Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle

Folgendes Szenario angenommen:

  • Die Zertifizierungsstelle ist nur Nutzung des SMTP Exit Moduls konfiguriert, um E-Mail Benachrichtigungen über die Ereignisse auf der Zertifizierungsstelle zu versenden.
  • Der konfigurierte SMTP-Server ist nicht erreichbar, beispielsweise aufgrund eines Ausfalls.

In diesem Fall kann das Exit Modul die E-Mail Benachrichtigungen nicht zustellen. Es läuft in einen Timeout, und die Zertifizierungsstelle wird nur noch sehr langsam arbeiten.

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden.

In der Windows-Ereignisanzeige wird das Ereignis Nr. 46 protokolliert.

The "Windows default" Exit Module "Initialize" method returned an error. The transport failed to connect to the server. The returned status code is 0x80040213 (-2147220973). The Certification Authority was unable to send an email notification for EXITEVENT_STARTUP to admins1@fabrikam.com,admin2@fabrikam.com.

In einem solchen Fall ist es sinnvoll, das SMTP-Exit Modul zu deaktivieren.

Dies kann durch abbestellen aller Ereignisse geschehen.

Welche Ereignisse eine E-Mail Benachrichtigung veranlassen, wird in folgendem Registry-Wert festgelegt.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{Name-der-Zertifizierungsstelle}\ExitModules\CertificateAuthority_MicrosoftDefault.Exit\smtp\EventFilter

Wird der Wert auf "0" gesetzt, sind alle Ereignisse abbestellt.

Mit folgendem Kommandozeilenbefehl können ebenfalls alle Ereignisse abbestellt werden.

certutil -setreg exit\smtp\eventfilter 0

Damit die Änderungen wirksam werden, muss der Zertifizierungsstellen-Dienst neu gestartet werden.

Alternative: Exit Modul komplett abschalten

Es ist auch möglich, das Exitmodul komplett zu deaktivieren. Siehe Artikel "Betreiben der Zertifizierungsstelle ohne Exit Modul".

Weiterführende Links:

Ein Gedanke zu „Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle“

Kommentare sind geschlossen.

de_DEDeutsch