Außerbetriebnahme einer Windows Enterprise-Zertifizierungsstelle und Entfernen aller zugehörigen Objekte

  • Artikel

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie eine Microsoft Windows Enterprise-Zertifizierungsstelle außer Betrieb nehmen und alle zugehörigen Objekte aus dem Active Directory-Verzeichnisdienst entfernen.

Gilt für: Windows Server
Ursprüngliche KB-Nummer: 889250

Zusammenfassung

Wenn Sie eine Zertifizierungsstelle deinstallieren, sind die von der Zertifizierungsstelle ausgestellten Zertifikate in der Regel noch ausstehend. Wenn die ausstehenden Zertifikate von den verschiedenen Public Key Infrastructure-Clientcomputern verarbeitet werden, schlägt die Überprüfung fehl, und diese Zertifikate werden nicht verwendet.

In diesem Artikel wird beschrieben, wie Sie ausstehende Zertifikate widerrufen und verschiedene andere Aufgaben ausführen, die für die erfolgreiche Deinstallation einer Zertifizierungsstelle erforderlich sind. Darüber hinaus werden in diesem Artikel mehrere Hilfsprogramme beschrieben, mit denen Sie ZS-Objekte aus Ihrer Domäne entfernen können.

Schritt 1: Widerrufen aller aktiven Zertifikate, die von der Unternehmenszertifizierungsstelle ausgestellt werden

  1. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Zertifizierungsstelle aus.
  2. Erweitern Sie Ihre Zertifizierungsstelle, und wählen Sie dann den Ordner Ausgestellte Zertifikate aus.
  3. Wählen Sie im rechten Bereich eines der ausgestellten Zertifikate aus, und drücken Sie dann STRG+A, um alle ausgestellten Zertifikate auszuwählen.
  4. Klicken Sie mit der rechten Maustaste auf die ausgewählten Zertifikate, wählen Sie Alle Aufgaben und dann Zertifikat widerrufen aus.
  5. Wählen Sie im Dialogfeld Zertifikatsperrung die Option Betriebsstilllegung als Sperrgrund aus, und klicken Sie dann auf OK.

Schritt 2: Erhöhen des CRL-Veröffentlichungsintervalls

  1. Klicken Sie im Snap-In Microsoft Management Console (MMC) der Zertifizierungsstelle mit der rechten Maustaste auf den Ordner Widerrufene Zertifikate , und wählen Sie dann Eigenschaften aus.
  2. Geben Sie im Feld CRL Publication Interval (Zertifikatsperrlisten-Veröffentlichungsintervall ) einen entsprechend langen Wert ein, und wählen Sie dann OK aus.

Hinweis

Die Lebensdauer der Zertifikatsperrliste (Certificate Revocation List, CRL) sollte länger sein als die Lebensdauer, die für gesperrte Zertifikate verbleibt.

Schritt 3: Veröffentlichen einer neuen Zertifikatsperrliste

  1. Klicken Sie im MMC-Snap-In zertifizierungsstellen mit der rechten Maustaste auf den Ordner Widerrufene Zertifikate.
  2. Wählen Sie Alle Aufgaben und dann Veröffentlichen aus.
  3. Wählen Sie im Dialogfeld Zertifikatsperrliste veröffentlichendie Option Neue Zertifikatsperrliste und dann OK aus.

Schritt 4: Ablehnen ausstehender Anforderungen

Standardmäßig speichert eine Unternehmenszertifizierungsstelle keine Zertifikatanforderungen. Ein Administrator kann dieses Standardverhalten jedoch ändern. Führen Sie die folgenden Schritte aus, um ausstehende Zertifikatanforderungen zu verweigern:

  1. Wählen Sie im MMC-Snap-In zertifizierungsstellen den Ordner Ausstehende Anforderungen aus.
  2. Wählen Sie im rechten Bereich eine der ausstehenden Anforderungen aus, und drücken Sie dann STRG+A, um alle ausstehenden Zertifikate auszuwählen.
  3. Klicken Sie mit der rechten Maustaste auf die ausgewählten Anforderungen, wählen Sie Alle Aufgaben und dann Anforderung verweigern aus.

