Come rimuovere manualmente l'autorità di certificazione Windows aziendale da un dominio di Windows 2000/2003

Questo articolo è stato scritto da Yuval Sinay, Microsoft MVP.

Si applica a: Windows Server 2003
Numero KB originale: 555151

Sintomi

In alcune organizzazioni sono disponibili procedure di backup regolari per Enterprise Windows Certificate Authority. Se si verifica un problema del server (software/hardware), potrebbe essere necessario reinstallare l'Autorità di certificazione Windows aziendale. Prima di poter reinstallare l'Autorità di certificazione Windows enterprise, potrebbe essere necessario eliminare manualmente oggetti e dati che appartengono a Windows Enterprise originale e risiedono in Windows Active Directory.

Causa

Enterprise Windows Certificate Authority salva le impostazioni e i dati delle configurazioni in Windows Active Directory.

Risoluzione

R. Backup:

È consigliabile eseguire il backup di tutti i nodi che contengono dati correlati ad Active Directory prima e dopo aver seguito questa procedura, tra cui:

  • Controller di dominio Windows
  • Exchange Server
  • Connettore Active Directory
  • Windows Server con servizi per Unix
  • ISA Server Enterprise
  • Autorità di certificazione Windows enterprise

Utilizzare la procedura seguente come ultima risorsa. Può influire sull'ambiente di produzione e potrebbe richiedere il riavvio di alcuni nodi/servizi.

B. Pulizia di Active Directory:

Nota

Accedere al sistema con un account con le autorizzazioni più bellow:

  1. Amministratore aziendale
  2. Amministratore di dominio
  3. Amministratore autorità di certificazione
  4. Amministratore dello schema (il server che funziona come schema master FSMO deve essere online durante il processo).

Per rimuovere tutti gli oggetti di Servizi di certificazione da Active Directory:

  1. Avviare "Siti e servizi di Active Directory".

  2. Selezionare l'opzione di menu "Visualizza" e selezionare Nodo "Mostra servizi".

  3. Espandere "Servizi" e quindi "Servizi a chiave pubblica".

  4. Selezionare il nodo "AIA".

  5. Nel riquadro a destra individuare l'oggetto "certificateAuthority" per l'autorità di certificazione. Eliminare l'oggetto .

  6. Selezionare il nodo "CDP".

  7. Nel riquadro a destra individuare l'oggetto Container per il server in cui è installato Servizi di certificazione. Eliminare il contenitore e gli oggetti in esso contenuti.

  8. Selezionare il nodo "Autorità di certificazione".

  9. Nel riquadro a destra individuare l'oggetto "certificateAuthority" per l'autorità di certificazione. Eliminare l'oggetto .

  10. Selezionare il nodo "Servizi di registrazione".

  11. Nel riquadro a destra verificare che l'oggetto "pKIEnrollmentService" per l'autorità di certificazione lo elimini.

  12. Selezionare il nodo "Modelli di certificato".

  13. Nel riquadro a destra eliminare tutti i modelli di certificato.

    Nota

    Eliminare tutti i modelli di certificato solo se non sono installate altre CA aziendali nella foresta. Se i modelli vengono eliminati inavvertitamente, ripristinare i modelli dal backup.

  14. Selezionare il nodo "Servizi a chiave pubblica" e individuare l'oggetto "NTAuthCertificates".

  15. Se nella foresta non sono installate altre CA enterprise o autonome, eliminare l'oggetto, altrimenti lasciarlo in pace.

  16. Usare il comando "Siti e servizi di Active Directory" o "Repadmin" del Resource Kit di Windows per forzare la replica agli altri controller di dominio nel dominio/foresta.

Pulizia controller di dominio

Dopo che la CA è stata rimossa, è necessario rimuovere i certificati rilasciati a tutti i controller di dominio. Questa operazione può essere eseguita facilmente usando DSSTORE.EXE del Resource Kit:

È anche possibile rimuovere i certificati dei controller di dominio precedenti usando il certutil comando :

  1. Al prompt dei comandi in un controller di dominio digitare: certutil -dcinfo deleteBad.

  2. Certutil.exe tenterà di convalidare tutti i certificati del controller di dominio rilasciati ai controller di dominio. I certificati che non vengono convalidati verranno rimossi. A questo punto, è possibile reinstallare Servizi certificati. Al termine dell'installazione, il nuovo certificato radice verrà pubblicato in Active Directory. Quando il dominio
    i client aggiornano i criteri di sicurezza e scaricano automaticamente il nuovo certificato radice negli archivi radice attendibili. o forzare l'applicazione dei criteri di sicurezza.

  3. Al prompt dei comandi digitare gpupdate /target: computer.

    Nota

    Se l'Autorità di certificazione Windows enterprise ha pubblicato il certificato computer/utente o altri tipi di certificati (certificato server Web e così via), è consigliabile rimuovere i certificati precedenti prima di reinstallare il certificato Enterprise Windows.

Ulteriori informazioni

Dichiarazione di non responsabilità per il contenuto delle soluzioni della Community

Microsoft Corporation e/o i rispettivi fornitori non rilasciano alcuna dichiarazione relativa all'idoneità, all'affidabilità o alla correttezza delle informazioni e della relativa grafica contenute nel presente documento. Tutte queste informazioni e la relativa grafica sono fornite "così come sono" senza garanzia di alcun tipo. Microsoft e/o i rispettivi fornitori non riconoscono alcuna garanzia e condizione relative a queste informazioni e alla relativa grafica, incluse le eventuali garanzie implicite e condizioni di commerciabilità, l'idoneità per uno scopo specifico, la perizia, il titolo e la non violazione. L'utente accetta espressamente che in nessun caso Microsoft e/o i suoi fornitori saranno ritenuti responsabili per eventuali danni diretti, indiretti, punitivi, incidentali, speciali, consequenziali o di qualsiasi tipo, inclusi, a mero titolo esemplificativo, i danni per perdita di utilizzo, di dati o di profitti, derivanti da, o in qualsiasi modo connessi all'utilizzo o all'impossibilità di utilizzare le informazioni e la relativa la grafica contenute nel presente documento, sia in base a un contratto, illecito, negligenza, responsabilità oggettiva o altrimenti, anche se Microsoft o uno dei suoi fornitori è stato informato della possibilità del verificarsi di tali danni.