5
SBS Server 2003, Registry, SystemCertificates CA CTLs
Hallo zusammen,
bei unserem Windows Small Business Server 2003 wird die Registrierung ungewöhnlich schnell größer und umfasst beim Export allein von HKLM\Software\ über 350 MB. Um einen Total-Ausfall zu vermeiden, wurde die max. Registrierungsgröße bereits einmal nach oben gesetzt. Bei genauerer Analyse der Registrierung ist mir aufgefallen, dass folgender Schlüssel im Vergleich zu anderen Windows Servern 2003 unverhältnismäßig viele Unterordner und Schlüssel mit einer Flut von Hexadezimal-Zahlen enthält:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs\xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\Blobx
Unterhalb des Ordners CRLs ("certificate revocation lists") sind ca. 250 - 300 Unterschlüssel mit 40stelligen Buchstaben-Zahlen-Kombinationen ("xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"). Bei jedem Unterschlüssel gibt es wiederum 1-40 "Blobs", welche ewig lange Hexadezimal-Zahlen-Ketten enthalten.
Die beim Exportieren des Unterschlüssels [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs] erzeugte Textdatei ist allein 320 MB groß. Dieser Registrierungs-Abschnitt wird auch jeden Tag um ca. 3-5 MB größer. Woran liegt das bzw. welche Software könnte dafür verantwortlich sein und wie kann man das abstellen?
Google gibt leider nicht allzu viel zum Thema SystemZertifikate her, die direkt unter diesem Schlüssel stehen. Hat jemand von Euch eine Idee, wo ich weitersuchen könnte oder wie ich das Problem zumindest eingrenzen könnte?
Wäre dankbar für sachdienliche Hinweise.
Obergrattler AKA Fabian aus München
bei unserem Windows Small Business Server 2003 wird die Registrierung ungewöhnlich schnell größer und umfasst beim Export allein von HKLM\Software\ über 350 MB. Um einen Total-Ausfall zu vermeiden, wurde die max. Registrierungsgröße bereits einmal nach oben gesetzt. Bei genauerer Analyse der Registrierung ist mir aufgefallen, dass folgender Schlüssel im Vergleich zu anderen Windows Servern 2003 unverhältnismäßig viele Unterordner und Schlüssel mit einer Flut von Hexadezimal-Zahlen enthält:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs\xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\Blobx
Unterhalb des Ordners CRLs ("certificate revocation lists") sind ca. 250 - 300 Unterschlüssel mit 40stelligen Buchstaben-Zahlen-Kombinationen ("xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"). Bei jedem Unterschlüssel gibt es wiederum 1-40 "Blobs", welche ewig lange Hexadezimal-Zahlen-Ketten enthalten.
Die beim Exportieren des Unterschlüssels [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs] erzeugte Textdatei ist allein 320 MB groß. Dieser Registrierungs-Abschnitt wird auch jeden Tag um ca. 3-5 MB größer. Woran liegt das bzw. welche Software könnte dafür verantwortlich sein und wie kann man das abstellen?
Google gibt leider nicht allzu viel zum Thema SystemZertifikate her, die direkt unter diesem Schlüssel stehen. Hat jemand von Euch eine Idee, wo ich weitersuchen könnte oder wie ich das Problem zumindest eingrenzen könnte?
Wäre dankbar für sachdienliche Hinweise.
Obergrattler AKA Fabian aus München
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 140847
Url: https://administrator.de/contentid/140847
Printed on: April 19, 2024 at 15:04 o'clock
5 Comments
Latest comment
Hi Obergrattler.
Wenn jeden Tag die Daten sich vergrössern könnte es daran liegen das es alles mit den Registrierungen sich Logt. Has du da irgendwelche Software im Hintergrund die dir eine Detailierte ansicht bietet wer wann sich angemeldet hat? Wenn ja könnte dies eine Möglichkeit sein.
Logisch klingts auf jedenfall da es Certificats sind die erstellt werden. Datum XY Zeit XY von XY. Das system muss ja jeden Schlüssel verweissen auf Certificat XY warum du solche grosse zahlen hast kann ich dir nicht sagen.
Wenn jeden Tag die Daten sich vergrössern könnte es daran liegen das es alles mit den Registrierungen sich Logt. Has du da irgendwelche Software im Hintergrund die dir eine Detailierte ansicht bietet wer wann sich angemeldet hat? Wenn ja könnte dies eine Möglichkeit sein.
Logisch klingts auf jedenfall da es Certificats sind die erstellt werden. Datum XY Zeit XY von XY. Das system muss ja jeden Schlüssel verweissen auf Certificat XY warum du solche grosse zahlen hast kann ich dir nicht sagen.