Schritt 5: Deinstallieren von Zertifikatdiensten vom Server

  1. Klicken Sie zum Beenden der Zertifikatdienste auf Start, wählen Sie Ausführen aus, geben Sie cmd ein, und wählen Sie dann OK aus.

  2. Geben Sie an der Eingabeaufforderung certutil -shutdown ein, und drücken Sie dann die EINGABETASTE.

  3. Geben Sie an der Eingabeaufforderung certutil -getreg CA\CSP\Provider ein, und drücken Sie dann die EINGABETASTE. Beachten Sie den Provider-Wert in der Ausgabe. Zum Beispiel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Fabrikam Root CA1 G2\csp:

  Provider REG_SZ = Microsoft Software Key Storage Provider
CertUtil: -getreg command completed successfully.

    Wenn der Wert Microsoft Strong Cryptographic Provider oder Microsoft Enhanced Cryptographic Provider v1.0 lautet, geben Sie CertUtil -Key ein, und drücken Sie die EINGABETASTE.
    Wenn der Wert Microsoft Software Key Storage Provider lautet, geben Sie CertUtil -CSP KSP -Key ein, und drücken Sie die EINGABETASTE.
    Wenn der Wert etwas anderes ist, geben Sie CertUtil -CSP <PROVIDER NAME> -Key ein, und drücken Sie die EINGABETASTE.

    Dieser Befehl zeigt die Namen aller installierten Kryptografiedienstanbieter (CSP) und die Schlüsselspeicher an, die den einzelnen Anbietern zugeordnet sind. Unter den aufgeführten Schlüsselspeichern ist der Name Ihrer Zertifizierungsstelle aufgeführt. Der Name wird mehrmals aufgeführt, wie im folgenden Beispiel gezeigt:

    (1) Microsoft Base Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Windows2000 Enterprise-Stammzertifizierungsstelle
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

    (5) Microsoft Enhanced Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Windows2000 Enterprise-Stammzertifizierungsstelle
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

  4. Löschen Sie den privaten Schlüssel, der der Zertifizierungsstelle zugeordnet ist. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    certutil -delkey CertificateAuthorityName

    Hinweis

    Wenn Ihr Zertifizierungsstellenname Leerzeichen enthält, schließen Sie den Namen in Anführungszeichen ein.

    In diesem Beispiel lautet der Name der Zertifizierungsstelle Windows2000 Enterprise Root CA. Daher lautet die Befehlszeile in diesem Beispiel wie folgt:

    certutil -delkey "Windows2000 Enterprise Root CA"

  5. Listen Sie die Schlüsselspeicher erneut auf, um zu überprüfen, ob der private Schlüssel für Ihre Zertifizierungsstelle gelöscht wurde.

  6. Nachdem Sie den privaten Schlüssel für Ihre Zertifizierungsstelle gelöscht haben, deinstallieren Sie Die Zertifikatdienste. Führen Sie dazu die folgenden Schritte aus, je nachdem, welche Version von Windows Server Sie ausführen.

    Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, ist mindestens die Mitgliedschaft in Unternehmensadministratoren oder einer entsprechenden Instanz erforderlich, um dieses Verfahren abzuschließen. Weitere Informationen finden Sie unter Implementieren Role-Based Administration.

    Führen Sie die folgenden Schritte aus, um eine Zertifizierungsstelle zu deinstallieren:

    1. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Server-Manager aus.
    2. Wählen Sie unter Rollenzusammenfassungdie Option Rollen entfernen aus, um den Assistenten zum Entfernen von Rollen zu starten, und wählen Sie dann Weiter aus.
    3. Deaktivieren Sie das Kontrollkästchen Active Directory-Zertifikatdienste , und wählen Sie dann Weiter aus.
    4. Überprüfen Sie auf der Seite Löschoptionen bestätigen die Informationen, und wählen Sie dann Entfernen aus.
    5. Wenn Internetinformationsdienste (IIS) ausgeführt werden und Sie aufgefordert werden, den Dienst zu beenden, bevor Sie mit der Deinstallation fortfahren, wählen Sie OK aus.
    6. Starten Sie den Server neu, nachdem der Assistent zum Entfernen von Rollen abgeschlossen ist. Dadurch wird der Deinstallationsvorgang abgeschlossen.

