Performanceprobleme bei Auditierung von "Start and stop Active Directory Certificate Services"

Bei der Konfiguration der Auditierungseinstellungen einer Zertifizierungsstelle ist man geneigt, die Option "Start and Stop Active Directory Certificate Services" auszuwählen. Diese Option kann unter Umständen jedoch zu Problemen führen.

Ist diese Option aktiv, wird beim Beenden und Starten des Zertifizierungsstellen-Dienstes eine Prüfsumme über die Zertifizierungsstellen-Datenbank errechnet und in das Ereignisprotokoll geschrieben (Ereignisse Nr. 4880 und 4881).

Die Dauer der Berechnung dieser Prüfsumme ist abhängig von der Größe der Zertifizierungsstellen-Datenbank. Bei einer neu installierten Zertifizierungsstelle ist dies aufgrund der gringen Datenbankgröße noch unproblematisch. Je größer die Datenbank im Laufe der Zeit jedoch wird, desto länger dauert die Erstellung der Prüfsumme. Während dieser Zeit scheint der Zertifizierungsstellen-Dienst zu "hängen" – er verbleibt im Zustand "wird gestartet" bzw. "wird beendet", und dies durchaus für mehrere Minuten. Dies kann insbesondere in folgenden Situationen Probleme bereiten:

• Bei der Installation eines Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), siehe Artikel "Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)" ", da während der Installation der Zertifizierungsstellen-Dienst neu gestartet wird.
• Beim Clusterschwenk, wenn ein Zertifizierungsstellen-Cluster zum Einsatz kommt. Da das Ziel eines Clusters eine unterbrechungsfreie Verfügbarkeit ist, ist diese Option in diesem Fall also besonders kontraproduktiv.

Die Option "Start and Stop Certificate Services" sollte also nur dann aktiviert werden, wenn das erzeugte Ereignis auch sinnvoll ausgewertet wird, und die damit verbundenen Nachteile bekannt sind und akzeptiert werden.

Weiterführende Links:

• Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)"

Externe Quellen

• Installing NDES restarts CertSvc service on target CA server (Microsoft, archive.org)