Performanceprobleme bei Auditierung von "Start and stop Active Directory Certificate Services"

Bei der Konfiguration der Auditierungseinstellungen einer Zertifizierungsstelle ist man geneigt, die Option "Start and Stop Active Directory Certificate Services" auszuwählen. Diese Option kann unter Umständen jedoch zu Problemen führen.

Ist diese Option aktiv, wird beim Beenden und Starten des Zertifizierungsstellen-Dienstes eine Prüfsumme über die Zertifizierungsstellen-Datenbank errechnet und in das Ereignisprotokoll geschrieben (Ereignisse Nr. 4880 und 4881).

Die Dauer der Berechnung dieser Prüfsumme ist abhängig von der Größe der Zertifizierungsstellen-Datenbank. Bei einer neu installierten Zertifizierungsstelle ist dies aufgrund der geringen Datenbankgröße noch unproblematisch.

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Je größer die Datenbank im Laufe der Zeit jedoch wird, desto länger dauert die Erstellung der Prüfsumme. Während dieser Zeit scheint der Zertifizierungsstellen-Dienst zu "hängen" – er verbleibt im Zustand "wird gestartet" bzw. "wird beendet", und dies durchaus für mehrere Minuten. Dies kann insbesondere in folgenden Situationen Probleme bereiten:

Die Option "Start and Stop Certificate Services" sollte also nur dann aktiviert werden, wenn das erzeugte Ereignis auch sinnvoll ausgewertet wird, und die damit verbundenen Nachteile bekannt sind und akzeptiert werden.

Per Kommandozeile kann dies sehr leicht mit folgendem Befehl erreicht werden:

certutil -setreg CA\Auditfilter -1

Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden.

Weiterführende Links:

Externe Quellen

de_DEDeutsch