Außerbetriebsetzung einer Windows-Unternehmenszertifizierungsstelle und Entfernen aller verwandten Objekte wie

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 889250 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Bei der Deinstallation einer Zertifizierungsstelle (CA) sind in der Regel die Zertifikate, die von der Zertifizierungsstelle ausgestellt wurden noch offen. Wenn ausstehende Zertifikate von verschiedenen Public Key Infrastructure Client-Computern verarbeitet werden, schlägt die Validierung fehl und Zertifikate verwendet werden.

Dieser Artikel beschreibt, wie ausstehende Zertifikate sperren und verschiedener anderer Aufgaben abzuschließen, die erfolgreich eine Zertifizierungsstelle außerdem deinstallieren müssen, dieser Artikel beschreibt verschiedene Dienstprogramme, die Sie verwenden können, um CA-Objekte aus der Domäne entfernen.

EINFÜHRUNG

Dieser Artikel beschreibt, wie eine Microsoft Windows-Organisationszertifizierungsstelle außer Betrieb genommen und zum Entfernen aller verwandten Objekte aus dem Active Directory-Verzeichnisdienst.

Schritt 1: Widerrufen Sie alle aktiven Zertifikate, die von der Organisationszertifizierungsstelle ausgestellt werden

  1. Klicken Sie auf Start, zeigen Sie aufVerwaltung, und klicken Sie dann auf CertificationAuthority.
  2. Erweitern Sie Ihre Zertifizierungsstelle, und klicken Sie dann auf den Ordner IssuedCertificates .
  3. Klicken Sie im rechten Bereich auf eines der ausgestellten Zertifikate, und drücken Sie dann STRG + A, um alle ausgestellten Zertifikate auszuwählen.
  4. Maustaste auf die ausgewählten Zertifikate, AllTasks, klicken Sie auf, und klicken Sie dann auf Zertifikat sperren.
  5. Aktivieren Sie im Dialogfeld ZertifikatsperrungVorgangsende als der Grund Forrevocation, und klicken Sie dann auf OK.

Schritt 2: Erhöhen Sie das Veröffentlichungsintervall

  1. Im Certification Authority Microsoft Management Console-Snap-in mit der rechten Maustaste in des Ordners Gesperrte Zertifikate , und klicken Sie dann auf Eigenschaften.
  2. Im Feld Veröffentlichungsintervall Typea entsprechend lange Wert, und klicken Sie auf OK.
Hinweis Die Lebensdauer Zertifikatssperrliste (Certificate Revocation List, CRL) sollte länger als die Gültigkeitsdauer, die noch für Zertifikate, die widerrufen wurden.

Schritt 3: Veröffentlichen einer neuen CRL

  1. Im Zertifizierungsstellen-MMC-Snap-in mit der rechten Maustaste des OrdnersGesperrte Zertifikate .
  2. Klicken Sie auf Alle Tasks, und klicken Sie dann aufVeröffentlichen.
  3. Klicken Sie aufNeue Sperrlisteim Dialogfeld Zertifikatsperrliste veröffentlichen , und klicken Sie dann auf OK.

Schritt 4: Verweigern Sie ausstehender Anforderungen

Standardmäßig speichert eine Organisationszertifizierungsstelle nicht Zertifikatanforderungen. Ein Administrator kann jedoch dieses Standardverhalten ändern. Gehen Sie folgendermaßen vor, um alle ausstehenden Zertifikatanforderungen zu verweigern:
  1. Klicken Sie im Zertifizierungsstellen-MMC-Snap-in auf ThePending Anforderungen.
  2. Klicken Sie im rechten Fensterbereich auf die ausstehenden Anforderungen, dann drücken Sie STRG + A, um alle ausstehenden Zertifikaten auszuwählen.
  3. Mit der rechten Maustaste der ausgewählten Anforderungen ab und klicken Sie dann auf Anforderung verweigernAllTasksauf.

Schritt 5: Deinstallieren Sie Certificate Services vom Server.

