Außerbetriebnahme einer Windows Unternehmenszertifizierungsstelle und Entfernen aller zugehörigen Objekte

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie sie eine Microsoft Windows Unternehmenszertifizierungsstelle außer Betrieb gesetzt und alle zugehörigen Objekte aus dem Active Directory-Verzeichnisdienst entfernt werden.

Gilt für:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   889250

Zusammenfassung

Wenn Sie eine Zertifizierungsstelle deinstallieren, sind die von der Zertifizierungsstelle ausgestellten Zertifikate in der Regel noch ausstehend. Wenn die ausstehenden Zertifikate von den verschiedenen Clientcomputern für die Public Key-Infrastruktur verarbeitet werden, schlägt die Überprüfung fehl, und diese Zertifikate werden nicht verwendet.

In diesem Artikel wird beschrieben, wie Sie ausstehende Zertifikate widerrufen und verschiedene andere Aufgaben ausführen, die erforderlich sind, um eine Zertifizierungsstelle erfolgreich zu deinstallieren. Darüber hinaus werden in diesem Artikel mehrere Hilfsprogramme beschrieben, die Sie verwenden können, um Ca-Objekte aus Ihrer Domäne zu entfernen.

Schritt 1: Widerrufen aller aktiven Zertifikate, die von der Unternehmenszertifizierungsstelle ausgestellt wurden

  1. Wählen Sie "Start", zeigen Sie auf "Verwaltungstools", und wählen Sie dann "Zertifizierungsstelle" aus.
  2. Erweitern Sie Ihre Zertifizierungsstelle, und wählen Sie dann den Ordner "Ausgestellte Zertifikate" aus.
  3. Wählen Sie im rechten Bereich eines der ausgestellten Zertifikate aus, und drücken Sie dann STRG+A, um alle ausgestellten Zertifikate auszuwählen.
  4. Klicken Sie mit der rechten Maustaste auf die ausgewählten Zertifikate, wählen Sie "Alle Aufgaben" und dann "Zertifikat widerrufen" aus.
  5. Wählen Sie im Dialogfeld "Zertifikatsperrung" die Option "Betriebssperrung" als Grund für die Sperrung aus, und wählen Sie dann OK aus.

Schritt 2 : Erhöhen des CRL-Veröffentlichungsintervalls

  1. Klicken Sie im MmC-Snap-In (Microsoft Management Console) der Zertifizierungsstelle mit der rechten Maustaste auf den Ordner "Gesperrte Zertifikate", und wählen Sie dann "Eigenschaften" aus.
  2. Geben Sie im Feld CRL-Veröffentlichungsintervall einen entsprechend langen Wert ein, und wählen Sie dann OK aus.

Hinweis

Die Lebensdauer der Zertifikatsperrliste (Certificate Revocation List, CRL) sollte länger als die Gültigkeitsdauer sein, die für gesperrte Zertifikate verbleibt.

Schritt 3 : Veröffentlichen einer neuen CRL

  1. Klicken Sie im ZERTIFIZIERUNGSSTELLEN-MMC-Snap-In mit der rechten Maustaste auf den Ordner "Gesperrte Zertifikate".
  2. Wählen Sie "Alle Aufgaben" und dann "Veröffentlichen" aus.
  3. Wählen Sie im Dialogfeld CRL veröffentlichen die Option Neue CRL aus, und wählen Sie dann OK aus.

Schritt 4: Verweigern ausstehender Anforderungen

Standardmäßig speichert eine Unternehmenszertifizierungsstelle keine Zertifikatanforderungen. Ein Administrator kann dieses Standardverhalten jedoch ändern. Führen Sie die folgenden Schritte aus, um ausstehende Zertifikatanforderungen zu verweigern:

  1. Wählen Sie im ZERTIFIZIERUNGSSTELLEN-MMC-Snap-In den Ordner "Ausstehende Anforderungen" aus.
  2. Wählen Sie im rechten Bereich eine der ausstehenden Anforderungen aus, und drücken Sie dann STRG+A, um alle ausstehenden Zertifikate auszuwählen.
  3. Klicken Sie mit der rechten Maustaste auf die ausgewählten Anforderungen, wählen Sie "Alle Aufgaben" und dann "Anforderung verweigern" aus.

