วิธีการ decommission Windows องค์กรผู้ออกใบรับรองและวิธีการเอาวัตถุทั้งหมดที่เกี่ยวข้อง จาก Windows Server 2003 และ Windows Server 2000

หมายเลขบทความ (Article ID): 889250 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
แปลโดยคอมพิวเตอร์คลิกที่นี่เพื่อดูข้อจำกัดความรับผิดชอบของ KB ที่แปลโดยคอมพิวเตอร์
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

เมื่อคุณเอาผู้ออกใบรับรอง (CA), ที่อยู่ในการออกใบรับรองได้โดยทั่วไปจะยังคงค้างชำระ ถ้าใบรับรองที่ค้างชำระถูกประมวลผล โดยคอมพิวเตอร์ไคลเอนต์ของโครงสร้างพื้นฐานของคีย์สาธารณะต่าง ๆ การตรวจสอบจะล้มเหลว และใบรับรองเหล่านั้นจะไม่ถูกใช้

บทความนี้อธิบายถึงวิธีการยกเลิกใบรับรองที่ค้างชำระและวิธีการทำงานอื่น ๆ ต่าง ๆ ที่จำเป็นต่อการเรียบร้อยแล้วถอนการติดตั้ง CA นอกจากนี้ บทความนี้อธิบายถึงโปรแกรมอรรถประโยชน์ที่ต่าง ๆ ที่คุณสามารถใช้เพื่อช่วยให้คุณสามารถเอาวัตถุ CA จากโดเมนของคุณ
กลับไปด้านบน | ให้ข้อเสนอแนะ

บทนำ

บทความทีละขั้นตอนนี้อธิบายถึงวิธีการ decommission การ Microsoft Windows enterprise CA และวิธีการเอาวัตถุทั้งหมดที่เกี่ยวข้องจากนั้น บริการไดเรกทอรีของไดเรกทอรีที่ใช้งานอยู่

ขั้นตอน 1: ยกเลิกใบรับรองที่ใช้งานอยู่ทั้งหมดที่นำออกใช้ โดย enterprise CA

  1. คลิก เริ่มการทำงานชี้ไปที่เครื่องมือการจัดการแล้ว คลิก ใบรับรอง ผู้ให้บริการ.
  2. ขยาย CA ของคุณ และจากนั้น คลิก ออก ใบรับรอง โฟลเดอร์
  3. ในบานหน้าต่างด้านขวา คลิกใบรับรองที่ออกใช้ หนึ่ง และจากนั้น กด CTRL + A เพื่อเลือกใบรับรองทั้งหมดออก
  4. คลิกขวาใบรับรองที่เลือก คลิก ทั้งหมด งาน แล้ว คลิก ยกเลิกใบรับรอง.
  5. ในการ เพิกถอนใบรับรอง กล่องโต้ตอบ คลิกเพื่อเลือก ซ้ำหยุดการดำเนินงาน เป็นเหตุผล ยกเลิก และคลิก ตกลง.

ขั้นตอน 2: เพิ่มช่วงการเผยแพร่ CRL

  1. ในคอนโซลการจัดการ Microsoft ผู้ให้บริการออกใบรับรอง (MMC) สแนป คลิกขวา ใบรับรองถูกเพิกถอน โฟลเดอร์ แล้ว คลิก คุณสมบัติ.
  2. ในการ ช่วงเวลาของงานพิมพ์ CRL กล่อง ชนิด ค่า suitably long และการคลิก ตกลง.
หมายเหตุ ควรมีการใช้งานของรายการเพิกถอนใบรับรอง (CRL) ความยาวมากกว่าอายุที่เหลือสำหรับใบรับรองที่ถูก เพิกถอน

ขั้นตอน 3: การเผยแพร่ CRL แบบใหม่

  1. ในการออกใบรับรองหน่วยงานจัดเก็บ MMC สแน็ปอิน คลิกขวาใบรับรองถูกเพิกถอน โฟลเดอร์
  2. คลิก งานทั้งหมดแล้ว คลิกเผยแพร่.
  3. ในการ เผยแพร่ CRL กล่องโต้ตอบ คลิกCRL ใหม่แล้ว คลิก ตกลง.

