如何從 Windows 2000/2003 網域移除手動的企業 Windows 憑證授權單位

適用於: Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

撰寫


Yuval Sinay MVP

社區解決方案內容免責聲明


MICROSOFT CORPORATION 和/或其各自的供應商不提供本文所含之資訊與相關圖形的適用性、可靠性或準確性的標記法。 所有這些資訊與相關圖形都是以「原樣」提供,不含任何類型的擔保。 MICROSOFT 與/或其各自的供應商特此沒有任何關於此資訊與相關圖形的保證及條件,包括適售性、特定用途的適用性、WORKMANLIKE 工作、標題與未侵權的所有默示擔保及條件。 您明確同意,對於任何直接、間接、PUNITIVE、偶然、特殊的情況,MICROSOFT 與/或其供應商概不承擔任何責任。衍生損失或任何損害(包括但不限於使用中的損失、資料或利潤),不論是根據合約、侵權、過失、嚴格責任或其他方式(無論是依據合約、侵權、過失、STRICT 責任或其他),即使 MICROSOFT 或其任何供應商已收到損害的可能性,也是如此。


在某些組織中,企業 Windows 憑證授權單位有一般的備份程式。 在伺服器問題(軟體/硬體)的情況下,可能需要重新安裝企業 Windows 憑證授權單位。 在您可以重新安裝企業 Windows 憑證授權單位前,您可能需要刪除屬於原始企業 Windows 並位於 Windows Active Directory 中的手動物件與資料。

原因


企業 Windows 憑證授權單位儲存 Windows Active Directory 中的設定和資料。

解析


答:備份: 建議您備份所有包含 active directory 相關資料的節點: Windows 網網域控制站、Exchange 伺服器、Active Directory 連接器、Windows Server Service for Unix、ISA Server Enterprise、Enterprise Windows 憑證授權單位-在您執行此程式 之前之後 。 下列程式應該用來做為上一個滑雪場,而且可能會影響您的生產環境,而且可能需要重新開機某些節點/服務。  B. Active Directory 乾淨: 注意: 請以擁有許可權 bellow 的帳戶登入系統:1。 企業系統管理員2。 網域管理員3。 憑證授權單位系統管理員4。 架構管理員(在處理過程中,充當架構主機 FSMO 的伺服器應該是線上的)。 若要從 Active Directory 中移除所有認證服務物件: 1. 啟動「Active Directory 網站和服務」。 2. 按一下 [查看] 功能表選項,然後選取 [顯示服務] 節點。 3. 展開 [服務],然後展開 [公開金鑰服務]。 4. 選取 [AIA] 節點。 5.In 右側窗格,找出您憑證授權單位的「certificateAuthority」物件。 刪除物件。 6. 選取 [CDP] 節點。 7.In 右側窗格,找出已安裝認證服務的伺服器容器物件。 刪除容器及其包含的物件。 8. 選取 [憑證授權單位] 節點。 9.In 右側窗格,找出您憑證授權單位的「certificateAuthority」物件。 刪除物件。 10. 選取 [註冊服務] 節點。 11.In 右側窗格中的 [pKIEnrollmentService] 物件,確認您的憑證授權單位已將它刪除。12. 選取 [憑證範本] 節點。 13.In 右側窗格,刪除所有憑證範本。 只有在林中沒有安裝任何其他企業 Ca 時,才能刪除所有憑證範本。 如果不小心刪除範本,請從備份還原範本。 14. 按一下「公開金鑰服務」節點,找出「NTAuthCertificates」物件。 15. 如果林中沒有安裝任何其他企業版或獨立 Ca,請刪除該物件,否則請將其保留不動。 位. 使用 Windows 資源套件中的 [Active Directory 網站和服務] 或 "Repadmin" 命令,強制複製到網域/林中的其他網網域控制站。  網網域控制站清理一旦 CA 被取出之後,就必須移除已頒發給所有網網域控制站的憑證。 您可以使用 DSSTORE 輕鬆地完成此動作。EXE:您也可以使用「certutil」命令來移除舊的網網域控制站憑證:1。 在網網域控制站上的命令提示字元中,輸入: "certutil-Dcinfo deleteBad" 2. cscript.exe 將嘗試驗證所有頒發給網網域控制站的 DC 證書。 無法驗證的憑證將會被移除。    此時,您可以重新安裝憑證服務。 安裝完成後,新的根憑證就會發佈至 Active Directory。 當網域用戶端重新整理其安全性原則時,它們會自動將新的根憑證下載到其受信任的根存放區中。    強制應用安全性原則。 3. 在命令提示字元中,輸入「gpupdate/target:電腦注意: 如果企業 windows 憑證授權單位發行的電腦/使用者憑證或其他類型的憑證(Web 服務器憑證等),建議您在重新安裝企業版 Windows 憑證前,先移除舊的憑證。 

其他相關資訊


Windows XP 專業版和 Windows Server 2003 的 PKI 增強功能 Windows Server 2003 PKI 操作指南