    Das Verfahren unterscheidet sich geringfügig, wenn auf einem einzelnen Server mehrere Active Directory-Zertifikatdienste (ACTIVE DIRECTORY Certificate Services, AD CS) installiert sind. Führen Sie die folgenden Schritte aus, um eine Zertifizierungsstelle zu deinstallieren, aber andere AD CS-Rollendienste beizubehalten.

    Hinweis

    Sie müssen sich mit den gleichen Berechtigungen wie der Benutzer anmelden, der die Zertifizierungsstelle installiert hat, um dieses Verfahren ausführen zu können. Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, ist mindestens die Mitgliedschaft in Unternehmensadministratoren oder einer entsprechenden Instanz erforderlich, um dieses Verfahren abzuschließen. Weitere Informationen finden Sie unter Implementieren Role-Based Administration.

    1. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Server-Manager aus.
    2. Wählen Sie unter Rollenzusammenfassung die Option Active Directory-Zertifikatdienste aus.
    3. Wählen Sie unter Rollendienste die Option Rollendienste entfernen aus.
    4. Deaktivieren Sie das Kontrollkästchen Zertifizierungsstelle , und wählen Sie dann Weiter aus.
    5. Überprüfen Sie auf der Seite Löschoptionen bestätigen die Informationen, und wählen Sie dann Entfernen aus.
    6. Wenn IIS ausgeführt wird und Sie aufgefordert werden, den Dienst zu beenden, bevor Sie mit dem Deinstallationsprozess fortfahren, wählen Sie OK aus.
    7. Nachdem der Assistent zum Entfernen von Rollen abgeschlossen ist, müssen Sie den Server neu starten. Dadurch wird der Deinstallationsvorgang abgeschlossen.

    Wenn die verbleibenden Rollendienste, z. B. der Online responder-Dienst, für die Verwendung von Daten aus der deinstallierten Zertifizierungsstelle konfiguriert wurden, müssen Sie diese Dienste neu konfigurieren, um eine andere Zertifizierungsstelle zu unterstützen. Nach der Deinstallation einer Zertifizierungsstelle verbleiben die folgenden Informationen auf dem Server:

    • Die Datenbank der Zertifizierungsstelle.
    • Die öffentlichen und privaten Schlüssel der Zertifizierungsstelle.
    • Die Zertifikate der Zertifizierungsstelle im persönlichen Speicher.
    • Die Zertifikate der Zertifizierungsstelle im freigegebenen Ordner, wenn während des AD CS-Setups ein freigegebener Ordner angegeben wurde.
    • Das Stammzertifikat der Zertifizierungsstellenkette im Speicher für vertrauenswürdige Stammzertifizierungsstellen.
    • Die Zwischenzertifikate der Zertifizierungsstellenkette im Speicher der Zwischenzertifizierungsstellen.
    • Die Zertifikatsperrliste der Zertifizierungsstelle.

    Standardmäßig werden diese Informationen auf dem Server gespeichert, falls Sie die Zertifizierungsstelle deinstallieren und dann erneut installieren. Beispielsweise können Sie die Zertifizierungsstelle deinstallieren und neu installieren, wenn Sie eine eigenständige Zertifizierungsstelle in eine Unternehmenszertifizierungsstelle ändern möchten.

Schritt 6: Entfernen von ZS-Objekten aus Active Directory

Wenn Microsoft-Zertifikatdienste auf einem Server installiert werden, der Mitglied einer Domäne ist, werden mehrere Objekte im Konfigurationscontainer in Active Directory erstellt.

