Cómo quitar manualmente la entidad de certificación de Windows empresarial de un dominio de Windows 2000/2003

Este artículo fue escrito por Yuval Sinay, MVP de Microsoft.

Se aplica a: Windows Server 2003
Número de KB original: 555151

Síntomas

En algunas organizaciones, hay procedimientos de copia de seguridad normales para la entidad de certificación de Windows empresarial. Si hay un problema de servidor (software o hardware), es posible que tenga que volver a instalar la entidad de certificación de Windows enterprise. Para poder reinstalar la entidad de certificación de Windows enterprise, es posible que deba eliminar manualmente los objetos y datos que pertenecen al Windows enterprise original y que residen en Windows Active Directory.

Causa

La entidad de certificación de Windows empresarial guarda los datos y la configuración de las configuraciones en Windows Active Directory.

Solución

R: Copia de seguridad:

Se recomienda realizar una copia de seguridad de todos los nodos que contienen datos relacionados con Active Directory antes y después de seguir este procedimiento, incluidos:

• Controladores de dominio de Windows
• Servidores de Exchange
• Conector de Active Directory
• Windows Server con servicios para Unix
• ISA Server Enterprise
• Entidad de certificación de Windows empresarial

Use el siguiente procedimiento como último recurso. Puede afectar al entorno de producción y puede que sea necesario reiniciar algunos nodos o servicios.

B. Limpieza de Active Directory:

Para quitar todos los objetos de Certification Services de Active Directory:

1. Inicie "Sitios y servicios de Active Directory".

2. Seleccione la opción de menú "Ver" y seleccione el nodo "Mostrar servicios".

3. Expanda "Servicios" y, a continuación, expanda "Servicios de clave pública".

4. Seleccione el nodo "AIA".

5. En el panel derecho, busque el objeto "certificateAuthority" para la entidad de certificación. Elimine el objeto .

6. Seleccione el nodo "CDP".

7. En el panel derecho, busque el objeto Container para el servidor donde está instalado Certification Services. Elimine el contenedor y los objetos que contiene.

8. Seleccione el nodo "Entidades de certificación".

9. En el panel derecho, busque el objeto "certificateAuthority" para la entidad de certificación. Elimine el objeto .

10. Seleccione el nodo "Enrollment Services".

11. En el panel derecho, compruebe que el objeto "pKIEnrollmentService" de la entidad de certificación lo elimine.

12. Seleccione el nodo "Plantillas de certificado".

13. En el panel derecho, elimine todas las plantillas de certificado.

    Nota:

    Elimine todas las plantillas de certificado solo si no hay ninguna otra ENTIDAD de certificación empresarial instalada en el bosque. Si las plantillas se eliminan involuntariamente, restaure las plantillas de la copia de seguridad.

14. Seleccione el nodo "Public key Services" (Servicios de clave pública) y busque el objeto "NTAuthCertificates".

15. Si no hay ninguna otra entidad de certificación empresarial o independiente instalada en el bosque, elimine el objeto; de lo contrario, déjelo en paz.

16. Use el comando "Sitios y servicios de Active Directory" o "Repadmin" del kit de recursos de Windows para forzar la replicación a los demás controladores de dominio del dominio o bosque.

Limpieza del controlador de dominio

Una vez que se ha quitado la entidad de certificación, es necesario quitar los certificados que se han emitido a todos los controladores de dominio. Se puede hacer fácilmente mediante DSSTORE.EXE del kit de recursos:

También puede quitar certificados de controlador de dominio antiguos mediante el certutil comando :

1. En el símbolo del sistema de un controlador de dominio, escriba: certutil -dcinfo deleteBad.

2. Certutil.exe intentará validar todos los certificados de controlador de dominio emitidos a los controladores de dominio. Se quitarán los certificados que no se puedan validar. En este momento, puede volver a instalar Servicios de certificados. Una vez finalizada la instalación, el nuevo certificado raíz se publicará en Active Directory. Cuando el dominio
   los clientes actualizan su directiva de seguridad, descargarán automáticamente el nuevo certificado raíz en sus almacenes raíz de confianza. o forzar la aplicación de la directiva de seguridad.

3. En el símbolo del sistema, escriba gpupdate /target: computer.

   Nota:

   Si la entidad de certificación de Windows enterprise publicó el certificado de equipo o usuario u otros tipos de certificados (certificado de servidor web, etc.), se recomienda quitar los certificados antiguos antes de volver a instalar el certificado de Windows empresarial.

Más información

Aviso legal de activación de soluciones de comunidad

Microsoft Corporation o sus proveedores no representan la idoneidad, fiabilidad o precisión de la información y los gráficos relacionados en el presente documento. Toda la información y gráficos relacionados se proporcionan "tal cual" sin garantía de ningún tipo. Por la presente, Microsoft o sus respectivos proveedores renuncian a toda garantía y condición respecto a esta información y los gráficos relacionados, incluidas todas las garantías y condiciones implícitas de comerciabilidad, idoneidad para un propósito particular, esfuerzo profesional, título y ausencia de infracción. Usted acepta específicamente que en ningún caso Microsoft o sus proveedores serán responsables por daños directos, indirectos, punitivos, incidentales, especiales, consecuentes ni ningún daño, incluidos, sin limitación, daños por pérdida de uso, datos o beneficios, que surja de o en cualquier forma relacionada con el uso de o imposibilidad de uso de la información y los gráficos relacionados contenidos en este documento, ya sea basado en contrato, agravio, negligencia, responsabilidad estricta o de otro tipo, incluso si Microsoft o cualquiera de sus proveedores han recibido aviso de la posibilidad de daños.