Почему центр сертификации забит запросами c контроллеров домена?

Question

[post_ed]

сертификаты выдаю вручную, т.е. требуется одобрение запросов
и по истечении какого-то времени накопилось уже вон сколько!

центр сертификации забит запросами c контроллеров домена

вероятно, идет репликация (реплицируются через ntfrs), а может и нет
системы на windows server 2008 r2



как выдать контроллерам домена по сертификату или как узнать на какие цели они запрашивают сертификаты

Comments

[unk1nD000]

Долистайте враво до колонки шаблона сертификата, посмотрите какой шаблон используется

Это поможет прояснить ситуацию.
Посмотрите политики, которые могут выдавать подобные шаблоны.
Распространяется ли сертификат контроллера домена, на ваши машины которые инициирует запрос?

Answer 1

[Роман Безруков]

Эти запросы начинают приходить за 6 недель до окончания срока действия сертификата DC. К тому же, Вы подтверждаете запросы вручную. Чтобы запросы прекратились, надо подтвердить запрос - например, последний по времени, потом лишние запросы из базы можно удалить через certutil. Ещё у сертификата DC можно настроить autoenrollment (автовыпуск) и поменять период запроса на обновление (с 6 недель на меньший срок)

Comments

[CityCat4]

да такие запросы незачем ставить на ручное одобрение - это автообновление встроенных сертификатов компов, сертификатов для эксча, для контроллеров доменов - в общем "тайная жизнь" MS. Лезть в нее бессымсленно - там нет ничего интересного...

Answer 2

[CityCat4]

Зачем лезть в вопросы "внутривиндового" существования? И контроллеры доменов, и обычные тачки периодически обновляют свои сертификаты, если есть работающий виндовый CA. Причем контроллеры доменов выпускают несколько сертификатов - часть из них именно для целей работы домена. Если изначально шаблон не предусматривал одобрение администратора CA - не нужно этого делать, у винды куча своих собственных внутренних шаблонов, пусть себе живет своей жизнью.