ขั้นตอนที่ 4: ปฏิเสธการร้องขอที่ค้างอยู่

โดยค่าเริ่มต้น enterprise CA ไม่ได้เก็บคำร้องขอใบรับรอง อย่างไรก็ตาม ผู้ดูแลสามารถเปลี่ยนแปลงลักษณะการทำงานเริ่มต้นนี้ เมื่อต้องปฏิเสธที่ค้างอยู่ การร้องขอใบรับรอง ให้ทำตามขั้นตอนเหล่านี้:
  1. ในการออกใบรับรองหน่วยงานจัดเก็บ MMC สแน็ปอิน คลิก โฟลเดอร์การร้องขอการค้างอยู่
  2. ในบานหน้าต่างด้านขวา คลิกหนึ่งในคำร้องขออยู่ระหว่างการพิจารณา และ จากนั้น กด CTRL + A เพื่อเลือกใบรับรองที่ค้างอยู่ทั้งหมด
  3. คลิกขวาร้องขอการเลือก คลิก ทั้งหมด งานแล้ว คลิก ปฏิเสธการร้องขอ.

ขั้นตอนที่ 5: ถอน Certificate Services จากเซิร์ฟเวอร์

  1. เมื่อต้องหยุดบริการใบรับรอง คลิก เริ่มการทำงาน, คลิก เรียกใช้ชนิด คำสั่งและคลิกตกลง.
  2. ที่พรอมต์คำสั่ง พิมพ์ certutil -ปิดเครื่องแล้ว กด ENTER
  3. เมื่อต้องการแสดงรายการร้านค้าคีย์ทั้งหมดสำหรับเครื่องคอมพิวเตอร์certutil-คีย์ ที่พร้อมท์คำสั่ง คำสั่งนี้จะ แสดงชื่อของทั้งหมดติดตั้งเข้ารหัสลับผู้ให้บริการ (CSP) และร้านค้าคีย์ที่เกี่ยวข้องกับผู้ให้บริการแต่ละ ระหว่างคีย์อยู่ในรายการ ร้านค้า คุณจะเห็นชื่อของ CA ของคุณหลายครั้ง ดังที่แสดงไว้ในที่อยู่ในรายการนี้ ตัวอย่างต่อไปนี้
    (1)Microsoft Base Cryptographic Provider v1.0:
  1a3b2f44-2540-408b-8867-51bd6b6ed413
  MS IIS DCOM ClientSYSTEMS-1-5-18
  MS IIS DCOM Server
  Windows2000 Enterprise Root CA
  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

  afd1bc0a-a93c-4a31-8056-c0b9ca632896
  Microsoft Internet Information Server
  NetMon
  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

(5)Microsoft Enhanced Cryptographic Provider v1.0:
  1a3b2f44-2540-408b-8867-51bd6b6ed413
  MS IIS DCOM ClientSYSTEMS-1-5-18
  MS IIS DCOM Server
  Windows2000 Enterprise Root CA
  MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

  afd1bc0a-a93c-4a31-8056-c0b9ca632896
  Microsoft Internet Information Server
  NetMon
  MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. ลบคีย์ส่วนตัวที่เกี่ยวข้องกับ CA เมื่อต้องการ ทำเช่นนี้ พิมพ์ต่อไปนี้ที่พรอมต์คำสั่ง:
    certutil - delkey CertificateAuthorityName
    หมายเหตุ ถ้าชื่อของ CA ของคุณประกอบด้วยช่องว่าง ใส่ชื่อในใบเสนอราคา เครื่องหมาย