Schritt 5: Deinstallieren von Zertifikatdiensten vom Server

  1. Um die Zertifikatdienste zu beenden, wählen Sie "Start", "Ausführen", "cmd" und dann "OK" aus.

  2. Geben Sie an der Eingabeaufforderung "certutil -shutdown" ein, und drücken Sie dann die EINGABETASTE.

  3. Geben Sie an der Eingabeaufforderung "certutil -key" ein, und drücken Sie dann die EINGABETASTE.

    Dieser Befehl zeigt die Namen aller installierten kryptografischen Dienstanbieter (CSP) und die Schlüsselspeicher an, die jedem Anbieter zugeordnet sind. Unter den aufgelisteten Schlüsselspeichern ist der Name Ihrer Zertifizierungsstelle aufgeführt. Der Name wird mehrmals aufgelistet, wie im folgenden Beispiel gezeigt:

    (1) Microsoft Base Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Windows2000 Enterprise Stammzertifizierungsstelle
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

    (5) Microsoft Enhanced Cryptographic Provider v1.0:
    1a3b2f44-2540-408b-8867-51bd6b6ed413
    MS IIS DCOM ClientSYSTEMS-1-5-18
    MS IIS DCOM Server
    Windows2000 Enterprise Stammzertifizierungsstelle
    MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

    afd1bc0a-a93c-4a31-8056-c0b9ca632896
    Microsoft Internet Information Server
    Netmon
    MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

  4. Löschen Sie den privaten Schlüssel, der der Zertifizierungsstelle zugeordnet ist. Geben Sie dazu an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    certutil -delkey CertificateAuthorityName
    

    Hinweis

    Wenn der Name Ihrer Zertifizierungsstelle Leerzeichen enthält, schließen Sie den Namen in Anführungszeichen ein.

    In diesem Beispiel lautet der Name der Zertifizierungsstelle Windows2000 Enterprise Stammzertifizierungsstelle. Daher lautet die Befehlszeile in diesem Beispiel wie folgt:

    certutil -delkey "Windows2000 Enterprise Root CA"
    
  5. Listen Sie die Schlüsselspeicher erneut auf, um zu überprüfen, ob der private Schlüssel für Ihre Zertifizierungsstelle gelöscht wurde.

  6. Nachdem Sie den privaten Schlüssel für Ihre Zertifizierungsstelle gelöscht haben, deinstallieren Sie die Zertifikatdienste. Führen Sie dazu die folgenden Schritte aus, abhängig von der Version von Windows Server, den Sie ausführen.

    Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, ist die Mitgliedschaft in Enterprise Administratoren oder die entsprechende Mindestanforderung, um dieses Verfahren abzuschließen. Weitere Informationen finden Sie unter Implementieren Role-Based Administration.

    Gehen Sie folgendermaßen vor, um eine Zertifizierungsstelle zu deinstallieren:

    1. Wählen Sie "Start", zeigen Sie auf "Verwaltungstools", und wählen Sie dann "Server-Manager" aus.
    2. Wählen Sie unter "Rollenzusammenfassung" die Option "Rollen entfernen" aus, um den Assistenten zum Entfernen von Rollen zu starten, und wählen Sie dann "Weiter" aus.
    3. Aktivieren Sie dieses Kontrollkästchen, um das Kontrollkästchen Active Directory-Zertifikatdienste zu deaktivieren, und klicken Sie dann auf "Weiter".
    4. Überprüfen Sie auf der Seite "Entfernungsoptionen bestätigen" die Informationen, und wählen Sie dann "Entfernen" aus.
    5. Wenn Internetinformationsdienste (IIS) ausgeführt wird und Sie aufgefordert werden, den Dienst zu beenden, bevor Sie mit dem Deinstallationsprozess fortfahren, wählen Sie OK aus.
    6. Starten Sie nach Abschluss des Assistenten zum Entfernen von Rollen den Server neu. Dadurch wird der Deinstallationsprozess abgeschlossen.

    Das Verfahren unterscheidet sich geringfügig, wenn mehrere Active Directory-Zertifikatdienste (AD CS)-Rollendienste auf einem einzelnen Server installiert sind. Führen Sie die folgenden Schritte aus, um eine Zertifizierungsstelle zu deinstallieren, aber andere AD CS-Rollendienste beizubehalten.

