Удаление корпоративного центра сертификации Windows вручную из домена Windows 2000/2003

  • Статья

Эта статья была написана Юваль Синай( Yuval Sinay), Microsoft MVP.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 555151

Симптомы

В некоторых организациях существуют регулярные процедуры резервного копирования для корпоративного центра сертификации Windows. Если возникла проблема с сервером (программное или аппаратное обеспечение), возможно, потребуется переустановить центр сертификации Enterprise Windows. Прежде чем переустановить центр сертификации Enterprise Windows, может потребоваться вручную удалить объекты и данные, которые относятся к исходной версии Windows Enterprise и находятся в Windows Active Directory.

Причина

Корпоративный центр сертификации Windows сохраняет параметры конфигурации и данные в Windows Active Directory.

Разрешение

О. Резервного копирования:

Рекомендуется создать резервную копию всех узлов, содержащих данные, связанные с Active Directory , до и после выполнения этой процедуры, в том числе:

  • Контроллеры домена Windows
  • Серверы Exchange
  • Соединитель Active Directory
  • Windows Server со службами для Unix
  • ISA Server Enterprise
  • Корпоративный центр сертификации Windows

Используйте следующую процедуру в качестве крайнего средства. Это может повлиять на рабочую среду и может потребовать перезапуска некоторых узлов или служб.

Б. Очистка Active Directory:

Примечание.

Войдите в систему с учетной записью с указанными ниже разрешениями:

  1. Администратор предприятия
  2. Администратор домена
  3. Администратор центра сертификации
  4. Администратор схемы (сервер, который работает как FSMO хозяина схемы, должен находиться в сети во время процесса).

Чтобы удалить все объекты служб сертификации из Active Directory, выполните приведенные далее действия.

  1. Запустите "Сайты и службы Active Directory".

  2. Выберите пункт меню "Вид" и выберите Узел "Показать службы".

  3. Разверните раздел "Службы", а затем разверните узел "Службы открытых ключей".

  4. Выберите узел AIA.

  5. На панели справа найдите объект certificateAuthority для центра сертификации. Удалите объект .

  6. Выберите узел "CDP".

  7. В области справа найдите объект Container для сервера, на котором установлены службы сертификации. Удалите контейнер и содержащиеся в нем объекты.

  8. Выберите узел "Центры сертификации".

  9. На панели справа найдите объект certificateAuthority для центра сертификации. Удалите объект .

  10. Выберите узел "Службы регистрации".

  11. В правой области убедитесь, что объект "pKIEnrollmentService" для центра сертификации, удалите его.

  12. Выберите узел "Шаблоны сертификатов".

  13. В правой области удалите все шаблоны сертификатов.

    Примечание.

    Удалите все шаблоны сертификатов только в том случае, если в лесу не установлены другие корпоративные ЦС. Если шаблоны непреднамеренно удалены, восстановите шаблоны из резервной копии.

  14. Выберите узел "Службы открытых ключей" и найдите объект NTAuthCertificates.

  15. Если в лесу не установлены другие корпоративные или автономные ЦС, удалите объект, в противном случае оставьте его в покое.

  16. Используйте команду "Сайты и службы Active Directory" или "Repadmin" из комплекта ресурсов Windows, чтобы принудительно выполнить репликацию на другие контроллеры домена в домене или лесу.

Очистка контроллера домена

После отключения ЦС необходимо удалить сертификаты, выданные всем контроллерам домена. Это можно легко сделать с помощью DSSTORE.EXE из набора ресурсов:

Вы также можете удалить старые сертификаты контроллера домена с помощью certutil команды :

  1. В командной строке контроллера домена введите : certutil -dcinfo deleteBad.

  2. Certutil.exe попытается проверить все сертификаты контроллера домена, выданные контроллерам домена. Сертификаты, которые не удалось проверить, будут удалены. На этом этапе можно переустановить службы сертификатов. После завершения установки новый корневой сертификат будет опубликован в Active Directory. Когда домен
    клиенты обновят свою политику безопасности, они автоматически скачивают новый корневой сертификат в доверенные корневые хранилища. o принудительное применение политики безопасности.

  3. В командной строке введите gpupdate /target: computer.

    Примечание.

    Если центр сертификации Enterprise Windows опубликовал сертификат компьютера или пользователя или другие типы сертификатов (сертификат веб-сервера и т. д.), рекомендуется удалить старые сертификаты, прежде чем переустанавливать корпоративный сертификат Windows.

Дополнительная информация

Отказ от ответственности за содержимое общедоступных решений

Корпорация Майкрософт и/или ее поставщики не делают никаких заявлений относительно пригодности, надежности или точности сведений и соответствующих изображений, приведенных в настоящем документе. Все эти сведения и соответствующие изображения предоставлены "как есть" без каких-либо гарантий. Корпорация Майкрософт и/или ее поставщики настоящим отказываются от каких-либо гарантийных обязательств и условий в отношении этих сведений и соответствующих изображений, включая все подразумеваемые гарантии и условия товарной пригодности, применимости для конкретных целей, качества исполнения, прав собственности и отсутствия нарушений прав интеллектуальной собственности. В частности, вы подтверждаете свое согласие с тем, что корпорация Майкрософт и/или ее поставщики ни при каких обстоятельствах не несут ответственности за прямой или косвенный ущерб, штрафные санкции, случайные, фактические, косвенные или иные убытки, включая, в частности, убытки от утраты эксплуатационных качеств, от потери данных или прибылей в связи с использованием или невозможностью использовать эти сведения и соответствующие изображения, содержащиеся в настоящем документе, возникшие вследствие соглашения, гражданского правонарушения, халатности, объективной ответственности или иным образом, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба.