Comment supprimer manuellement l’autorité de certification Windows d’entreprise d’un domaine Windows 2000/2003

Cet article a été écrit par Yuval Sinay, MVP Microsoft.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 555151

Symptômes

Dans certaines organisations, il existe des procédures de sauvegarde régulières pour l’autorité de certification Windows d’entreprise. En cas de problème de serveur (logiciel/matériel), vous devrez peut-être réinstaller l’autorité de certification Windows d’entreprise. Avant de pouvoir réinstaller l’autorité de certification Enterprise Windows, vous devrez peut-être supprimer manuellement les objets et les données qui appartiennent à l’entreprise Windows d’origine et qui résident dans Windows Active Directory.

Cause

L’autorité de certification Windows d’entreprise enregistre les paramètres de configuration et les données dans Windows Active Directory.

Résolution

R : Sauvegarde:

Il est recommandé de sauvegarder tous les nœuds qui contiennent des données relatives à Active Directory avant et après avoir suivi cette procédure, notamment :

• Contrôleurs de domaine Windows
• Serveurs Exchange
• Connecteur Active Directory
• Windows Server avec services pour Unix
• ISA Server Enterprise
• Autorité de certification Windows d’entreprise

Utilisez la procédure suivante en dernier recours. Cela peut affecter votre environnement de production et peut nécessiter le redémarrage de certains nœuds/services.

B. Active Directory Clean :

Pour supprimer tous les objets Certification Services d’Active Directory :

1. Démarrez « Sites et services Active Directory ».

2. Sélectionnez l’option de menu « Affichage », puis sélectionnez Le nœud « Afficher les services ».

3. Développez « Services », puis « Services à clé publique ».

4. Sélectionnez le nœud « AIA ».

5. Dans le volet droit, recherchez l’objet « certificateAuthority » pour votre autorité de certification. Supprimez l’objet .

6. Sélectionnez le nœud « CDP ».

7. Dans le volet droit, recherchez l’objet Container pour le serveur sur lequel les services de certification sont installés. Supprimez le conteneur et les objets qu’il contient.

8. Sélectionnez le nœud « Autorités de certification ».

9. Dans le volet droit, recherchez l’objet « certificateAuthority » pour votre autorité de certification. Supprimez l’objet .

10. Sélectionnez le nœud « Services d’inscription ».

11. Dans le volet droit, vérifiez que l’objet « pKIEnrollmentService » pour votre autorité de certification, supprimez-le.

12. Sélectionnez le nœud « Modèles de certificats ».

13. Dans le volet droit, supprimez tous les modèles de certificat.

    Remarque

    Supprimez tous les modèles de certificat uniquement si aucune autre autorité de certification d’entreprise n’est installée dans la forêt. Si les modèles sont supprimés par inadvertance, restaurez les modèles à partir de la sauvegarde.

14. Sélectionnez le nœud « Services de clé publique » et recherchez l’objet « NTAuthCertificates ».

15. Si aucune autre autorité de certification Entreprise ou autonome n’est installée dans la forêt, supprimez l’objet, sinon laissez-le seul.

16. Utilisez la commande « Sites et services Active Directory » ou «Repadmin » du kit de ressources Windows pour forcer la réplication vers les autres contrôleurs de domaine dans le domaine/la forêt.

Nettoyage du contrôleur de domaine

Une fois l’autorité de certification supprimée, les certificats qui ont été émis à tous les contrôleurs de domaine doivent être supprimés. Vous pouvez le faire facilement en utilisant DSSTORE.EXE du Kit de ressources :

Vous pouvez également supprimer les anciens certificats de contrôleur de domaine à l’aide de la certutil commande :

1. À l’invite de commandes sur un contrôleur de domaine, tapez : certutil -dcinfo deleteBad.

2. Certutil.exe tente de valider tous les certificats DC émis aux contrôleurs de domaine. Les certificats qui ne parviennent pas à valider seront supprimés. À ce stade, vous pouvez réinstaller les services de certificats. Une fois l’installation terminée, le nouveau certificat racine est publié dans Active Directory. Quand le domaine
   Les clients actualisent leur stratégie de sécurité. Ils téléchargent automatiquement le nouveau certificat racine dans leurs magasins racines approuvés. o forcer l’application de la stratégie de sécurité.

3. À l’invite de commandes, tapez gpupdate /target: computer.

   Remarque

   Si l’autorité de certification Windows d’entreprise a publié un certificat ordinateur/utilisateur ou d’autres types de certificats (certificat de serveur web, etc.), il est recommandé de supprimer les anciens certificats avant de réinstaller le certificat Windows Entreprise.

Plus d’informations

Exclusion de contenu communautaire Solutions

MICROSOFT CORPORATION ET/OU SES FOURNISSEURS RESPECTIFS NE FONT AUCUNE DÉCLARATION SUR LA PERTINENCE, DE FIABILITÉ OU L’EXACTITUDE DES INFORMATIONS ET DES ÉLÉMENTS GRAPHIQUES ASSOCIÉS CONTENUS DANS LE PRÉSENT DOCUMENT. TOUTES CES INFORMATIONS ET ÉLÉMENTS GRAPHIQUES ASSOCIÉS SONT FOURNIS « EN L’ÉTAT » SANS GARANTIE D’AUCUNE SORTE. MICROSOFT ET/OU SES FOURNISSEURS RESPECTIFS EXCLUENT TOUTES LES GARANTIES ET CONDITIONS RELATIVES À CES INFORMATIONS ET LES GRAPHIQUES ASSOCIÉS, NOTAMMENT TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER, LOIS ET D’ABSENCE DE CONTREFAÇON. VOUS RECONNAISSEZ SPÉCIFIQUEMENT QU’EN AUCUN CAS MICROSOFT ET/OU SES FOURNISSEURS EST RESPONSABLES POUR DES DOMMAGES DIRECTS, INDIRECTS, PUNITIFS, OU ACCESSOIRES, SPÉCIALES, NI LES DOMMAGES QUELCONQUES Y COMPRIS, SANS LIMITATION, LES DOMMAGES POUR PERTE D’UTILISATION, DE DONNÉES OU DE BÉNÉFICES, DÉCOULANT D’OU DANS N’IMPORTE QUEL LIÉS À L’UTILISATION D’OU DE L’INCAPACITÉ À UTILISER LES INFORMATIONS ET LES ÉLÉMENTS GRAPHIQUES ASSOCIÉS CONTENUS DANS LE PRÉSENT DOCUMENT , BASÉ SUR LE CONTRAT, RESPONSABILITÉ DÉLICTUELLE, NÉGLIGENCE, RESPONSABILITÉ STRICTE OU AUTREMENT, MÊME SI MICROSOFT OU L’UN DE SES FOURNISSEURS A ÉTÉ AVERTI DE L’ÉVENTUALITÉ DE DOMMAGES.