    Hinweis

    Sie müssen sich mit den gleichen Berechtigungen wie der Benutzer anmelden, der die Zertifizierungsstelle installiert hat, um dieses Verfahren abzuschließen. Wenn Sie eine Unternehmenszertifizierungsstelle deinstallieren, ist die Mitgliedschaft in Enterprise Administratoren oder die entsprechende Mindestanforderung, um dieses Verfahren abzuschließen. Weitere Informationen finden Sie unter Implementieren Role-Based Administration.

    1. Wählen Sie "Start", zeigen Sie auf "Verwaltungstools", und wählen Sie dann "Server-Manager" aus.
    2. Wählen Sie unter "Rollenzusammenfassung" die Option "Active Directory-Zertifikatdienste" aus.
    3. Wählen Sie unter "Rollendienste" die Option "Rollendienste entfernen" aus.
    4. Aktivieren Sie dieses Kontrollkästchen, um das Kontrollkästchen "Zertifizierungsstelle" zu deaktivieren, und klicken Sie dann auf "Weiter".
    5. Überprüfen Sie auf der Seite "Entfernungsoptionen bestätigen" die Informationen, und wählen Sie dann "Entfernen" aus.
    6. Wenn IIS ausgeführt wird und Sie aufgefordert werden, den Dienst zu beenden, bevor Sie mit dem Deinstallationsprozess fortfahren, wählen Sie OK aus.
    7. Nachdem der Assistent zum Entfernen von Rollen abgeschlossen ist, müssen Sie den Server neu starten. Dadurch wird der Deinstallationsprozess abgeschlossen.

    Wenn die verbleibenden Rollendienste, z. B. der Online responder-Dienst, für die Verwendung von Daten aus der deinstallierten Zertifizierungsstelle konfiguriert wurden, müssen Sie diese Dienste neu konfigurieren, um eine andere Zertifizierungsstelle zu unterstützen. Nachdem eine Zertifizierungsstelle deinstalliert wurde, bleiben die folgenden Informationen auf dem Server übrig:

    • Die Datenbank der Zertifizierungsstelle.
    • Öffentliche und private Schlüssel der Zertifizierungsstelle.
    • Die Zertifikate der Zertifizierungsstelle im persönlichen Speicher.
    • Die Zertifikate der Zertifizierungsstelle im freigegebenen Ordner, wenn während des AD CS-Setups ein freigegebener Ordner angegeben wurde.
    • Das Stammzertifikat der Zertifizierungsstellenkette im Speicher für vertrauenswürdige Stammzertifizierungsstellen.
    • Die Zwischenzertifikate der Zertifizierungsstellenkette im Speicher für Zwischenzertifizierungsstellen.
    • Die CRL der Zertifizierungsstelle.

    Diese Informationen werden standardmäßig auf dem Server gespeichert, falls Sie die Zertifizierungsstelle deinstallieren und dann neu installieren. Beispielsweise können Sie die Zertifizierungsstelle deinstallieren und neu installieren, wenn Sie eine eigenständige Zertifizierungsstelle in eine Unternehmenszertifizierungsstelle ändern möchten.

Schritt 6: Entfernen von Zertifizierungsstellenobjekten aus Active Directory

Wenn Microsoft-Zertifikatdienste auf einem Server installiert sind, der Mitglied einer Domäne ist, werden mehrere Objekte im Konfigurationscontainer in Active Directory erstellt.

Diese Objekte sind wie folgt:

  • certificateAuthority-Objekt

    • Befindet sich in CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain.
    • Enthält das Zertifizierungsstellenzertifikat für die Zertifizierungsstelle.
    • Speicherort des veröffentlichten Autoritätsinformationszugriffs (Authority Information Access, AIA).
  • crlDistributionPoint-Objekt

    • Befindet sich in CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Enthält die CRL, die in regelmäßigen Abständen von der Zertifizierungsstelle veröffentlicht wird.
    • Veröffentlichter CDP-Speicherort (CRL Distribution Point).
  • certificationAuthority-Objekt

    • Befindet sich unter CN=Zertifizierungsstellen,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Enthält das Zertifizierungsstellenzertifikat für die Zertifizierungsstelle.
  • pKIEnrollmentService-Objekt

    • Befindet sich in CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRoot,DC=com.
    • Erstellt von der Unternehmenszertifizierungsstelle.
    • Enthält Informationen zu den Zertifikattypen, für die die Zertifizierungsstelle konfiguriert wurde. Berechtigungen für dieses Objekt können steuern, welche Sicherheitsprinzipale für diese Zertifizierungsstelle registriert werden können.

