Lors de la configuration des paramètres d'audit d'une autorité de certification, on est tenté de sélectionner l'option „ Démarrer et arrêter les services de certificats Active Directory “. Cette option peut toutefois poser des problèmes dans certaines circonstances.
Si cette option est activée, une somme de contrôle est calculée pour la base de données de l'autorité de certification lors de l'arrêt et du démarrage du service d'autorité de certification, puis enregistrée dans le journal des événements (événements n°. 4880 et 4881).
La durée du calcul de cette somme de contrôle dépend de la taille de la base de données de l'autorité de certification. Dans le cas d'une autorité de certification nouvellement installée, cela ne pose aucun problème en raison de la petite taille de la base de données.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Cependant, plus la base de données s'agrandit au fil du temps, plus la création de la somme de contrôle prend du temps. Pendant ce temps, le service de l'autorité de certification semble „ se bloquer “ : il reste dans l'état „ en cours de démarrage “ ou „ en cours d'arrêt “, et ce pendant plusieurs minutes. Cela peut poser des problèmes, en particulier dans les situations suivantes :
- Lors de l'installation d'un service d'inscription des périphériques réseau (Network Device Enrollment Service, NDES), voir l'article „La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le serveur RPC est indisponible. 0x800706ba (Win32 : 1722 RPC_S_SERVER_UNAVAILABLE)" „, car le service d'autorité de certification est redémarré pendant l'installation.
- Lors du basculement de cluster, lorsqu'un cluster d'autorités de certification est utilisé. L'objectif d'un cluster étant d'assurer une disponibilité ininterrompue, cette option est donc particulièrement contre-productive dans ce cas.
L'option „ Start and Stop Certificate Services “ ne doit donc être activée que si l'événement généré est évalué de manière pertinente et si les inconvénients associés sont connus et acceptés.
Cela peut être réalisé très facilement à partir de la ligne de commande à l'aide de la commande suivante :
certutil -setreg CA\Auditfilter -1
Il faut ensuite redémarrer le service d'autorité de certification.
Liens complémentaires :
Sources externes
- L'installation de NDES redémarre le service CertSvc sur le serveur CA cible (Microsoft, archive.org)
Français 
Deutsch 
English
Les commentaires sont fermés.