Diese Objekte sind wie folgt:

  • certificateAuthority-Objekt

    • Befindet sich in CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
    • Enthält das Zertifizierungsstellenzertifikat für die Zertifizierungsstelle.
    • Veröffentlichter AIA-Speicherort (Authority Information Access).

  • crlDistributionPoint-Objekt

    • Befindet sich in CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Enthält die Zertifikatsperrliste, die regelmäßig von der Zertifizierungsstelle veröffentlicht wird.
    • Speicherort des veröffentlichten CRL-Verteilungspunkts (CDP).

  • certificationAuthority-Objekt

    • Befindet sich in CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Enthält das Zertifizierungsstellenzertifikat für die Zertifizierungsstelle.

  • pKIEnrollmentService-Objekt

    • Befindet sich unter CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Erstellt von der Unternehmenszertifizierungsstelle.
    • Enthält Informationen zu den Zertifikattypen, für die die Zertifizierungsstelle konfiguriert wurde. Berechtigungen für dieses Objekt können steuern, welche Sicherheitsprinzipale bei dieser Zertifizierungsstelle registriert werden können.

Wenn die Zertifizierungsstelle deinstalliert wird, wird nur das pKIEnrollmentService-Objekt entfernt. Dadurch wird verhindert, dass Clients versuchen, sich bei der außer Betrieb gesetzten Zertifizierungsstelle zu registrieren. Die anderen Objekte werden beibehalten, da von der Zertifizierungsstelle ausgestellte Zertifikate wahrscheinlich noch ausstehen. Diese Zertifikate müssen widerrufen werden, indem Sie das Verfahren im Abschnitt Schritt 1 – Widerrufen aller aktiven Zertifikate ausführen, die von der Unternehmenszertifizierungsstelle ausgestellt wurden .

Damit PKI-Clientcomputer (Public Key Infrastructure) diese ausstehenden Zertifikate erfolgreich verarbeiten können, müssen die Computer die AIA-Pfade (Authority Information Access) und CRL-Verteilungspunktpfade in Active Directory finden. Es empfiehlt sich, alle ausstehenden Zertifikate zu widerrufen, die Lebensdauer der Zertifikatsperrliste zu verlängern und die Zertifikatsperrliste in Active Directory zu veröffentlichen. Wenn die ausstehenden Zertifikate von den verschiedenen PKI-Clients verarbeitet werden, schlägt die Überprüfung fehl, und diese Zertifikate werden nicht verwendet.

Wenn die Verwaltung des CRL-Verteilungspunkts und der AIA in Active Directory keine Priorität hat, können Sie diese Objekte entfernen. Entfernen Sie diese Objekte nicht, wenn Sie erwarten, dass eines oder mehrere der ehemals aktiven digitalen Zertifikate verarbeitet werden.

Entfernen aller Zertifizierungsdiensteobjekte aus Active Directory

Hinweis

Sie sollten Zertifikatvorlagen erst aus Active Directory entfernen, nachdem Sie alle ZS-Objekte in der Active Directory-Gesamtstruktur entfernt haben.

Führen Sie die folgenden Schritte aus, um alle Zertifizierungsdiensteobjekte aus Active Directory zu entfernen:

  1. Bestimmen Sie den CACommonName der Zertifizierungsstelle. Gehen Sie dazu wie folgt vor:

    1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
    2. Geben Sie certutil ein, und drücken Sie dann die EINGABETASTE.
    3. Notieren Sie sich den Name-Wert , der zu Ihrer Zertifizierungsstelle gehört. Sie benötigen den CACommonName für spätere Schritte in diesem Verfahren.

  2. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Active Directory-Standorte und -Dienste aus.

  3. Wählen Sie im Menü Ansicht die Option Dienstknoten anzeigen aus.

  4. Erweitern Sie Dienste, erweitern Sie Öffentliche Schlüsseldienste, und wählen Sie dann den Ordner AIA aus.

  5. Klicken Sie im rechten Bereich mit der rechten Maustaste auf das Objekt CertificationAuthority für Ihre Zertifizierungsstelle, wählen Sie Löschen und dann Ja aus.