Wenn die Zertifizierungsstelle deinstalliert wird, wird nur das pKIEnrollmentService-Objekt entfernt. Dadurch wird verhindert, dass Clients versuchen, sich bei der außer Betrieb genommenen Zertifizierungsstelle zu registrieren. Die anderen Objekte werden beibehalten, da von der Zertifizierungsstelle ausgestellte Zertifikate wahrscheinlich noch ausstehen. Diese Zertifikate müssen durch Befolgen des Verfahrens in Schritt 1 – Widerrufen aller aktiven Zertifikate, die vom Abschnitt "Unternehmenszertifizierungsstelle" ausgestellt wurden, widerrufen werden.

Damit PKI-Clientcomputer (Public Key Infrastructure) diese ausstehenden Zertifikate erfolgreich verarbeiten können, müssen die Computer die Pfade für den Autoritätsinformationszugriff (Authority Information Access, AIA) und den CRL-Verteilungspunkt in Active Directory suchen. Es empfiehlt sich, alle ausstehenden Zertifikate zu widerrufen, die Lebensdauer der CRL zu verlängern und die CRL in Active Directory zu veröffentlichen. Wenn die ausstehenden Zertifikate von den verschiedenen PKI-Clients verarbeitet werden, schlägt die Überprüfung fehl, und diese Zertifikate werden nicht verwendet.

Wenn das Verwalten des CRL-Verteilungspunkts und der AIA in Active Directory keine Priorität hat, können Sie diese Objekte entfernen. Entfernen Sie diese Objekte nicht, wenn Sie davon ausgehen, dass sie eines oder mehrere der ehemals aktiven digitalen Zertifikate verarbeiten.

Entfernen aller Zertifizierungsdiensteobjekte aus Active Directory

Hinweis

Sie sollten Zertifikatvorlagen erst aus Active Directory entfernen, nachdem Sie alle Ca-Objekte in der Active Directory-Gesamtstruktur entfernt haben.

Führen Sie die folgenden Schritte aus, um alle Zertifizierungsdiensteobjekte aus Active Directory zu entfernen:

  1. Ermitteln Sie den CACommonName der Zertifizierungsstelle. Gehen Sie dazu wie folgt vor:

    1. Wählen Sie "Start", "Ausführen" aus, geben Sie "cmd" in das Feld "Öffnen" ein, und wählen Sie dann "OK" aus.
    2. Geben Sie "certutil" ein, und drücken Sie dann die EINGABETASTE.
    3. Notieren Sie sich den Namenswert, der zu Ihrer Zertifizierungsstelle gehört. Sie benötigen den CACommonName für die späteren Schritte in diesem Verfahren.
  2. Wählen Sie "Start", zeigen Sie auf "Verwaltungstools", und wählen Sie dann "Active Directory-Websites und -Dienste" aus.

  3. Wählen Sie im Menü "Ansicht" den Knoten "Dienste anzeigen" aus.

  4. Erweitern Sie "Dienste", "Public Key Services", und wählen Sie dann den Ordner "AIA" aus.

  5. Klicken Sie im rechten Bereich mit der rechten Maustaste auf das CertificationAuthority-Objekt für Ihre Zertifizierungsstelle, wählen Sie "Löschen" und dann "Ja" aus.

  6. Wählen Sie im linken Bereich des ACTIVE Directory Sites and Services MMC-Snap-Ins den CDP-Ordner aus.

  7. Suchen Sie im rechten Bereich das Containerobjekt für den Server, auf dem Zertifikatdienste installiert sind. Klicken Sie mit der rechten Maustaste auf den Container, wählen Sie "Löschen" und dann zweimal "Ja" aus.

  8. Wählen Sie im linken Bereich des ACTIVE Directory Sites and Services MMC-Snap-Ins den Knoten "Zertifizierungsstellen" aus.