    ในตัวอย่างนี้ การCertificateAuthorityName มีองค์กร Windows2000 Root CA ดังนั้น บรรทัดคำสั่งในตัวอย่างนี้มีดังนี้:
    certutil - delkey "Windows2000 Enterprise Root CA"
  5. รายชื่อร้านค้าที่สำคัญอีกครั้งเพื่อตรวจสอบว่า คีย์ส่วนตัว สำหรับ CA ของคุณถูกลบ
  6. หลังจากที่คุณลบคีย์ส่วนตัวสำหรับ CA ของคุณ ถอน บริการใบรับรอง เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้:
    1. ปิดสแนปอิน MMC ของผู้ให้บริการออกใบรับรองนั้น ยังคง เปิด
    2. คลิก เริ่มการทำงานชี้ไปที่ ตัวควบคุม แผงแล้ว คลิก เพิ่ม หรือเอาออก โปรแกรม.
    3. คลิก เพิ่ม/เอา Windows ออก คอมโพเนนต์.
    4. ในการ คอมโพเนนต์ กล่อง คลิกเพื่อล้างกล่องกาเครื่องหมาย ที่ บริการใบรับรอง กล่องกาเครื่องหมาย คลิก ถัดไปแล้ว ทำตามคำแนะนำในการ Windows ตัวช่วยสร้างคอมโพเนนต์ เพื่อทำการลบใบรับรอง บริการ

ขั้นตอนที่ 6: เอาวัตถุ CA จากไดเรกทอรีที่ใช้งานอยู่

เมื่อการติดตั้ง Certificate Services ของ Microsoft บนเซิร์ฟเวอร์ที่ เป็นสมาชิกของโดเมน หลายวัตถุถูกสร้างขึ้นในการกำหนดค่า คอนเทนเนอร์ในไดเรกทอรีที่ใช้งานอยู่

วัตถุเหล่านี้มีดังนี้:
  • วัตถุ certificateAuthority
    • อยู่ใน CN = AIA, CN =คีย์สาธารณะ บริการ CN =บริการ CN =ตั้งค่าคอนฟิก DC =ForestRootDomain.
    • ประกอบด้วยใบรับรอง CA กับ CA
    • เผยแพร่การเข้าถึงข้อมูลของผู้ให้บริการ (AIA) ตำแหน่งที่ตั้ง
  • วัตถุ crlDistributionPoint
    • ตั้งอยู่ใน CN =ServerName, CN = CDP, CN =คีย์สาธารณะ บริการ CN =บริการ CN =ตั้งค่าคอนฟิก DC =ForestRoot, DC = com
    • ประกอบด้วย CRL ที่เผยแพร่เป็นระยะ ๆ โดย CA
    • จุดการแจกจ่าย CRL เผยแพร่ (CDP) ตำแหน่งที่ตั้ง
  • วัตถุ certificationAuthority
    • อยู่ใน CN =รับรอง CN =คีย์สาธารณะ บริการ CN =บริการ CN =ตั้งค่าคอนฟิก DC =ForestRoot, DC = com
    • ประกอบด้วยใบรับรอง CA กับ CA
  • วัตถุ pKIEnrollmentService
    • อยู่ใน CN =บริการลงทะเบียน CN =คีย์สาธารณะ บริการ CN =บริการ CN =ตั้งค่าคอนฟิก DC =ForestRoot, DC = com
    • สร้าง โดย enterprise CA
    • ประกอบด้วยรายละเอียดเกี่ยวกับชนิดของใบรับรอง CA ได้ถูกกำหนดค่าเมื่อต้องการออก สามารถควบคุมการอนุญาตบนวัตถุนี้ รักษาความปลอดภัยที่สามารถลงทะเบียนกับ CA นี้
เมื่อ CA ถูกถอนการติดตั้ง วัตถุ pKIEnrollmentService เท่านั้น จะถูกเอาออก นี้ป้องกันไม่ให้เครื่องไคลเอนต์จากการพยายามที่ลงทะเบียนกับ CA decommissioned วัตถุมีรักษาเนื่องจากใบรับรองที่ได้ ในการออกกำลังอาจยังคงค้างชำระ ใบรับรองเหล่านี้ต้อง เพิกถอน โดยทำตามขั้นตอนในการ "ขั้นตอนที่ 1: ยกเลิกทั้งหมดที่ใช้งานอยู่ ใบรับรองที่ออก โดยองค์การ CA"ส่วน