  1. Um die Zertifikatdienste zu beenden, klicken Sie auf Start, klicken Sie auf Ausführen, geben cmd, und klicken Sie dann auf OK.
  2. Geben Sie an der Eingabeaufforderung den Befehl Certutil-Herunterfahren, und drücken Sie dann die EINGABETASTE.
  3. Geben Sie an der Eingabeaufforderung den BefehlCertutil-Schlüssel, und drücken Sie dann die EINGABETASTE. Dieser Befehl zeigt die Namen aller installierten Kryptografiedienstanbieter (CSP) und die Schlüsselspeicher, die jeder Anbieter zugeordnet sind. Unter den aufgelisteten Schlüsselspeicher werden der Namen der Zertifizierungsstelle. Der Name wird mehrere Male auf, wie im folgenden Beispiel aufgeführt:
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. Löschen Sie den privaten Schlüssel, der der Zertifizierungsstelle zugeordnet ist. Klicken Sie dazu an einer Eingabeaufforderung geben Sie den folgenden Befehl, und drücken Sie dann die EINGABETASTE:
    Certutil - delkey CertificateAuthorityName
    Hinweis Wenn der Name der Zertifizierungsstelle Leerzeichen enthält, schließen Sie den Namen in eingeben.

    In diesem Beispiel wird der Name der Zertifizierungsstelle "Windows 2000 Enterprise Root CA". Daher ist in diesem Beispiel wird die Befehlszeile wie folgt:
    Certutil - Delkey "Windows 2000 Enterprise Root CA"
  5. Auflisten der Schlüsselspeicher erneut, um sicherzustellen, dass der private Schlüssel für die Zertifizierungsstelle gelöscht wurde.
  6. Nachdem Sie den privaten Schlüssel für die Zertifizierungsstelle löschen, deinstallieren Sie Zertifikatsdienste. Hierzu gehen Sie, abhängig von der Version von Windows Server, auf dem Sie ausgeführt werden.

    WindowsServer 2003
    1. Schließen Sie das Zertifizierungsstellen-MMC-Snap-in, falls er noch geöffnet ist.
    2. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, und klicken Sie dann auf Software.
    3. Klicken Sie auf Windowskomponenten hinzufügen/entfernen.
    4. Klicken Sie im Feld Komponenten deaktivieren Sie das Kontrollkästchen Zertifikatsdienste , klicken Sie auf Weiter, und folgen die Anweisungen im Assistenten für Windows-Komponenten, um das Entfernen der Zertifikatsdienste abzuschließen.
    Windows Server 2008 und höhere Versionen

    Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, ist Mitglied der Organisations-Admins oder die Entsprechung, die Mindestanforderung zum Ausführen dieses Verfahrens ist. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

    Gehen Sie folgendermaßen vor, um eine Zertifizierungsstelle zu deinstallieren:
    1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Server-Manager.
    2. Klicken Sie unter Rollenübersichtauf Rollen entfernen , um den Assistenten zum Entfernen von Rollen zu starten und klicken Sie dann auf Weiter.
    3. Klicken Sie auf das Kontrollkästchen Active Directory Certificate Services , und klicken Sie dann auf Weiter.
    4. Überprüfen Sie die Informationen auf der Seite Entfernungsauswahl bestätigen , und klicken Sie dann auf Entfernen.
    5. Wenn Internet Information Services (IIS) ausgeführt wird, und Sie aufgefordert werden, den Dienst zu beenden, bevor Sie mit der Deinstallation fortfahren, klicken Sie auf OK.
    6. Nachdem Sie den Assistenten zum Entfernen von Rollen abgeschlossen ist, starten Sie den Server neu. Damit ist die Deinstallation abgeschlossen.
    Das Verfahren ist etwas anders, wenn Sie mehrere Rollendienste für Active Directory Certificate Services (AD CS) auf einem einzelnen Server installiert haben. Gehen Sie folgendermaßen vor, um eine Zertifizierungsstelle zu deinstallieren, jedoch andere AD CS-Rollendienste beizubehalten.