  9. Klicken Sie im rechten Bereich mit der rechten Maustaste auf das CertificationAuthority-Objekt für Ihre Zertifizierungsstelle, wählen Sie "Löschen" und dann "Ja" aus.

  10. Wählen Sie im linken Bereich des ACTIVE Directory Sites and Services MMC-Snap-Ins den Knoten "Registrierungsdienste" aus.

  11. Überprüfen Sie im rechten Bereich, ob das pKIEnrollmentService-Objekt für Ihre Zertifizierungsstelle entfernt wurde, als die Zertifikatdienste deinstalliert wurden. Wenn das Objekt nicht gelöscht wird, klicken Sie mit der rechten Maustaste auf das Objekt, wählen Sie Löschen und dann Ja aus.

  12. Wenn Sie nicht alle Objekte gefunden haben, bleiben einige Objekte möglicherweise im Active Directory, nachdem Sie diese Schritte ausgeführt haben. Führen Sie die folgenden Schritte aus, um nach einer Zertifizierungsstelle, die möglicherweise Objekte in Active Directory verlassen hat, zu bereinigen, um zu bestimmen, ob AD-Objekte verbleiben:

    1. Geben Sie den folgenden Befehl an einer Befehlszeile ein, und drücken Sie dann die EINGABETASTE:

      ldifde -r "cn= CACommonName" -d "CN=Public Key Services,CN=Services,CN=Configuration,DC= ForestRoot,DC=com" -f output.ldf
      

      In diesem Befehl stellt CACommonName den Namenswert dar, den Sie in Schritt 1 ermittelt haben. Wenn der Name-Wert z. B. CA1 Contoso ist, geben Sie Folgendes ein:

      ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com" -f remainingCAobjects.ldf
      
    2. Öffnen Sie die datei remainingCAobjects.ldf in Editor. Ersetzen Sie den Ausdruck changetype: add with changetype: delete. Überprüfen Sie dann, ob die Active Directory-Objekte, die Sie löschen werden, legitim sind.

    3. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE, um die verbleibenden CA-Objekte aus Active Directory zu löschen:

      ldifde -i -f remainingCAobjects.ldf
      
  13. Löschen Sie die Zertifikatvorlagen, wenn Sie sicher sind, dass alle Zertifizierungsstellen gelöscht wurden. Wiederholen Sie Schritt 12, um zu bestimmen, ob AD-Objekte verbleiben.

    Wichtig

    Sie dürfen die Zertifikatvorlagen nur löschen, wenn alle Zertifizierungsstellen gelöscht wurden. Wenn die Vorlagen versehentlich gelöscht werden, führen Sie die folgenden Schritte aus:

    1. Stellen Sie sicher, dass Sie bei einem Server angemeldet sind, auf dem Zertifikatdienste als Enterprise Administrator ausgeführt werden.

    2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      cd %windir%\system32
      
    3. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      regsvr32 /i:i /n /s certcli.dll
      

      Mit dieser Aktion werden die Zertifikatvorlagen in Active Directory neu erstellt.

    Führen Sie die folgenden Schritte aus, um die Zertifikatvorlagen zu löschen.

    1. Wählen Sie im linken Bereich des ACTIVE Directory Sites and Services MMC-Snap-Ins den Ordner "Zertifikatvorlagen" aus.
    2. Wählen Sie im rechten Bereich eine Zertifikatvorlage aus, und drücken Sie dann STRG+A, um alle Vorlagen auszuwählen. Klicken Sie mit der rechten Maustaste auf die ausgewählten Vorlagen, wählen Sie "Löschen" und dann "Ja" aus.

Schritt 7 – Löschen von Zertifikaten, die im NtAuthCertificates-Objekt veröffentlicht wurden

Nachdem Sie die Zertifizierungsstellenobjekte gelöscht haben, müssen Sie die Zertifizierungsstellenzertifikate löschen, die für das Objekt veröffentlicht NtAuthCertificates werden. Verwenden Sie einen der folgenden Befehle, um Zertifikate aus dem Speicher zu NTAuthCertificates löschen:

certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=certificationAuthority"
certutil -viewdelstore " ldap:///CN=NtAuthCertificates,CN=Public Key
Services,...,DC=ForestRoot,DC=com?cACertificate?base?objectclass=pKIEnrollmentService"

Hinweis

Sie müssen über Enterprise Administratorberechtigungen verfügen, um diese Aufgabe ausführen zu können.