สำหรับ คอมพิวเตอร์ไคลเอนต์คีย์ Infrastructure (PKI) สาธารณะเพื่อประมวลผลเหล่านี้เรียบร้อยแล้ว ใบรับรองที่คงค้าง คอมพิวเตอร์ต้องค้นหาข้อมูลผู้ให้บริการ การเข้าถึง (AIA) และแจกจ่าย CRL ชี้เส้นทางในไดเรกทอรีที่ใช้งานอยู่ เป็นการดี เมื่อต้องการยกเลิกใบรับรองที่ค้างชำระทั้งหมด ขยายอายุการใช้งานของ CRL และเผยแพร่ CRL ที่ในไดเรกทอรีที่ใช้งานอยู่ ถ้ามีใบรับรองที่ค้างชำระ ตรวจสอบประมวลผล โดยไคลเอ็นต์ PKI ที่แตกต่างกัน จะล้มเหลว และเหล่านั้น จะไม่มีใช้ใบรับรอง

ถ้ายังไม่รีบรักษา จุดแจกจ่าย CRL และ AIA ในไดเรกทอรีที่ใช้งานอยู่ คุณสามารถลบสิ่งเหล่านี้ วัตถุ เอาวัตถุเหล่านี้ถ้าคุณคาดว่าจะดำเนินการอย่างหนึ่ง ใบรับรองแบบดิจิทัลที่เคยใช้งานอยู่

เอาออกใบรับรองทั้งหมด วัตถุที่ให้บริการจากไดเรกทอรีที่ใช้งานอยู่

หมายเหตุ คุณไม่ควรลบแม่แบบใบรับรองจากไดเรกทอรีที่ใช้งานอยู่จนกระทั่งหลังจากคุณลบวัตถุทั้งหมดของ CA ในฟอเรสต์ไดเรกทอรีที่ใช้งานอยู่

