Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services

Bei der Konfiguration der Auditierungseinstellungen einer Zertifizierungsstelle ist man geneigt, die Option „Start and Stop Active Directory Certificate Services“ auszuwählen. Diese Option kann unter Umständen jedoch zu Problemen führen.

Ist diese Option aktiv, wird beim Beenden und Starten des Zertifizierungsstellen-Dienstes eine Prüfsumme über die Zertifizierungsstellen-Datenbank errechnet und in das Ereignisprotokoll geschrieben (Ereignisse Nr. 4880 et 4881).

Die Dauer der Berechnung dieser Prüfsumme ist abhängig von der Größe der Zertifizierungsstellen-Datenbank. Bei einer neu installierten Zertifizierungsstelle ist dies aufgrund der geringen Datenbankgröße noch unproblematisch.

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Je größer die Datenbank im Laufe der Zeit jedoch wird, desto länger dauert die Erstellung der Prüfsumme. Während dieser Zeit scheint der Zertifizierungsstellen-Dienst zu „hängen“ – er verbleibt im Zustand „wird gestartet“ bzw. „wird beendet“, und dies durchaus für mehrere Minuten. Dies kann insbesondere in folgenden Situationen Probleme bereiten:

• Bei der Installation eines Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), siehe Artikel „La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le serveur RPC est indisponible. 0x800706ba (Win32 : 1722 RPC_S_SERVER_UNAVAILABLE)" „, da während der Installation der Zertifizierungsstellen-Dienst neu gestartet wird.
• Beim Clusterschwenk, wenn ein Zertifizierungsstellen-Cluster zum Einsatz kommt. Da das Ziel eines Clusters eine unterbrechungsfreie Verfügbarkeit ist, ist diese Option in diesem Fall also besonders kontraproduktiv.

Die Option „Start and Stop Certificate Services“ sollte also nur dann aktiviert werden, wenn das erzeugte Ereignis auch sinnvoll ausgewertet wird, und die damit verbundenen Nachteile bekannt sind und akzeptiert werden.

Per Kommandozeile kann dies sehr leicht mit folgendem Befehl erreicht werden:

certutil -setreg CA\Auditfilter -1

Il faut ensuite redémarrer le service d'autorité de certification.

Liens complémentaires :

• La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le serveur RPC est indisponible. 0x800706ba (Win32 : 1722 RPC_S_SERVER_UNAVAILABLE)"

Sources externes

• L'installation de NDES redémarre le service CertSvc sur le serveur CA cible (Microsoft, archive.org)