    HinweisSie müssen mit den gleichen Berechtigungen wie der Benutzer anmelden, die zur Durchführung dieses Verfahrens die Zertifizierungsstelle installiert. Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, ist Mitglied der Organisations-Admins oder die Entsprechung, die Mindestanforderung zum Ausführen dieses Verfahrens ist. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
    1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Server-Manager.
    2. Klicken Sie unter Rollenübersichtauf Active Directory-Zertifikatdienste.
    3. Klicken Sie unter Rollendiensteauf Rollendienste entfernen.
    4. Klicken Sie auf das Kontrollkästchen Zertifizierungsstelle , und klicken Sie dann auf Weiter.
    5. Überprüfen Sie die Informationen auf der Seite Entfernungsauswahl bestätigen , und klicken Sie dann auf Entfernen.
    6. Wenn IIS ausgeführt wird, und Sie aufgefordert werden, den Dienst zu beenden, bevor Sie mit der Deinstallation fortfahren, klicken Sie auf OK.
    7. Nach Abschluss des Assistenten zum Entfernen von Rollen müssen Sie den Server neu starten. Damit ist die Deinstallation abgeschlossen.
    Wenn die verbleibenden Rollendienste, z. B. der Online-Responder konfiguriert wurden, um Daten von der deinstallierten Zertifizierungsstelle verwenden, müssen Sie diese Dienste, um eine andere Zertifizierungsstelle unterstützen neu konfigurieren. Nach der Deinstallation einer Zertifizierungsstelle verbleiben auf dem Server ist die folgende Informationen:
    • Die Datenbank der Zertifizierungsstelle
    • Die CA-öffentliche und private Schlüssel
    • Die Zertifikate der Zertifizierungsstelle im privaten Speicher
    • Zertifikate der Zertifizierungsstelle im freigegebenen Ordner, wenn während der Installation von AD CS ein freigegebener Ordner angegeben wurde
    • Root-Zertifikat der Zertifizierungsstellen-Zertifikatkette im Speicher für vertrauenswürdige Stammzertifizierungsstellen
    • Zwischenzertifikate der Zertifizierungsstellen-Zertifikatkette im Speicher für Zwischenzertifizierungsstellen
    • Zertifikatsperrliste der Zertifizierungsstelle
    Standardmäßig ist diese Informationen auf dem Server gespeichert, falls Sie deinstallieren und anschließend neu installieren die CA. Sie können z. B. deinstallieren und die Zertifizierungsstelle neu installieren, wenn Sie eine eigenständige Zertifizierungsstelle in eine Organisationszertifizierungsstelle ändern möchten.

Schritt 6: Entfernen Sie CA-Objekte aus Active Directory

Wenn Sie Microsoft Zertifikatdienste auf einem Server installiert, der Mitglied einer Domäne ist, werden mehrere Objekte im Konfigurationscontainer in Active Directory erstellt.

Diese Objekte sind wie folgt:
  • CertificateAuthority-Objekt
    • Befindet sich im CN AIA, CN = Public Key Services, CN = Dienste, CN = Configuration, DC = =Stammdomäne der Gesamtstruktur.
    • Das CA-Zertifikat enthält der Zertifizierungsstelle.
    • Veröffentlichungsort (Authority Information Access, AIA).
  • CrlDistributionPoint-Objekt
    • Befindet sich im CN =ServerNameCN = CDP, CN = Public Key Service, CN = Dienste, CN = Configuration, DC ="Forestroot"DC = com.
    • Die in regelmäßigen Abständen von der Zertifizierungsstelle veröffentlichten Zertifikatssperrliste enthält.
    • Veröffentlichungsort (CRL Distribution Point, CDP)
  • CertificationAuthority-Objekt
    • Befindet sich im CN Zertifizierungsstellen, CN = Public Key Services, CN = Dienste, CN = Configuration, DC = ="Forestroot"DC = com.
    • Das CA-Zertifikat enthält der Zertifizierungsstelle.
  • pKIEnrollmentService-Objekt
    • Befindet sich im CN Registrierungsdienste, CN = Public Key Services, CN = Dienste, CN = Configuration, DC = ="Forestroot"DC = com.
    • Erstellt von der Zertifizierungsstelle der Organisation.
    • Enthält Informationen über die Arten von Zertifikaten die Zertifizierungsstelle konfiguriert wurde, Problem. Berechtigungen für dieses Objekt können steuern, welche Sicherheit Prinzipale für diese Zertifizierungsstelle zu registrieren können.
Wenn die Zertifizierungsstelle deinstalliert wird, wird das pKIEnrollmentService-Objekt entfernt. Dadurch wird verhindert, dass Clients für die Zertifizierungsstelle außer Betrieb zu nehmen zu registrieren versucht. Die anderen Objekte werden beibehalten, da die von der Zertifizierungsstelle ausgestellten Zertifikate wahrscheinlich noch offen sind. Müssen diese Zertifikate widerrufen werden, nach dem Verfahren in der "Schritt 1: widerrufen Sie alle aktiven Zertifikate, die von der Organisationszertifizierungsstelle ausgestellt werden" Abschnitt.