เมื่อต้องการเอาออกใบรับรองทั้งหมด วัตถุที่ให้บริการจาก Active Directory ให้ทำตามขั้นตอนเหล่านี้:
  1. กำหนด CACommonName ของ CA เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้:
    1. คลิก เริ่มการทำงานคลิก เรียกใช้ชนิด คำสั่ง ในการ เปิด กล่อง และคลิก ตกลง.
    2. ชนิด certutilแล้ว กด ENTER
    3. จดบันทึก ชื่อ ค่าที่ CA ของคุณเป็นสมาชิก คุณจะต้องการ CACommonName สำหรับขั้นตอนในภายหลังในกระบวนการนี้
  2. คลิก เริ่มการทำงานชี้ไปที่เครื่องมือการจัดการแล้ว คลิก ไดเรกทอรีที่ใช้งานอยู่ ไซต์และบริการ.
  3. ในการ มุมมอง เมนู คลิกแสดงโหนดบริการ.
  4. ขยาย บริการขยาย คีย์สาธารณะ บริการแล้ว คลิก AIA โฟลเดอร์
  5. ในบานหน้าต่างด้านขวา คลิกขวาCertificationAuthority วัตถุสำหรับ CA ของคุณ คลิกลบแล้ว คลิก Yes.
  6. ในบานหน้าต่างด้านซ้ายของไซต์ไดเรกทอรีที่ใช้งานอยู่และบริการ MMC สแน็ป คลิก CDP โฟลเดอร์
  7. ในบานหน้าต่างด้านขวา คอนเทนเนอร์วัตถุเพื่อทำการค้นหาตำแหน่ง เซิร์ฟเวอร์ที่ติดตั้ง Certificate Services คลิกขวาคอนเทนเนอร์ คลิก ลบแล้ว คลิก Yes สองครั้ง
  8. ในบานหน้าต่างด้านซ้ายของไซต์ไดเรกทอรีที่ใช้งานอยู่และบริการ MMC สแน็ป คลิก ใบรับรองโหน
  9. ในบานหน้าต่างด้านขวา คลิกขวาCertificationAuthority วัตถุสำหรับ CA ของคุณ คลิกลบแล้ว คลิก Yes.
  10. ในบานหน้าต่างด้านซ้ายของไซต์ไดเรกทอรีที่ใช้งานอยู่และบริการ MMC สแน็ป คลิก บริการลงทะเบียน โหน
  11. ในบานหน้าต่างด้านขวา ตรวจสอบว่า pKIEnrollmentService วัตถุที่ CA ของคุณถูกเอาออกเมื่อมีการให้บริการใบรับรองถูกถอนการติดตั้ง If ไม่มีลบวัตถุ คลิกขวาวัตถุ คลิกลบแล้ว คลิก Yes.
  12. ถ้าคุณไม่ได้ระบุตำแหน่งของวัตถุทั้งหมด บางวัตถุอาจอยู่ในไดเรกทอรีที่ใช้งานอยู่หลังจากทำขั้นตอนเหล่านี้ เมื่อต้องล้างหลังจาก CA ที่อาจมีปล่อยวัตถุใน Active Directory ทำตามขั้นตอนเหล่านี้เพื่อกำหนดว่า วัตถุโฆษณาใด ๆ ยังคงอยู่:
    1. พิมพ์คำสั่งต่อไปนี้ในบรรทัดคำสั่ง และกด ENTER:
      ldifde - r " cn =CACommonName" -d " CN =บริการคีย์สาธารณะ CN =บริการ CN =ตั้งค่าคอนฟิก DC =ForestRoot, DC = com " output.ldf -f
      ในคำสั่งนี้ CACommonName แทน ชื่อ ค่าที่คุณได้กำหนดไว้ในขั้นตอนที่ 1 ยกตัวอย่างเช่น ถ้า ชื่อ ค่าเป็น "CA1 Contoso พิมพ์ต่อไปนี้:
      ldifde - r " cn = CA1 Contoso " -d " cn =บริการคีย์สาธารณะ cn =บริการ cn =ตั้งค่าคอนฟิก dc = contoso, dc = com " remainingCAobjects.ldf -f
    2. เปิดแฟ้ม remainingCAobjects.ldf ใน Notepad แทนคำว่า " changetype: เพิ่ม" กับ " changetype: ลบ" แล้ว ตรวจสอบว่า วัตถุ Active Directory ที่คุณจะลบจะถูกต้องตามกฎหมาย
    3. บนหน้าจอพร้อมรับคำสั่ง พิมพ์คำสั่งต่อไปนี้ และกด ENTER เพื่อลบวัตถุ CA ที่เหลือจากไดเรกทอรีที่ใช้งานอยู่:
      ldifde -i -f remainingCAobjects.ldf
  13. ลบแม่แบบใบรับรองถ้าคุณแน่ใจว่า ทั้งหมดของผู้มีสิทธิ์ออกใบรับรองที่ถูกลบ ทำซ้ำขั้นตอนที่ 12 เพื่อกำหนดว่า วัตถุโฆษณาใด ๆ ยังคงอยู่

