如何從 Windows 2000/2003 網域手動移除企業 Windows 證書頒發機構單位

  • 發行項

本文是由 Microsoft MVP Yuval Sinay 所撰寫。

適用於:Windows Server 2003
原始 KB 編號: 555151

徵狀

在某些組織中,企業 Windows 證書頒發機構單位有定期備份程式。 如果軟體/硬體) (發生伺服器問題,您可能需要重新安裝企業 Windows 證書頒發機構單位。 在重新安裝企業 Windows 證書頒發機構單位之前,您可能需要手動刪除屬於原始企業版 Windows 的對象和數據,並位於 Windows Active Directory 中。

原因

企業 Windows 證書頒發機構單位會將組態設定和數據儲存在 Windows Active Directory 中。

解決方案

答: 備份:

建議您在遵循此程式 之前之後 備份包含 Active Directory 相關數據的所有節點,包括:

  • Windows 域控制器
  • Exchange Server
  • Active Directory 連接器
  • Windows Server with Services for Unix
  • ISA Server Enterprise
  • 企業 Windows 證書頒發機構單位

請使用下列程式做為最後的手段。 這可能會影響您的生產環境,而且可能需要重新啟動某些節點/服務。

B. Active Directory Clean:

注意事項

使用具有權限的帳戶登入系統:

  1. 企業系統管理員
  2. 網域系統管理員
  3. 證書頒發機構單位系統管理員
  4. 架構系統管理員 (在程式) 期間,作為架構主機 FSMO 的伺服器應該在在線。

若要從 Active Directory 移除所有認證服務物件:

  1. 啟動 [Active Directory 月臺和服務]。

  2. 選取 [檢視] 選單選項,然後選取 [顯示服務] 節點。

  3. 展開 [服務],然後展開 [公鑰服務]。

  4. 選取 [AIA] 節點。

  5. 在右窗格中,找出證書頒發機構單位的 「certificateAuthority」 物件。 刪除物件。

  6. 選取 [CDP] 節點。

  7. 在右窗格中,找出安裝認證服務之伺服器的 Container 物件。 刪除容器及其包含的物件。

  8. 選取 [證書頒發機構單位] 節點。

  9. 在右窗格中,找出證書頒發機構單位的 「certificateAuthority」 物件。 刪除物件。

  10. 選取 [註冊服務] 節點。

  11. 在右側窗格中,確認您證書頒發機構單位的 「pKIEnrollmentService」 物件,並將其刪除。

  12. 選取 [證書範本] 節點。

  13. 在右窗格中,刪除所有證書範本。

    注意事項

    只有在樹系中未安裝其他企業 CA 時,才刪除所有證書範本。 如果不小心刪除範本,請從備份還原範本。

  14. 選取 [公鑰服務] 節點,然後找出 “NTAuthCertificates” 物件。

  15. 如果樹系中未安裝任何其他 Enterprise 或獨立 CA,請刪除對象,否則請將它保留在一起。

  16. 使用 Windows 資源套件中的 「Active Directory 月臺和服務」或「Repadmin」命令,強制複寫至網域/樹系中的其他域控制器。

域控制器清除

關閉 CA 之後,必須移除已簽發給所有域控制器的憑證。 您可以使用 Resource Kit 中的 DSSTORE.EXE 輕鬆完成:

您也可以使用 certutil 命令來移除舊的域控制器憑證:

  1. 在域控制器的命令提示字元中,輸入: certutil -dcinfo deleteBad

  2. Certutil.exe 會嘗試驗證發行給域控制器的所有DC憑證。 將移除無法驗證的憑證。 此時,您可以重新安裝憑證服務。 安裝完成之後,新的跟證書將會發佈至 Active Directory。 當網域
    用戶端會重新整理其安全策略,並自動將新的跟證書下載到其受信任的根存放區。 o 強制套用安全策略。

  3. 在命令提示字元中, 輸入 gpupdate /target: computer

    注意事項

    如果企業 Windows 證書頒發機構單位已發行電腦/用戶憑證或其他類型的憑證 (Web 伺服器證書等) ,建議您先移除舊憑證,再重新安裝企業 Windows 憑證。

其他相關資訊

Community 解決方案內容免責聲明

Microsoft 公司和/或其各自的供應商不代表此資訊和其所含相關圖形的適用性、可靠性或精確度。 所有這類資訊和相關圖形都會以「原狀」提供,而不需要任何種類的擔保。 Microsoft 和/或其各自的供應商在這裡免責與此資訊和相關圖形相關的所有瑕疵擔保和條件,包括所有隱含的瑕疵擔保和適售性條件、適合特定用途、工作方式、職稱和非侵權。 您特別同意,在任何情況下,Microsoft 和/或其供應商都不應該對任何直接、間接、懲罰性、附帶性、特殊、衍生性損害或任何損害負責,包括,不限於使用損失、資料或獲利、因使用或無法使用此處所包含的資訊和相關圖形而產生的損害, 不論是根據合約、侵權、過失、嚴格責任,還是如此,即使 Microsoft 或其任何供應商都已獲得損害的可能性。