Für Client-Computer verarbeiten diese ausstehenden Zertifikate (Public Key Infrastructure, PKI) müssen der Computer die Pfade (Authority Information Access, AIA) und CRL Distribution Point in Active Directory gefunden. Es ist eine gute Idee, alle ausstehenden Zertifikate widerrufen, erweitern die Gültigkeitsdauer der Zertifikatsperrliste und veröffentlichen Sie die Zertifikatsperrliste in Active Directory. Wenn ausstehende Zertifikate von verschiedenen PKI-Clients verarbeitet werden, schlägt die Validierung fehl und Zertifikate verwendet werden.

Ist dies keine Priorität auf den Sperrlisten-Verteilungspunkt und AIA in Active Directory zu verwalten, können Sie diese Objekte entfernen. Diese Objekte nicht entfernt, wenn Sie erwarten, dass eine oder mehrere der zuvor aktiven digitale Zertifikate verarbeitet.

Alle Zertifizierungsdienste Objekte aus Active Directory entfernen

Hinweis Sie sollten nicht Zertifikatvorlagen aus Active Directory erst entfernen, nachdem alle CA-Objekte in der Active Directory-Gesamtstruktur zu entfernen.

Um alle Zertifizierungsdienste Objekte aus Active Directory zu entfernen, gehen Sie folgendermaßen vor:
  1. Bestimmen der CACommonName der Zertifizierungsstelle. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben cmd im Feld Öffnen im Feld, und klicken Sie dann auf OK.
    2. Typ certutil, und drücken Sie dann die EINGABETASTE.
    3. Notieren Sie die Name -Wert, der die Zertifizierungsstelle gehört. Sie benötigen die CACommonName für spätere Schritte in dieser Prozedur.
  2. Klicken Sie auf Start, zeigen Sie aufVerwaltung, und klicken Sie auf aktive DirectorySites und Services.
  3. Klicken Sie im Menü Ansicht aufDienstknoten anzeigen.
  4. Erweitern Sie Diensteund klicken Sie dann auf den Ordner AIA erweitern Sie Öffentlichen KeyServiceszu.
  5. Im rechten Fensterbereich mit der rechten Maustaste dieCertificationAuthority Objekt für die Zertifizierungsstelle, klicken Sie aufLöschen, und klicken Sie auf Ja.
  6. Klicken Sie im linken Bereich des Snap-Ins für Active Directory-Standorte und ServicesMMC auf der CDP Ordner.
  7. Suchen Sie im rechten Fensterbereich das Containerobjekt für Server, auf dem Zertifikatsdienste installiert. Mit der rechten Maustaste in des Containers, klicken Sie auf Löschenund klicken dann zweimal auf Ja .
  8. Klicken Sie im linken Bereich des Active Directory-Standorte und -ServicesMMC-Snap-in auf den Knoten Zertifizierungsstellen.
  9. Im rechten Fensterbereich mit der rechten Maustaste dieCertificationAuthority Objekt für die Zertifizierungsstelle, klicken Sie aufLöschen, und klicken Sie auf Ja.
  10. Klicken Sie im linken Bereich des Active Directory-Standorte und -ServicesMMC-Snap-in auf den Knoten Registrierungsdienste .
  11. Im rechten Fensterbereich stellen Sie sicher, dass die pKIEnrollmentServiceobject für die Zertifizierungsstelle entfernt wurde, wenn Certificate Services deinstalliert wurde. Sofern Objekt nicht gelöscht, mit der rechten Maustaste des Objekts, klicken Sie aufLöschen, und klicken Sie auf Ja.