    สิ่งสำคัญ นอกจากนี้คุณไม่ต้องลบแม่แบบใบรับรองยกเว้นว่าหน่วยจัดเก็บใบรับรองทั้งหมดได้ถูกลบไปแล้ว ถ้าแม่แบบจะถูกลบออก โดยไม่ได้ตั้งใจให้ทำตามขั้นตอนเหล่านี้:
    1. ตรวจสอบให้แน่ใจว่า คุณอยู่ เข้าสู่ระบบไปยังเซิร์ฟเวอร์ที่ติดตั้ง Certificate Services เป็นเว็บไซต์องค์กร ผู้ดูแล
    2. บนหน้าจอพร้อมรับคำสั่ง พิมพ์คำสั่งต่อไปนี้ และกด ENTER:
      ซีดี %windir%\system32
    3. พิมพ์คำสั่งต่อไปนี้ และกด ENTER:
      /s /n ของ regsvr32 /i:i certcli.dll
      การดำเนินการนี้สร้างอีกตัว แม่แบบใบรับรองในไดเรกทอรีที่ใช้งานอยู่
    เมื่อต้องลบแม่แบบใบรับรอง ให้ทำตามขั้นตอนเหล่านี้
    1. ในบานหน้าต่างด้านซ้ายของ "ที่ใช้งานไดเรกทอรีของไซต์และบริการ" MMC สแน็ปอิน คลิกแม่แบบใบรับรอง โฟลเดอร์
    2. ในบานหน้าต่างด้านขวา คลิกแม่แบบใบรับรอง แล้ว กด CTRL + A เพื่อเลือกแม่แบบทั้งหมด คลิกขวาแม่แบบที่เลือก คลิกลบแล้ว คลิก Yes.

ขั้นตอนที่ 7: ลบใบรับรองที่ถูกประกาศไปยังวัตถุ NtAuthCertificates

หลังจากที่คุณลบวัตถุ CA คุณจำเป็นต้องลบใบรับรอง CA ที่จะเผยแพร่ไปยัง NtAuthCertificates วัตถุ ใช้คำสั่งต่อไปนี้อย่างใดอย่างหนึ่งเมื่อต้องลบใบรับรองจากภายในเก็บ NTAuthCertificates:
ldap - viewdelstore certutil: / / / CN = NtAuthCertificates, CN =คีย์สาธารณะ
บริการ,..., DC =ForestRoot, DC = com ? cACertificate ? พื้นฐาน? objectclass = certificationAuthority

ldap - viewdelstore certutil: / / / CN = NtAuthCertificates, CN =คีย์สาธารณะ
บริการ,..., DC =ForestRoot, DC = com ? cACertificate ? พื้นฐาน? objectclass = pKIEnrollmentService
หมายเหตุ คุณต้องมีสิทธิ์ของผู้ดูแลระบบเว็บไซต์องค์กรจะทำงานนี้
ที่ -viewdelstore การดำเนินการเรียกใช้รายการการเลือกใบรับรอง UI ชุดของใบรับรองใน attibute ที่ระบุ คุณสามารถดูรายละเอียดของใบรับรอง คุณสามารถยกเลิกของกล่องโต้ตอบการเลือกเพื่อทำการเปลี่ยนแปลงไม่ ถ้าคุณเลือกใบรับรอง ใบรับรองนั้นจะถูกลบเมื่อ UI การปิด และการดำเนินการคำสั่งทั้งหมด

ใช้คำสั่งต่อไปนี้เพื่อดู LDAP เส้นทางแบบเต็มไปยัง NtAuthCertificates วัตถุใน Active Directory ของคุณ:
ร้าน certutil-? | findstr " CN = NTAuth "

ขั้นตอนที่ 8: ลบฐานข้อมูลของ CA

เมื่อมีการให้บริการออกใบรับรองถูกถอนการติดตั้ง CA ฐานข้อมูลคือ ทิ้งไว้ตามเดิมเพื่อให้ CA สามารถถูกสร้างขึ้นใหม่บนเซิร์ฟเวอร์อื่น