Hallo rotewolke,
danke für Deinen Beitrag. Es war tatsächlich eine Hintergrund-Anwendung, nämlich die Spamfighter-Software. Nach Deaktivierung des Dienstes ist die Registry nicht mehr angewachsen. Das Problem wurde vom Software-Hersteller bereits erkannt.
Grüße,
Obergrattler aka Fabian
danke für Deinen Beitrag. Es war tatsächlich eine Hintergrund-Anwendung, nämlich die Spamfighter-Software. Nach Deaktivierung des Dienstes ist die Registry nicht mehr angewachsen. Das Problem wurde vom Software-Hersteller bereits erkannt.
Grüße,
Obergrattler aka Fabian
Hallo rotewolke,
wurde das Problem seitens Hersteller nur erkannt oder wurde es auch gelöst ? Wenn ja, wie war die Lösung ?
Ich stehe hier vor dem Problem, das meine Server-Registry auch aus allen Nähten platzt wegen Einträgen in dem oben erwähnten registry-hive, allerdings kann ich nicht festellen, dass sie weiter anwächst, was allerdings auch daran liegen könnte, dass sie bereits am Limit ist ;)
Darf man die Einträge mit den "Blobs" einfach löschen ?
Was tut man, damit es sich zukünftig nicht wieder überfüllt ?
Den Spamfighter-Dienst deaktivieren, erscheint mir keine Lösung, denn schliesslich wollen wir das Produkt ja nutzen.
Ich habe Spamfighter angeschrieben, aber da muss ich erstmal am 1st-level vorbei, der von dem "bekannten Fall" nichts wusste...
Greetz,
Ramnit
wurde das Problem seitens Hersteller nur erkannt oder wurde es auch gelöst ? Wenn ja, wie war die Lösung ?
Ich stehe hier vor dem Problem, das meine Server-Registry auch aus allen Nähten platzt wegen Einträgen in dem oben erwähnten registry-hive, allerdings kann ich nicht festellen, dass sie weiter anwächst, was allerdings auch daran liegen könnte, dass sie bereits am Limit ist ;)
Darf man die Einträge mit den "Blobs" einfach löschen ?
Was tut man, damit es sich zukünftig nicht wieder überfüllt ?
Den Spamfighter-Dienst deaktivieren, erscheint mir keine Lösung, denn schliesslich wollen wir das Produkt ja nutzen.
Ich habe Spamfighter angeschrieben, aber da muss ich erstmal am 1st-level vorbei, der von dem "bekannten Fall" nichts wusste...
Greetz,
Ramnit
Hallo Ramnit,
ich hab die Angaben auch nur aus zweiter Hand erfahren. Es gibt scheinbar eine neue Version des SPAMfighter Exchange Modules (SEM v3.5.5.0) als RC. Die solltest Du beim SPAMfighter Support anfordern. Hier die Erklärung des Supports für die anwachsende Registry und die Anleitung zum Entfernen der CRLs-Einträge (in Englisch):
Beginn Original-Zitat Support:
Certain versions of SPAMfighter Exchange Module have historically maintained Windows' certificate revocation list by periodically downloading and updating a CRL from Thawte. It has done this due to an issue that can/could happen on Windows Server installations running in certain network scenarios. All relevant files included with SPAMfighter Exchange Module are digitally signed and Windows will, by default, automatically check the validity of these digital signatures when the files are accessed. In certain circumstances this check may fail / timeout and as a result it may take a very long time for the application to start. As a fix for this issue SPAMfighter Exchange Module attempts to keep Windows' certificate revocation list up-to-date in order to maintain the best security and performance.
A secondary effect of this management process Windows certificate authority apparently keeps an entry for each new CRL imported. The number of entries thus depends on the number of releases. Microsoft did eventually release a fix for the above issue (KB936707, KB945757), however as the user roll-out time for this fix have taken time SPAMfighter Exchange Module kept managing the certificate revocation list. Based on your comment, SPAMfighter re-evaluated whether or not the roll-out time of the MS fix have passed and has released an update for SPAMfighter Exchange Module (v3.5.5.0) has been released which removes the CRL management service.
SPAMfighter recommends that current CRL entries are kept in Windows certificate authority, however if needed they can be removed by doing the following:
1) Run the following command from the Run command in the Start menu: mmc
2) In the File menu, choose "Add/Remove Snap-in"
3) Click the "Add" button
4) Select "Certificates" and click "Add"
5) Click the "Computer account" radio button and click "Finish"
6) Click the "Local computer" radio button and click "Finish"
7) Click "Close" followed by "OK"
8) Navigate to:
- Certificates
- Intermediate Certification Authorities
- Certificate Revocation List
9) Delete any "Thawte Code Signing CA, Thawte Consulting (Pty) Ltd., Za" listed
Ende Original-Zitat Support
Vielleicht hilft Dir das weiter, um die Registry auf deinem SBS 2003 wieder etwas kleiner zu bekommen.
