Jump to content

CA-Problem: WIN32: 8228 ERROR_DS_ADMIN_LIMIT_EXCEEDED


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen Zusammen,

 

ich bin in dem Log unserer CA auf eine Warnung gestoßen:

 

Die Zertifikatanforderung 1733 konnte nicht in folgendem Pfad auf dem Server "*****DC02.domain.local" veröffentlicht werden: CN=Administrator,CN=Users,DC=domain,DC=local. Die Verwaltungsgrenze für diese Anforderung wurde überschritten. 0x80072024 (WIN32: 8228 ERROR_DS_ADMIN_LIMIT_EXCEEDED).
ldap: 0xb: 00002024: SvcErr: DSID-020509F2, problem 5008 (ADMIN_LIMIT_EXCEEDED), data -1026

 

Daraufhin bin ich auf den *****DC02.domain.local und habe mir im Zertifikatsmanager die Zertifikate angeschaut. Unter Active Directory-Benutzerobjekt -> Zertifikate fand ich dann auch 1000+ Zertifikate.

Als Zertifikatsvorlage wird dort Basis-EFS verwendet mit dem Zweck "Verschlüsselndes Dateisystem".

 

Das Problem ist: Ich habe keine Ahnung wofür er die verwendet ;-)

 

Recherche im Internet ergab, dass man die Veröffentlichung im AD ausstellen soll, was mir bei dieser Vorlage aber nicht angeboten wird (ausgegraut).

(https://social.technet.microsoft.com/Forums/windowsserver/en-US/83c83ee3-7374-4393-ab26-8c5257b555e8/server-2008-r2-certificate-authority-event-id-80)

 

 

Hat jemand von euch eine Idee, wie ich das beseitigen kann?

 

Danke und viele Grüße,

Stonehedge

 

 

 

Link zu diesem Kommentar

Das würde dir _jetzt_ auch nicht mehr helfen, da die Zertifikate ja schon im AD stehen. Afaik hilft da nur löschen im Benutzerobjekt. Stört ja nicht, da im AD nur der public Teil hängt. Damit du das abhaken kannst, mußt du das Template duplizieren und kannst in dem Duplikat konfigurieren wie es dir gefällt. Ausserdem würde ich mir an deiner Stelle überlegen, ob EFS (ohne Wissen wie es funktioniert für die NUtzer) und was das für Konsequenzen hat, eine gute Idee ist. ;) Oder hast du EFS Recovery Agenten installiert?

 

Bye

Norbert

Link zu diesem Kommentar

Moin,

 

du solltest auf jeden Fall die ganzen Zertifikate aus dem Attribut userCertificates bei dem Account schnell löschen. Es kann sonst passieren, dass das AD dieses Objekt nicht mehr repliziert, weil es zu groß ist.

 

Da der Account diese Einträge auch nicht braucht (es ist ja eine Fehlkonfiguration in der Zertifikatsvorlage), ist das auch kein Verlust.

 

Gruß, Nils

Link zu diesem Kommentar

Guten Morgen Zusammen,

 

hier ging ja einiges ;-) Danke für die zahlreichen Antworten. Wie kann ich die denn rauslöschen? Einfach certmgr.msc aufrufen, wo ich sie auch gefunden habe und da löschen? Ist das in irgendeiner Weise bedenklich? Es ist ja immerhin der Administrator ;-) Kann ich irgendwie rausfinden, warum diese Zertifikate angefordert wurden?

 

Die CA ist ein Windows Server 2012 R2 Datacenter.

 

Grüße

Stonehedge


Ah, habe den Reiter im Benutzerkonto gefunden. Habe aber noch etwas Respekt die da einfach rauszulöschen. Muss ich vorher nicht prüfen, wofür die sind? Nicht, dass die irgendwofür verwendet werden ;-) Sorry, dass ich da etwas ängstlich bin.

 

 

Grüße

Stonehedge


Hallo nochmal,

 

ich habe den Server gefunden, der die Zertifikate anfordert. Ist ein ganz altes Schätzchen, dass es lange vor meiner Zeit im Unternehmen gab. Jetzt muss ich nur noch rausfinden, wofür er die Zertifikate haben will.

 

 

Grüße

Stonehedge

Link zu diesem Kommentar

Moin,

 

es ist unkritisch, die Zertifikate da zu löschen. Das Feld ist nur für einen Zweck gedacht: Wenn man innerhalb eines Unternehmens mit (Mail-) Verschlüsselung arbeitet, braucht man den Public Key des Empfängers. Daher kann man den im AD bei dem Useraccount ablegen, damit er dort einfach zur Verfügung steht. Nutzt man sowas nicht, dann braucht man auch die Funktion nicht.

 

Da der Administrator in deinem Beispiel jetzt Zertifikate von (vermutlich) 1000 anderen Usern hat, aber niemand den Administrator danach fragen wird, können die Werte weg. Markieren, löschen, fertig. Es sind auch nur Public Keys, es kann also kein Private Key verloren gehen.

 

Und solange man kein Zertifikat hat, das genau für den obigen Zweck benötigt wird, schaltet man das betreffende Häkchen in der Zertifikatsvorlage auch nie an.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...