAYBI, VERİ VEYA KARLARIN ZARARLARI DAHİL OLMAK ÜZERE, BUNLARLA SINIRLI KALMAMAK KAYDIYLA DOLAYLI, CEZAİ, ARIZİ, ÖZEL, NETİCEDEKİ ZARARLARDAN YA DA HERHANGİ BİR ZARARDAN SORUMLU OLMAYACAĞINI KABUL EDERSİNİZ. BU DURUM SÖZLEŞMEYE, HAKSIZ FİİL'E, İHMAL'E, KATI SORUMLULUK'A VEYA BAŞKA BİR ŞEKİLDE TEMELLENDİRİLMİŞ OLSA BİLE, MICROSOFT VEYA TEDARİKÇİLERİNE ZARAR OLASILIĞI BİLDİRİLMİŞ OLSA DAHİ GEÇERLİDİR.