Grüße aus München
Obergrattler aka Fabian
ich hab die Angaben auch nur aus zweiter Hand erfahren. Es gibt scheinbar eine neue Version des SPAMfighter Exchange Modules (SEM v3.5.5.0) als RC. Die solltest Du beim SPAMfighter Support anfordern. Hier die Erklärung des Supports für die anwachsende Registry und die Anleitung zum Entfernen der CRLs-Einträge (in Englisch):
Beginn Original-Zitat Support:
Certain versions of SPAMfighter Exchange Module have historically maintained Windows' certificate revocation list by periodically downloading and updating a CRL from Thawte. It has done this due to an issue that can/could happen on Windows Server installations running in certain network scenarios. All relevant files included with SPAMfighter Exchange Module are digitally signed and Windows will, by default, automatically check the validity of these digital signatures when the files are accessed. In certain circumstances this check may fail / timeout and as a result it may take a very long time for the application to start. As a fix for this issue SPAMfighter Exchange Module attempts to keep Windows' certificate revocation list up-to-date in order to maintain the best security and performance.
A secondary effect of this management process Windows certificate authority apparently keeps an entry for each new CRL imported. The number of entries thus depends on the number of releases. Microsoft did eventually release a fix for the above issue (KB936707, KB945757), however as the user roll-out time for this fix have taken time SPAMfighter Exchange Module kept managing the certificate revocation list. Based on your comment, SPAMfighter re-evaluated whether or not the roll-out time of the MS fix have passed and has released an update for SPAMfighter Exchange Module (v3.5.5.0) has been released which removes the CRL management service.
SPAMfighter recommends that current CRL entries are kept in Windows certificate authority, however if needed they can be removed by doing the following:
1) Run the following command from the Run command in the Start menu: mmc
2) In the File menu, choose "Add/Remove Snap-in"
3) Click the "Add" button
4) Select "Certificates" and click "Add"
5) Click the "Computer account" radio button and click "Finish"
6) Click the "Local computer" radio button and click "Finish"
7) Click "Close" followed by "OK"
8) Navigate to:
- Certificates
- Intermediate Certification Authorities
- Certificate Revocation List
9) Delete any "Thawte Code Signing CA, Thawte Consulting (Pty) Ltd., Za" listed
Ende Original-Zitat Support
Vielleicht hilft Dir das weiter, um die Registry auf deinem SBS 2003 wieder etwas kleiner zu bekommen.
Grüße aus München
Obergrattler aka Fabian
Danke, das sieht schonmal ziemlich gut aus.
Mit der Zertifikate-MMC kann ich nun auch die Thawte-Einträge, von den anderen unterscheiden. In der Registry sind die Blobs ja nur unkenntliche Hex-Kollonnen.
Von Spamfighter hatte ich folgende Info bekommen:
The SEM downloads and updates a CRL list from Thawte once a day. This is done for security reasons and for optimizing performance of SEM
However I have never heard or observed that this should result in an issue in the registry - and I think that the certificate system in your installation of Windows may have an issue.
You can disable the SEM downloading this CRL list by doing the following:
1) Open SPAMfighter Script Console
Start > Programs > SPAMfighter > Support Tools > SPAMfighter Script Console
2) Run the following command:
Registry
3) Navigate to:
HKEY_LOCAL_MACHINE
SOFTWARE
SPAMfighter
Installation
4) Change the registry value named "CRLUrl" to the following
Mit der Zertifikate-MMC kann ich nun auch die Thawte-Einträge, von den anderen unterscheiden. In der Registry sind die Blobs ja nur unkenntliche Hex-Kollonnen.
Von Spamfighter hatte ich folgende Info bekommen:
The SEM downloads and updates a CRL list from Thawte once a day. This is done for security reasons and for optimizing performance of SEM
However I have never heard or observed that this should result in an issue in the registry - and I think that the certificate system in your installation of Windows may have an issue.
You can disable the SEM downloading this CRL list by doing the following:
1) Open SPAMfighter Script Console
Start > Programs > SPAMfighter > Support Tools > SPAMfighter Script Console
2) Run the following command:
Registry
3) Navigate to:
HKEY_LOCAL_MACHINE
SOFTWARE
SPAMfighter
Installation
4) Change the registry value named "CRLUrl" to the following
http://crl.thawte.com/ThawteCodeSigningCA.crl_INVALID_VALUE
