Jump to content

CA-Problem: WIN32: 8228 ERROR_DS_ADMIN_LIMIT_EXCEEDED


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Morgen Zusammen,

 

ich bin in dem Log unserer CA auf eine Warnung gestoßen:

 

Die Zertifikatanforderung 1733 konnte nicht in folgendem Pfad auf dem Server "*****DC02.domain.local" veröffentlicht werden: CN=Administrator,CN=Users,DC=domain,DC=local. Die Verwaltungsgrenze für diese Anforderung wurde überschritten. 0x80072024 (WIN32: 8228 ERROR_DS_ADMIN_LIMIT_EXCEEDED).
ldap: 0xb: 00002024: SvcErr: DSID-020509F2, problem 5008 (ADMIN_LIMIT_EXCEEDED), data -1026

 

Daraufhin bin ich auf den *****DC02.domain.local und habe mir im Zertifikatsmanager die Zertifikate angeschaut. Unter Active Directory-Benutzerobjekt -> Zertifikate fand ich dann auch 1000+ Zertifikate.

Als Zertifikatsvorlage wird dort Basis-EFS verwendet mit dem Zweck "Verschlüsselndes Dateisystem".

 

Das Problem ist: Ich habe keine Ahnung wofür er die verwendet ;-)

 

Recherche im Internet ergab, dass man die Veröffentlichung im AD ausstellen soll, was mir bei dieser Vorlage aber nicht angeboten wird (ausgegraut).

(https://social.technet.microsoft.com/Forums/windowsserver/en-US/83c83ee3-7374-4393-ab26-8c5257b555e8/server-2008-r2-certificate-authority-event-id-80)

 

 

Hat jemand von euch eine Idee, wie ich das beseitigen kann?

 

Danke und viele Grüße,

Stonehedge

 

 

 

Link to post

Das würde dir _jetzt_ auch nicht mehr helfen, da die Zertifikate ja schon im AD stehen. Afaik hilft da nur löschen im Benutzerobjekt. Stört ja nicht, da im AD nur der public Teil hängt. Damit du das abhaken kannst, mußt du das Template duplizieren und kannst in dem Duplikat konfigurieren wie es dir gefällt. Ausserdem würde ich mir an deiner Stelle überlegen, ob EFS (ohne Wissen wie es funktioniert für die NUtzer) und was das für Konsequenzen hat, eine gute Idee ist. ;) Oder hast du EFS Recovery Agenten installiert?

 

Bye

Norbert

Link to post

Moin,

 

du solltest auf jeden Fall die ganzen Zertifikate aus dem Attribut userCertificates bei dem Account schnell löschen. Es kann sonst passieren, dass das AD dieses Objekt nicht mehr repliziert, weil es zu groß ist.

 

Da der Account diese Einträge auch nicht braucht (es ist ja eine Fehlkonfiguration in der Zertifikatsvorlage), ist das auch kein Verlust.

 

Gruß, Nils

Link to post

Was ist das denn für eine CA? Fall das noch Windows 2008R2 Standard (oder älter)  ist, kann man keine Templates erstellen oder bearbeiten.

Dafür brauchte man Windows Enterprise oder  Datacenter. Ich gerade nicht, ob diese Einschränkung auch für 2012R2 gilt.

Link to post

Guten Morgen Zusammen,

 

hier ging ja einiges ;-) Danke für die zahlreichen Antworten. Wie kann ich die denn rauslöschen? Einfach certmgr.msc aufrufen, wo ich sie auch gefunden habe und da löschen? Ist das in irgendeiner Weise bedenklich? Es ist ja immerhin der Administrator ;-) Kann ich irgendwie rausfinden, warum diese Zertifikate angefordert wurden?

 

Die CA ist ein Windows Server 2012 R2 Datacenter.

 

Grüße

Stonehedge


Ah, habe den Reiter im Benutzerkonto gefunden. Habe aber noch etwas Respekt die da einfach rauszulöschen. Muss ich vorher nicht prüfen, wofür die sind? Nicht, dass die irgendwofür verwendet werden ;-) Sorry, dass ich da etwas ängstlich bin.

 

 

Grüße

Stonehedge


Hallo nochmal,

 

ich habe den Server gefunden, der die Zertifikate anfordert. Ist ein ganz altes Schätzchen, dass es lange vor meiner Zeit im Unternehmen gab. Jetzt muss ich nur noch rausfinden, wofür er die Zertifikate haben will.

 

 

Grüße

Stonehedge

Link to post

Moin,

 

es ist unkritisch, die Zertifikate da zu löschen. Das Feld ist nur für einen Zweck gedacht: Wenn man innerhalb eines Unternehmens mit (Mail-) Verschlüsselung arbeitet, braucht man den Public Key des Empfängers. Daher kann man den im AD bei dem Useraccount ablegen, damit er dort einfach zur Verfügung steht. Nutzt man sowas nicht, dann braucht man auch die Funktion nicht.

 

Da der Administrator in deinem Beispiel jetzt Zertifikate von (vermutlich) 1000 anderen Usern hat, aber niemand den Administrator danach fragen wird, können die Werte weg. Markieren, löschen, fertig. Es sind auch nur Public Keys, es kann also kein Private Key verloren gehen.

 

Und solange man kein Zertifikat hat, das genau für den obigen Zweck benötigt wird, schaltet man das betreffende Häkchen in der Zertifikatsvorlage auch nie an.

 

Gruß, Nils

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...