Come rimuovere manualmente l'autorità di certificazione Windows aziendale da un dominio di Windows 2000/2003
Questo articolo è stato scritto da Yuval Sinay, Microsoft MVP.
Si applica a: Windows Server 2003
Numero KB originale: 555151
Sintomi
In alcune organizzazioni sono disponibili procedure di backup regolari per Enterprise Windows Certificate Authority. Se si verifica un problema del server (software/hardware), potrebbe essere necessario reinstallare l'Autorità di certificazione Windows aziendale. Prima di poter reinstallare l'Autorità di certificazione Windows enterprise, potrebbe essere necessario eliminare manualmente oggetti e dati che appartengono a Windows Enterprise originale e risiedono in Windows Active Directory.
Causa
Enterprise Windows Certificate Authority salva le impostazioni e i dati delle configurazioni in Windows Active Directory.
Risoluzione
R. Backup:
È consigliabile eseguire il backup di tutti i nodi che contengono dati correlati ad Active Directory prima e dopo aver seguito questa procedura, tra cui:
- Controller di dominio Windows
- Exchange Server
- Connettore Active Directory
- Windows Server con servizi per Unix
- ISA Server Enterprise
- Autorità di certificazione Windows enterprise
Utilizzare la procedura seguente come ultima risorsa. Può influire sull'ambiente di produzione e potrebbe richiedere il riavvio di alcuni nodi/servizi.
B. Pulizia di Active Directory:
Nota
Accedere al sistema con un account con le autorizzazioni più bellow:
- Amministratore aziendale
- Amministratore di dominio
- Amministratore autorità di certificazione
- Amministratore dello schema (il server che funziona come schema master FSMO deve essere online durante il processo).
Per rimuovere tutti gli oggetti di Servizi di certificazione da Active Directory:
Avviare "Siti e servizi di Active Directory".
Selezionare l'opzione di menu "Visualizza" e selezionare Nodo "Mostra servizi".
Espandere "Servizi" e quindi "Servizi a chiave pubblica".
Selezionare il nodo "AIA".
Nel riquadro a destra individuare l'oggetto "certificateAuthority" per l'autorità di certificazione. Eliminare l'oggetto .
Selezionare il nodo "CDP".
Nel riquadro a destra individuare l'oggetto Container per il server in cui è installato Servizi di certificazione. Eliminare il contenitore e gli oggetti in esso contenuti.
Selezionare il nodo "Autorità di certificazione".
Nel riquadro a destra individuare l'oggetto "certificateAuthority" per l'autorità di certificazione. Eliminare l'oggetto .
Selezionare il nodo "Servizi di registrazione".
Nel riquadro a destra verificare che l'oggetto "pKIEnrollmentService" per l'autorità di certificazione lo elimini.
Selezionare il nodo "Modelli di certificato".
Nel riquadro a destra eliminare tutti i modelli di certificato.
Nota
Eliminare tutti i modelli di certificato solo se non sono installate altre CA aziendali nella foresta. Se i modelli vengono eliminati inavvertitamente, ripristinare i modelli dal backup.
Selezionare il nodo "Servizi a chiave pubblica" e individuare l'oggetto "NTAuthCertificates".
Se nella foresta non sono installate altre CA enterprise o autonome, eliminare l'oggetto, altrimenti lasciarlo in pace.
Usare il comando "Siti e servizi di Active Directory" o "
Repadmin
" del Resource Kit di Windows per forzare la replica agli altri controller di dominio nel dominio/foresta.
Pulizia controller di dominio
Dopo che la CA è stata rimossa, è necessario rimuovere i certificati rilasciati a tutti i controller di dominio. Questa operazione può essere eseguita facilmente usando DSSTORE.EXE del Resource Kit:
È anche possibile rimuovere i certificati dei controller di dominio precedenti usando il certutil
comando :
Al prompt dei comandi in un controller di dominio digitare:
certutil -dcinfo deleteBad
.Certutil.exe
tenterà di convalidare tutti i certificati del controller di dominio rilasciati ai controller di dominio. I certificati che non vengono convalidati verranno rimossi. A questo punto, è possibile reinstallare Servizi certificati. Al termine dell'installazione, il nuovo certificato radice verrà pubblicato in Active Directory. Quando il dominio
i client aggiornano i criteri di sicurezza e scaricano automaticamente il nuovo certificato radice negli archivi radice attendibili. o forzare l'applicazione dei criteri di sicurezza.Al prompt dei comandi digitare
gpupdate /target: computer
.Nota
Se l'Autorità di certificazione Windows enterprise ha pubblicato il certificato computer/utente o altri tipi di certificati (certificato server Web e così via), è consigliabile rimuovere i certificati precedenti prima di reinstallare il certificato Enterprise Windows.
Ulteriori informazioni
Dichiarazione di non responsabilità per il contenuto delle soluzioni della Community
Microsoft Corporation e/o i rispettivi fornitori non rilasciano alcuna dichiarazione relativa all'idoneità, all'affidabilità o alla correttezza delle informazioni e della relativa grafica contenute nel presente documento. Tutte queste informazioni e la relativa grafica sono fornite "così come sono" senza garanzia di alcun tipo. Microsoft e/o i rispettivi fornitori non riconoscono alcuna garanzia e condizione relative a queste informazioni e alla relativa grafica, incluse le eventuali garanzie implicite e condizioni di commerciabilità, l'idoneità per uno scopo specifico, la perizia, il titolo e la non violazione. L'utente accetta espressamente che in nessun caso Microsoft e/o i suoi fornitori saranno ritenuti responsabili per eventuali danni diretti, indiretti, punitivi, incidentali, speciali, consequenziali o di qualsiasi tipo, inclusi, a mero titolo esemplificativo, i danni per perdita di utilizzo, di dati o di profitti, derivanti da, o in qualsiasi modo connessi all'utilizzo o all'impossibilità di utilizzare le informazioni e la relativa la grafica contenute nel presente documento, sia in base a un contratto, illecito, negligenza, responsabilità oggettiva o altrimenti, anche se Microsoft o uno dei suoi fornitori è stato informato della possibilità del verificarsi di tali danni.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere:Invia e visualizza il feedback per