共用方式為

如何從 Windows 2000/2003 網域中手動移除企業 Windows 證書授權機構

這篇文章是由 尤瓦爾·西奈撰寫的,Microsoft MVP。

適用於: Windows Server 2003
原始 KB 編號: 555151

癥狀

在某些組織中,企業 Windows 證書頒發機構單位有一般備份程式。 如果有伺服器問題(軟體/硬體),您可能需要重新安裝企業 Windows 證書頒發機構單位。 在重新安裝企業 Windows 證書授權機構之前,您可能需要手動刪除位於 Windows Active Directory 中,屬於原始企業 Windows 的對象和數據。

原因

企業 Windows 證書頒發機構單位會將組態設定和數據儲存在 Windows Active Directory 中。

解決辦法

A。 備份:

建議您在遵循此程式之前之後備份包含 Active Directory 相關數據的所有節點,包括:

  • Windows 域控制器
  • Exchange 伺服器
  • Active Directory 連接器
  • Windows Server 搭配 Unix 服務
  • ISA Server Enterprise(企業版)
  • 企業 Windows 證書頒發機構單位

使用下列程序作為最後手段。 它可能會影響您的生產環境,而且可能需要重新啟動某些節點/服務。

B. Active Directory 清理:

備註

使用具有以下權限的帳戶登入系統:

  1. 企業系統管理員
  2. 網域系統管理員
  3. 憑證機構管理員
  4. 架構管理員(作為架構主機主控 FSMO 的伺服器應在過程中保持上線)。

若要從 Active Directory 移除所有 Certification Services 物件:

  1. 啟動Active Directory 站點和服務

  2. 選取 [檢視] 選單選項,然後選取 [顯示服務] 節點。

  3. 展開 [服務],然後展開 [公鑰服務]。

  4. 選取 [AIA] 節點。

  5. 在右側窗格中,找出您的證書頒發機構的「certificateAuthority」物件。 刪除物件。

  6. 選取 [CDP] 節點。

  7. 在右側窗格中,找出安裝 Certification Services 之伺服器的 Container 物件。 刪除容器及其包含的物件。

  8. 選取 [證書頒發機構單位] 節點。

  9. 在右側窗格中,找出您的證書頒發機構的「certificateAuthority」物件。 刪除物件。

  10. 選取 [註冊服務] 節點。

  11. 在右側窗格中,確認您證書頒發機構的「pKIEnrollmentService」物件,然後將其刪除。

  12. 選取 [證書範本] 節點。

  13. 在右側窗格中,刪除所有證書範本。

    備註

    只有在樹系中未安裝其他企業 CA 時,才刪除所有證書範本。 如果意外刪除範本,請從備份還原範本。

  14. 選取 [公鑰服務] 節點,並找出 “NTAuthCertificates” 物件。

  15. 如果樹系中未安裝其他 Enterprise 或獨立 CA,請刪除對象,否則請將其保留。

  16. 使用 Windows 資源套件中的 「Active Directory Sites and Services」 或 “Repadmin” 命令,強制復寫至網域/樹系中的其他域控制器。

域控制器維護

關閉 CA 之後,必須移除已發行給所有域控制器的憑證。 您可以使用 Resource Kit 中的DSSTORE.EXE,輕鬆地完成此作業:

您也可以使用 certutil 命令來移除舊的域控制器憑證:

  1. 在域控制器的命令提示字元中,輸入: certutil -dcinfo deleteBad

  2. Certutil.exe 會嘗試驗證發給域控制器的所有DC憑證。 無法驗證的憑證將會移除。 此時,您可以重新安裝憑證服務。 安裝完成之後,新的根證書將會發佈至 Active Directory。 當網域出現問題時
    客戶端在重新整理其安全策略時,將會自動把新的根證書下載到受信任的根存放區。 o 強制套用安全策略。

  3. 在命令提示字元中,輸入 gpupdate /target: computer

    備註

    如果企業 Windows 證書頒發機構單位已發佈電腦/用戶憑證或其他類型的憑證(Web 伺服器證書等等),建議您先移除舊憑證,再重新安裝企業 Windows 憑證。

詳細資訊

Community 解決方案內容免責聲明

MICROSOFT公司及其個別供應商未就此處所含資訊及相關圖形的適用性、可靠性或正確性提出任何陳述。 所有此類資訊和相關圖形均以「目前」形式提供,不含任何種類的擔保。 MICROSOFT及/或其相關供應商特此聲明不承擔與此資訊和相關圖形有關的所有擔保和條件,包括所有默示的適銷性擔保和條件、特定用途的適用性、合理工作努力、所有權和非侵權。 您特別同意,任何情況下,MICROSOFT 及/或其供應商對任何直接、間接、懲罰性、附帶性、特殊性、衍生性損害或任何其他損害概不負責,這包括但不限於使用、資料或利潤損失引起的損害,也不論這些損害是否與使用或無法使用本文所包含的信息和相關圖形有關,無論這是基於合同、侵權行為、疏忽、嚴格責任或其他情況,即使 MICROSIFT 或其任何供應商已被告知可能發生損害的可能性。