  12. Wenn Sie nicht alle Objekte gefunden, können einige Objekte in Active Directory bleiben nach dem Durchführen dieser Schritte. Um nach einer Zertifizierungsstelle bereinigt, die Objekte in Active Directory zurück gelassen haben könnte, um festzustellen, ob alle AD-Objekte behalten ihre folgendermaßen Sie vor:
    1. Geben Sie den folgenden Befehl in eine Befehlszeile ein, und drücken Sie die EINGABETASTE:
      LDIFDE ? R "Cn =CACommonName"-d" CN = Public Key Services, CN = Dienste, CN = Configuration, DC ="Forestroot"DC = com "-f bei
      In diesem Befehl CACommonName Stellt den Name -Wert, den Sie in Schritt 1 ermittelt. Beispielsweise, wenn der Wert der Name "Contoso" Zertifizierungsstelle 1 "ist, Folgendes ein:
      LDIFDE ? R "Cn = Contoso Zertifizierungsstelle 1" -d "Cn öffentlichen Key Services, Cn = = Dienste, Cn = Configuration, dc = Contoso, dc = com" -f remainingCAobjects.ldf
    2. Öffnen Sie die Datei remainingCAobjects.ldf im Editor. Ersetzen Sie den Begriff "Changetype: Hinzufügen" mit "Changetype: löschen."Vergewissern Sie sich, ob legitim sind, Active Directory-Objekte, die gelöscht wird.
    3. Geben Sie den folgenden Befehl an einer Eingabeaufforderung, und drücken Sie dann die EINGABETASTE, um die restlichen CA-Objekte aus Active Directory löschen:
      LDIFDE ? i ? f remainingCAobjects.ldf
  13. Wenn Sie sicher sind, dass alle Zertifizierungsstellen gelöscht wurden, löschen Sie die Zertifikatvorlagen. Wiederholen Sie Schritt 12 durch, um festzustellen, ob alle AD-Objekte bleiben.

    Wichtig: Die Zertifikatvorlagen müssen nicht gelöscht werden, es sei denn, die Zertifizierungsstellen gelöscht wurden. Wenn die Vorlagen versehentlich gelöscht werden, gehen Sie folgendermaßen vor:
    1. Stellen Sie sicher, dass Sie auf Arelogged auf einem Server, der Zertifikatsdienste als Enterpriseadministrator ausgeführt werden.
    2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
      CD%windir%\System32
    3. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
      regsvr32 /i:i/n /scertcli.dll
      Diese Aktion wird in Active Directory gespeicherten Thecertificate neu erstellt.
    Gehen Sie folgendermaßen vor, um Zertifikatvorlagen zu löschen.
    1. Klicken Sie im linken Bereich des "Active Directory-Standorte und-Dienste" MMC-Snap-Ins auf dem Zertifikat Templatesfolder.
    2. Klicken Sie im rechten Fensterbereich auf einer Zertifikatvorlage und Thenpress STRG + A, um alle Vorlagen auswählen. Mit der rechten Maustaste der ausgewählten Vorlagen, klicken Sie aufLöschen, und klicken Sie auf Ja.

Schritt 7: Löschen Sie Zertifikate im NtAuthCertificates-Objekt

Nachdem Sie die CA-Objekte zu löschen, müssen Sie der CA-Zertifikate zu löschen, die dem NtAuthCertificates -Objekt veröffentlicht werden. Verwenden Sie einen der folgenden Befehle, um Zertifikate in dem NTAuthCertificates-Speicher zu löschen:
Certutil - Viewdelstore "" Ldap: / / / CN = NtAuthCertificates, CN = Public Key
Services,..., DC = ForestRoot, DC = com? cACertificate? base? Objectclass = CertificationAuthority"