  6. Wählen Sie im linken Bereich des MMC-Snap-Ins Active Directory-Standorte und -Dienste den Ordner CDP aus.

  7. Suchen Sie im rechten Bereich das Containerobjekt für den Server, auf dem Zertifikatdienste installiert sind. Klicken Sie mit der rechten Maustaste auf den Container, wählen Sie Löschen und dann zweimal Ja aus.

  8. Wählen Sie im linken Bereich des MMC-Snap-Ins Active Directory-Standorte und -Dienste den Knoten Zertifizierungsstellen aus.

  9. Klicken Sie im rechten Bereich mit der rechten Maustaste auf das Objekt CertificationAuthority für Ihre Zertifizierungsstelle, wählen Sie Löschen und dann Ja aus.

  10. Wählen Sie im linken Bereich des MMC-Snap-Ins Active Directory-Standorte und -Dienste den Knoten Registrierungsdienste aus.

  11. Überprüfen Sie im rechten Bereich, ob das pKIEnrollmentService-Objekt für Ihre Zertifizierungsstelle entfernt wurde, als die Zertifikatdienste deinstalliert wurden. Wenn das Objekt nicht gelöscht wird, klicken Sie mit der rechten Maustaste auf das Objekt, wählen Sie Löschen und dann Ja aus.

  12. Wenn Sie nicht alle Objekte gefunden haben, bleiben möglicherweise einige Objekte im Active Directory, nachdem Sie diese Schritte ausgeführt haben. Führen Sie die folgenden Schritte aus, um nach einer Zertifizierungsstelle zu sauber, die möglicherweise Objekte in Active Directory verlassen hat, um zu bestimmen, ob AD-Objekte verbleiben:

    1. Geben Sie den folgenden Befehl in eine Befehlszeile ein, und drücken Sie dann die EINGABETASTE:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf

      In diesem Befehl stellt CACommonName den Name-Wert dar, den Sie in Schritt 1 ermittelt haben. Wenn der Name-Wert z. B. CA1 Contoso lautet, geben Sie Folgendes ein:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf

    2. Öffnen Sie die verbleibende DateiCAobjects.ldf im Editor. Ersetzen Sie den Begriff changetype: add durch changetype: delete. Überprüfen Sie dann, ob die Active Directory-Objekte, die Sie löschen, legitim sind.

    3. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE, um die verbleibenden ZS-Objekte aus Active Directory zu löschen:

      ldifde -i -f remainingCAobjects.ldf

  13. Löschen Sie die Zertifikatvorlagen, wenn Sie sicher sind, dass alle Zertifizierungsstellen gelöscht wurden. Wiederholen Sie Schritt 12, um zu ermitteln, ob AD-Objekte verbleiben.

    Wichtig

    Sie dürfen die Zertifikatvorlagen nur löschen, wenn alle Zertifizierungsstellen gelöscht wurden. Wenn die Vorlagen versehentlich gelöscht werden, führen Sie die folgenden Schritte aus:

    1. Stellen Sie sicher, dass Sie bei einem Server angemeldet sind, auf dem Zertifikatdienste als Unternehmensadministrator ausgeführt werden.

    2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      cd %windir%\system32

    3. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      regsvr32 /i:i /n /s certcli.dll

      Mit dieser Aktion werden die Zertifikatvorlagen in Active Directory neu erstellt.

    Führen Sie die folgenden Schritte aus, um die Zertifikatvorlagen zu löschen.

    1. Wählen Sie im linken Bereich des MMC-Snap-Ins Active Directory-Standorte und -Dienste den Ordner Zertifikatvorlagen aus.
    2. Wählen Sie im rechten Bereich eine Zertifikatvorlage aus, und drücken Sie dann STRG+A, um alle Vorlagen auszuwählen. Klicken Sie mit der rechten Maustaste auf die ausgewählten Vorlagen, wählen Sie Löschen und dann Ja aus.