Die -viewdelstore Aktion ruft die Zertifikatauswahlbenutzeroberfläche für den Satz von Zertifikaten im angegebenen Attribut auf. Sie können die Zertifikatdetails anzeigen. Sie können das Auswahldialogfeld abbrechen, um keine Änderungen vorzunehmen. Wenn Sie ein Zertifikat auswählen, wird dieses Zertifikat gelöscht, wenn die Benutzeroberfläche geschlossen wird und der Befehl vollständig ausgeführt wird.

Verwenden Sie den folgenden Befehl, um den vollständigen LDAP-Pfad zum NtAuthCertificates-Objekt in Active Directory anzuzeigen:

certutil -viewdelstore -? | findstr "CN=NTAuth"

Schritt 8– Löschen der Datenbank der Zertifizierungsstelle

Wenn Zertifizierungsdienste deinstalliert werden, bleibt die Datenbank der Zertifizierungsstelle erhalten, sodass die Zertifizierungsstelle auf einem anderen Server neu erstellt werden kann.

Um die Datenbank der Zertifizierungsstelle zu entfernen, löschen Sie den Ordner "%systemroot%\System32\Certlog".

Schritt 9: Bereinigen von Domänencontrollern

Nachdem die Zertifizierungsstelle deinstalliert wurde, müssen die Zertifikate, die für Domänencontroller ausgestellt wurden, entfernt werden.

Verwenden Sie zum Entfernen von Zertifikaten, die für die Windows Server 2000-Domänencontroller ausgestellt wurden, das Hilfsprogramm Dsstore.exe aus dem Microsoft Windows 2000 Resource Kit.

Führen Sie die folgenden Schritte aus, um Zertifikate zu entfernen, die für die Windows Server 2000-Domänencontroller ausgestellt wurden:

  1. Wählen Sie "Start", "Ausführen" aus, geben Sie "cmd" ein, und drücken Sie dann die EINGABETASTE.

  2. Geben Sie auf einem Domänencontroller an der Eingabeaufforderung dsstore -dcmon ein, und drücken Sie dann die EINGABETASTE.

  3. Geben Sie 3 ein, und drücken Sie dann die EINGABETASTE. Mit dieser Aktion werden alle Zertifikate auf allen Domänencontrollern gelöscht.

    Hinweis

    Das hilfsprogramm Dsstore.exe versucht, Domänencontrollerzertifikate zu überprüfen, die für jeden Domänencontroller ausgestellt wurden. Zertifikate, die nicht überprüft werden, werden vom jeweiligen Domänencontroller entfernt.

Führen Sie die folgenden Schritte aus, um Zertifikate zu entfernen, die für die Windows Server 2003-Domänencontroller ausgestellt wurden.

Wichtig

Verwenden Sie dieses Verfahren nicht, wenn Sie Zertifikate verwenden, die auf Domänencontrollervorlagen der Version 1 basieren.

  1. Wählen Sie "Start", "Ausführen" aus, geben Sie "cmd" ein, und drücken Sie dann die EINGABETASTE.

  2. Geben Sie an der Eingabeaufforderung auf einem Domänencontroller "certutil -dcinfo deleteBad" ein.

    Certutil.exe versucht, alle DC-Zertifikate zu überprüfen, die für die Domänencontroller ausgestellt wurden. Zertifikate, die nicht überprüft werden, werden entfernt.

Führen Sie die folgenden Schritte aus, um die Anwendung der Sicherheitsrichtlinie zu erzwingen:

  1. Wählen Sie "Start", "Ausführen" aus, geben Sie "cmd" in das Feld "Öffnen" ein, und drücken Sie dann die EINGABETASTE.
  2. Geben Sie an einer Eingabeaufforderung den entsprechenden Befehl für die entsprechende Version des Betriebssystems ein, und drücken Sie dann die EINGABETASTE:
    • Für Windows Server 2000:

      secedit /refreshpolicy machine_policy /enforce
      
    • Für Windows Server 2003:

      gpupdate /force