Stonehedge 12 Geschrieben 7. Februar 2017 Melden Teilen Geschrieben 7. Februar 2017 Guten Morgen Zusammen, ich bin in dem Log unserer CA auf eine Warnung gestoßen: Die Zertifikatanforderung 1733 konnte nicht in folgendem Pfad auf dem Server "*****DC02.domain.local" veröffentlicht werden: CN=Administrator,CN=Users,DC=domain,DC=local. Die Verwaltungsgrenze für diese Anforderung wurde überschritten. 0x80072024 (WIN32: 8228 ERROR_DS_ADMIN_LIMIT_EXCEEDED).ldap: 0xb: 00002024: SvcErr: DSID-020509F2, problem 5008 (ADMIN_LIMIT_EXCEEDED), data -1026 Daraufhin bin ich auf den *****DC02.domain.local und habe mir im Zertifikatsmanager die Zertifikate angeschaut. Unter Active Directory-Benutzerobjekt -> Zertifikate fand ich dann auch 1000+ Zertifikate. Als Zertifikatsvorlage wird dort Basis-EFS verwendet mit dem Zweck "Verschlüsselndes Dateisystem". Das Problem ist: Ich habe keine Ahnung wofür er die verwendet ;-) Recherche im Internet ergab, dass man die Veröffentlichung im AD ausstellen soll, was mir bei dieser Vorlage aber nicht angeboten wird (ausgegraut). (https://social.technet.microsoft.com/Forums/windowsserver/en-US/83c83ee3-7374-4393-ab26-8c5257b555e8/server-2008-r2-certificate-authority-event-id-80) Hat jemand von euch eine Idee, wie ich das beseitigen kann? Danke und viele Grüße, Stonehedge Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 7. Februar 2017 Melden Teilen Geschrieben 7. Februar 2017 Das würde dir _jetzt_ auch nicht mehr helfen, da die Zertifikate ja schon im AD stehen. Afaik hilft da nur löschen im Benutzerobjekt. Stört ja nicht, da im AD nur der public Teil hängt. Damit du das abhaken kannst, mußt du das Template duplizieren und kannst in dem Duplikat konfigurieren wie es dir gefällt. Ausserdem würde ich mir an deiner Stelle überlegen, ob EFS (ohne Wissen wie es funktioniert für die NUtzer) und was das für Konsequenzen hat, eine gute Idee ist. ;) Oder hast du EFS Recovery Agenten installiert? Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 7. Februar 2017 Melden Teilen Geschrieben 7. Februar 2017 Moin, du solltest auf jeden Fall die ganzen Zertifikate aus dem Attribut userCertificates bei dem Account schnell löschen. Es kann sonst passieren, dass das AD dieses Objekt nicht mehr repliziert, weil es zu groß ist. Da der Account diese Einträge auch nicht braucht (es ist ja eine Fehlkonfiguration in der Zertifikatsvorlage), ist das auch kein Verlust. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. Februar 2017 Melden Teilen Geschrieben 7. Februar 2017 Was ist das denn für eine CA? Fall das noch Windows 2008R2 Standard (oder älter) ist, kann man keine Templates erstellen oder bearbeiten. Dafür brauchte man Windows Enterprise oder Datacenter. Ich gerade nicht, ob diese Einschränkung auch für 2012R2 gilt. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 7. Februar 2017 Melden Teilen Geschrieben 7. Februar 2017 Ach da war irgendwas. :) Aber auch in der Standard Edition konnte man Templates dupliziere und anpassen: https://technet.microsoft.com/de-de/library/cc755071(v=ws.11).aspx Bye Norbert Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. Februar 2017 Melden Teilen Geschrieben 7. Februar 2017 Hm, vielleicht galt diese Einschränkung auch nur für 2008 https://social.technet.microsoft.com/Forums/windowsserver/en-US/459d863e-dfee-483b-9ff9-7be604541105/how-to-modify-a-certificate-template?forum=winservergen (Beitrag von Thomas Vuylsteke [MSFT]) Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 7. Februar 2017 Melden Teilen Geschrieben 7. Februar 2017 Hmm, das kann sein, aber da bin ich grad nicht fähig das zu prüfen. :) Zitieren Link zu diesem Kommentar
Stonehedge 12 Geschrieben 8. Februar 2017 Autor Melden Teilen Geschrieben 8. Februar 2017 Guten Morgen Zusammen, hier ging ja einiges ;-) Danke für die zahlreichen Antworten. Wie kann ich die denn rauslöschen? Einfach certmgr.msc aufrufen, wo ich sie auch gefunden habe und da löschen? Ist das in irgendeiner Weise bedenklich? Es ist ja immerhin der Administrator ;-) Kann ich irgendwie rausfinden, warum diese Zertifikate angefordert wurden? Die CA ist ein Windows Server 2012 R2 Datacenter. Grüße Stonehedge Ah, habe den Reiter im Benutzerkonto gefunden. Habe aber noch etwas Respekt die da einfach rauszulöschen. Muss ich vorher nicht prüfen, wofür die sind? Nicht, dass die irgendwofür verwendet werden ;-) Sorry, dass ich da etwas ängstlich bin. Grüße Stonehedge Hallo nochmal, ich habe den Server gefunden, der die Zertifikate anfordert. Ist ein ganz altes Schätzchen, dass es lange vor meiner Zeit im Unternehmen gab. Jetzt muss ich nur noch rausfinden, wofür er die Zertifikate haben will. Grüße Stonehedge Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 8. Februar 2017 Melden Teilen Geschrieben 8. Februar 2017 Wie gesagt, das ist nur der public part des Zertifikats. Und wozu der angefordert wird? Wahrscheinlich gibt's eine Autoenrollmentpolicy bei euch. ;) Und wofür EFS genutzt wird... ;) Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 8. Februar 2017 Melden Teilen Geschrieben 8. Februar 2017 Moin, es ist unkritisch, die Zertifikate da zu löschen. Das Feld ist nur für einen Zweck gedacht: Wenn man innerhalb eines Unternehmens mit (Mail-) Verschlüsselung arbeitet, braucht man den Public Key des Empfängers. Daher kann man den im AD bei dem Useraccount ablegen, damit er dort einfach zur Verfügung steht. Nutzt man sowas nicht, dann braucht man auch die Funktion nicht. Da der Administrator in deinem Beispiel jetzt Zertifikate von (vermutlich) 1000 anderen Usern hat, aber niemand den Administrator danach fragen wird, können die Werte weg. Markieren, löschen, fertig. Es sind auch nur Public Keys, es kann also kein Private Key verloren gehen. Und solange man kein Zertifikat hat, das genau für den obigen Zweck benötigt wird, schaltet man das betreffende Häkchen in der Zertifikatsvorlage auch nie an. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.