Certutil - Viewdelstore "" Ldap: / / / CN = NtAuthCertificates, CN = Public Key
Services,..., DC = ForestRoot, DC = com? cACertificate? base? Objectclass = pKIEnrollmentService "
Hinweis Sie müssen Organisationsadministrator-Berechtigungen zum Ausführen dieser Aufgabe.
Die Viewdelstore - Aktion ruft die Zertifikatsauswahl Benutzeroberfläche auf die Gruppe der Zertifikate in der angegebenen Standardtitel. Sie können die Zertifikatdetails anzeigen. Sie können das Dialogfeld Auswahl keine Änderungen abbrechen. Wenn Sie ein Zertifikat auswählen, wird Wenn das UI schließt und der Befehl wird vollständig ausgeführt dieses Zertifikat gelöscht.

Verwenden Sie den folgenden Befehl, um den vollständigen LDAP-Pfad zu dem NtAuthCertificates -Objekt in Active Directory finden Sie unter:
Certutil-Store-? | Findstr "CN = NTAuth"

Schritt 8: Löschen der Datenbank der Zertifizierungsstelle

Wenn Zertifizierungsdienste deinstalliert wird, wird die Datenbank der Zertifizierungsstelle intakt gelassen, damit die Zertifizierungsstelle auf einem anderen Server neu erstellt werden kann.

Um die CA-Datenbank zu entfernen, löschen Sie den Ordner %systemroot%\System32\Certlog.

Schritt 9: Bereinigen von Domänencontrollern

Nach der Deinstallation von der Zertifizierungsstelle müssen die Zertifikate, die auf Domänencontrollern ausgegeben wurden entfernt.

Um Zertifikate zu entfernen, die auf der Windows 2000 Server-Domänencontrollern ausgegeben wurden, verwenden Sie das Dienstprogramm "Dsstore.exe" von Microsoft Windows 2000 Resource Kit.

Gehen Sie folgendermaßen vor, um Zertifikate zu entfernen, die auf Windows 2000 Server-Domänencontroller registriert wurden:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben cmd, und drücken Sie dann die EINGABETASTE.
  2. Geben Sie auf einem Domänencontroller Dsstore - dcmon an der Eingabeaufforderung ein, und drücken Sie die EINGABETASTE.
  3. Typ 3, und drücken Sie dann die EINGABETASTE. Diese Aktion löscht alle Zertifikate auf allen Domänencontrollern.

    Hinweis Das Dienstprogramm Dsstore.exe versucht, Domänencontroller-Zertifikate überprüfen, die auf jeden Domänencontroller ausgegeben werden. Zertifikate, die nicht validiert sind werden von ihren jeweiligen Domänencontroller entfernt.
Gehen Sie folgendermaßen vor, um Zertifikate zu entfernen, die auf der Windows Server 2003-Domänencontrollern ausgegeben wurden.

Wichtig: Verwenden Sie dieses Verfahren nicht, wenn Sie Zertifikate verwenden, die auf Vorlagen von Version 1 Domain Controller.
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben cmd, und drücken Sie dann die EINGABETASTE.
  2. Geben Sie an der Eingabeaufforderung auf einem Domänencontroller Certutil - Dcinfo deleteBad.
Certutil.exe versucht, die Domänencontrollerzertifikate zu überprüfen, die auf den Domänencontrollern ausgegeben werden. Zertifikate, die nicht validiert sind, werden entfernt.

Gehen Sie folgendermaßen vor, um die Anwendung der Sicherheitsrichtlinie zu erzwingen:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben cmd im Feld Öffnen ein und drücken Sie dann die EINGABETASTE.
  2. Geben Sie den entsprechenden Befehl für die entsprechende Version des Betriebssystems an einer Eingabeaufforderung, und drücken Sie dann die EINGABETASTE:
    • Für WindowsServer 2000: Secedit/refreshpolicy Machine_policy / enforce
    • Für WindowsServer 2003: Gpupdate/force ein.

Eigenschaften

Artikel-ID: 889250 - Geändert am: Freitag, 25. Oktober 2013 - Version: 5.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
Keywords: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 889250
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com