Schritt 7: Löschen von Zertifikaten, die im NtAuthCertificates-Objekt veröffentlicht wurden

Nachdem Sie die ZS-Objekte gelöscht haben, müssen Sie die Zertifizierungsstellenzertifikate löschen, die im NtAuthCertificates -Objekt veröffentlicht werden. Verwenden Sie einen der folgenden Befehle, um Zertifikate aus dem NTAuthCertificates Speicher zu löschen:

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Hinweis

Sie müssen über Unternehmensadministratorberechtigungen verfügen, um diese Aufgabe ausführen zu können.

Die -viewdelstore Aktion ruft die Benutzeroberfläche für die Zertifikatauswahl für den Satz von Zertifikaten im angegebenen Attribut auf. Sie können die Zertifikatdetails anzeigen. Sie können das Auswahldialogfeld abbrechen, um keine Änderungen vorzunehmen. Wenn Sie ein Zertifikat auswählen, wird dieses Zertifikat gelöscht, wenn die Benutzeroberfläche geschlossen und der Befehl vollständig ausgeführt wird.

Verwenden Sie den folgenden Befehl, um den vollständigen LDAP-Pfad zum NtAuthCertificates-Objekt in Ihrem Active Directory anzuzeigen:

certutil -viewdelstore -? | findstr "CN=NTAuth"

Schritt 8: Löschen der Datenbank der Zertifizierungsstelle

Wenn Die Zertifizierungsdienste deinstalliert werden, bleibt die Datenbank der Zertifizierungsstelle intakt, sodass die Zertifizierungsstelle auf einem anderen Server neu erstellt werden kann.

Um die Datenbank der Zertifizierungsstelle zu entfernen, löschen Sie den Ordner %systemroot%\System32\Certlog .

Schritt 9: Bereinigen von Domänencontrollern

Nach der Deinstallation der Zertifizierungsstelle müssen die Zertifikate, die für Domänencontroller ausgestellt wurden, entfernt werden.

Verwenden Sie zum Entfernen von Zertifikaten, die für die Windows Server 2000-Domänencontroller ausgestellt wurden, das Hilfsprogramm Dsstore.exe aus dem Microsoft Windows 2000 Resource Kit.

Führen Sie die folgenden Schritte aus, um Zertifikate zu entfernen, die für die Windows Server 2000-Domänencontroller ausgestellt wurden:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE.

  2. Geben Sie auf einem Domänencontroller an der Eingabeaufforderung dsstore -dcmon ein, und drücken Sie dann die EINGABETASTE.

  3. Geben Sie 3 ein, und drücken Sie dann die EINGABETASTE. Diese Aktion löscht alle Zertifikate auf allen Domänencontrollern.

    Hinweis

    Das Hilfsprogramm Dsstore.exe versucht, Domänencontrollerzertifikate zu überprüfen, die für jeden Domänencontroller ausgestellt werden. Zertifikate, die nicht überprüft werden, werden vom jeweiligen Domänencontroller entfernt.

Führen Sie die folgenden Schritte aus, um Zertifikate zu entfernen, die für die Windows Server 2003-Domänencontroller ausgestellt wurden.

Wichtig

Verwenden Sie dieses Verfahren nicht, wenn Sie Zertifikate verwenden, die auf Domänencontrollervorlagen der Version 1 basieren.

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE.

  2. Geben Sie an der Eingabeaufforderung auf einem Domänencontroller certutil -dcinfo deleteBad ein.

    Certutil.exe versucht, alle DC-Zertifikate zu überprüfen, die für die Domänencontroller ausgestellt werden. Zertifikate, die nicht überprüft werden, werden entfernt.

Führen Sie die folgenden Schritte aus, um die Anwendung der Sicherheitsrichtlinie zu erzwingen:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.
  2. Geben Sie an einer Eingabeaufforderung den entsprechenden Befehl für die entsprechende Version des Betriebssystems ein, und drücken Sie dann die EINGABETASTE:

    • Für Windows Server 2000:

      secedit /refreshpolicy machine_policy /enforce

    • Für Windows Server 2003:

      gpupdate /force