Windows 2000/2003 ドメインから Enterprise Windows 証明機関を手動で削除する方法

  • [アーティクル]

この記事は、Microsoft MVP の Yuval Sinay によって書かれました。

適用対象: Windows Server 2003
元の KB 番号: 555151

現象

一部の組織では、エンタープライズ Windows 証明機関の定期的なバックアップ手順があります。 サーバーの問題 (ソフトウェア/ハードウェア) が発生した場合は、Enterprise Windows 証明機関の再インストールが必要になる場合があります。 エンタープライズ Windows 証明機関を再インストールする前に、元の Enterprise Windows に属し、Windows Active Directory に存在するオブジェクトとデータを手動で削除する必要がある場合があります。

原因

エンタープライズ Windows 証明機関は、構成設定とデータを Windows Active Directory に保存します。

解決方法

A. バックアップ:

次の手順を実行する に、Active Directory 関連のデータを含むすべてのノードをバックアップすることをお勧めします。

  • Windows ドメイン コントローラー
  • Exchange サーバー
  • Active Directory コネクタ
  • Unix 用サービスを備えた Windows Server
  • ISA Server Enterprise
  • エンタープライズ Windows 証明機関

最後の手段として、次の手順を使用します。 運用環境に影響を与える可能性があり、一部のノード/サービスの再起動が必要になる場合があります。

B. Active Directory クリーン:

注:

次のアクセス許可を持つアカウントでシステムにログオンします。

  1. エンタープライズ管理者
  2. ドメイン管理者
  3. 証明機関管理者
  4. スキーマ管理者 (スキーマ マスター FSMO として機能するサーバーは、プロセス中にオンラインにする必要があります)。

Active Directory からすべての Certification Services オブジェクトを削除するには:

  1. "Active Directory サイトとサービス" を開始します。

  2. [表示] メニュー オプションを選択し、[サービスの表示] ノードを選択します。

  3. [サービス] を展開し、[公開キー サービス] を展開します。

  4. [AIA] ノードを選択します。

  5. 右側のウィンドウで、証明機関の "certificateAuthority" オブジェクトを見つけます。 オブジェクトを削除します。

  6. [CDP] ノードを選択します。

  7. 右側のウィンドウで、Certification Services がインストールされているサーバーの Container オブジェクトを見つけます。 コンテナーとコンテナーに含まれるオブジェクトを削除します。

  8. [証明機関] ノード選択します。

  9. 右側のウィンドウで、証明機関の "certificateAuthority" オブジェクトを見つけます。 オブジェクトを削除します。

  10. [Enrollment Services] ノードを選択します。

  11. 右側のウィンドウで、証明機関の "pKIEnrollmentService" オブジェクトが削除されていることを確認します。

  12. [証明書テンプレート] ノードを選択します。

  13. 右側のウィンドウで、すべての証明書テンプレートを削除します。

    注:

    他のエンタープライズ CA がフォレストにインストールされていない場合にのみ、すべての証明書テンプレートを削除します。 テンプレートが誤って削除された場合は、テンプレートをバックアップから復元します。

  14. [公開キー サービス] ノードを選択し、"NTAuthCertificates" オブジェクトを見つけます。

  15. フォレストにインストールされている他の Enterprise またはスタンドアロン CA がない場合は、オブジェクトを削除します。それ以外の場合は、そのままにします。

  16. Windows リソース キットの "Active Directory サイトとサービス" または "Repadmin" コマンドを使用して、ドメイン/フォレスト内の他のドメイン コントローラーへのレプリケーションを強制します。

ドメイン コントローラーのクリーンアップ

CA が停止したら、すべてのドメイン コントローラーに発行された証明書を削除する必要があります。 これは、Resource Kit の DSSTORE.EXE を使用して簡単に実行できます。

コマンドを使用して、古いドメイン コントローラー証明書を certutil 削除することもできます。

  1. ドメイン コントローラーのコマンド プロンプトで、「」と入力します certutil -dcinfo deleteBad

  2. Certutil.exe は、ドメイン コントローラーに発行されたすべての DC 証明書の検証を試みます。 検証に失敗した証明書は削除されます。 この時点で、Certificate Services を再インストールできます。 インストールが完了すると、新しいルート証明書が Active Directory に発行されます。 ドメインが
    クライアントがセキュリティ ポリシーを更新すると、新しいルート証明書が信頼されたルート ストアに自動的にダウンロードされます。 o セキュリティ ポリシーの適用を強制します。

  3. コマンド プロンプトで、「」と入力します gpupdate /target: computer

    注:

    Enterprise Windows 証明機関が発行したコンピューター/ユーザー証明書またはその他の種類の証明書 (Web サーバー証明書など) の場合は、Enterprise Windows 証明書を再インストールする前に古い証明書を削除することをお勧めします。

詳細

Community ソリューション コンテンツの免責事項

Microsoft の企業および/またはそれぞれのサプライヤーは、ここに含まれる情報および関連するグラフィックスの適合性、信頼性、または正確性について何ら表明を行いません。 このような情報および関連するグラフィックスはすべて、いかなる種類の保証も行わずに「as is」 で提供されます。 Microsoft および/またはそれぞれのサプライヤーは、この情報および関連グラフィックに関して、商品性、特定の目的に対する適性、作業マンライクな努力、タイトルおよび非侵害に関する黙示の保証と条件を含む、すべての保証および条件を放棄します。 お客様は、いかなる場合も、Microsoft および/またはサプライヤーが直接、または 間接的、懲罰的、偶発的、特別な、結果的な損害、または、Microsoft またはサプライヤーが損害の可能性について助言を受けた場合でも、契約、不法、過失、厳格な責任など、ここに含まれる情報および関連するグラフィックの使用または使用に関連する、または使用できない方法に関連するいかなる方法であれ、使用の損失、データまたは利益に対する損害を含むがこれらに限定されない損害。