เมื่อต้องการ เอาฐานข้อมูล CA ลบ %systemroot%\System32\Certlog โฟลเดอร์

ขั้นตอน 9: ล้างข้อมูลตัวควบคุมโดเมน

หลังจาก CA จะถอนการติดตั้ง ใบรับรองที่ได้ออกให้กับตัวควบคุมโดเมนต้องถูกเอาออก

เมื่อต้องการเอาออกใบรับรองที่ได้ออกให้กับตัวควบคุมโดเมนของ Windows Server 2000 ใช้ยูทิลิตี้ Dsstore.exe จากใน Microsoft Windows 2000 Resource Kit

เมื่อต้องการเอาออกใบรับรองที่ได้ออกไปที่ตัวควบคุมโดเมน Windows Server 2000 ทำตามขั้นตอนเหล่านี้:
  1. คลิก เริ่มการทำงานคลิก เรียกใช้ชนิด คำสั่งแล้ว กด ENTER
  2. บนตัวควบคุมโดเมน พิมพ์ dsstore - dcmon ที่พรอมต์คำสั่ง แล้วกด ENTER
  3. ชนิด 3แล้ว กด ENTER การกระทำนี้ลบใบรับรองทั้งหมดในตัวควบคุมโดเมนทั้งหมด

    หมายเหตุ โปรแกรมอรรถประโยชน์ Dsstore.exe นี้จะพยายามตรวจสอบใบรับรองตัวควบคุมโดเมนที่นำออกใช้เพื่อควบคุมแต่ละโดเมน ใบรับรองที่ไม่มีการตรวจสอบจะถูกเอาออกจากตัวควบคุมโดเมนที่เกี่ยวข้องของพวกเขา
เมื่อต้องการเอาออกใบรับรองที่ได้ออกให้กับตัวควบคุมโดเมนของ Windows Server 2003 ให้ทำตามขั้นตอนเหล่านี้

สิ่งสำคัญ ใช้ขั้นตอนนี้ถ้าคุณกำลังใช้ใบรับรองที่ยึดตามแม่แบบของตัวควบคุมโดเมนที่ 1 รุ่น
  1. คลิก เริ่มการทำงานคลิก เรียกใช้ชนิด คำสั่งแล้ว กด ENTER
  2. ที่พรอมต์คำสั่งบนตัวควบคุมโดเมน พิมพ์ deleteBad - dcinfo certutil.
Certutil.exe พยายามที่ตรวจสอบใบรับรอง DC ทั้งหมดที่นำออกใช้กับตัวควบคุมโดเมน ใบรับรองที่ไม่มีการตรวจสอบจะถูกเอาออก

เมื่อต้องการบังคับให้โปรแกรมประยุกต์ของนโยบายการรักษาความปลอดภัย ทำตามขั้นตอนเหล่านี้:
  1. คลิก เริ่มการทำงานคลิก เรียกใช้, ชนิด คำสั่ง ในการ เปิด กล่อง จากนั้น กด ENTER
  2. บนหน้าจอพร้อมรับคำสั่ง พิมพ์คำสั่งที่เหมาะสมกับรุ่นของระบบปฏิบัติการที่สอดคล้องกัน และกด ENTER:
    • สำหรับ Windows Server 2000: secedit /refreshpolicy machine_policy / บังคับใช้
    • สำหรับ Windows Server 2003: gpupdate /force
กลับไปด้านบน | ให้ข้อเสนอแนะ

คุณสมบัติ

หมายเลขบทความ (Article ID): 889250 - รีวิวครั้งสุดท้าย: 2 มีนาคม 2555 - Revision: 3.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Keywords: 
kbhowtomaster kbcertservices kbhowto kbmt KB889250 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:889250
(http://support.microsoft.com/kb/889250/en-us/ )
กลับไปด้านบน | ให้ข้อเสนอแนะ

ให้ข้อเสนอแนะ

 
กลับไปด้านบนกลับไปด้านบน