Windows 2008 R2 CA и автоприем: как избавиться от> 100 000 выпущенных сертификатов?
Можно использовать этот сценарий PowerShell v2 для отправки электронного письма, когда диск добирается до определенного уровня.
Вы могли запланировать его с помощью "Запланированных задач", необходимо будет изменить детали smtp в нижней части сценария для сети.
Function DispDisk
{
$server=$server.toupper()
[float]$tempfloat = ($_.freespace/$_.size)*100
$Body= "`r`n$Server - Drive: $($_.Deviceid) has only $([math]::round(($tempfloat),1))% free"
$Body+="`r`nTotal Size: $([math]::truncate($_.size / 1gb)) GB"
$Body+="`r`nFree Space: $([math]::truncate($_.freespace /1gb)) GB"
IF ($tempfloat -lt $PercenttoEmail)
{
Send-MailMessage -SmtpServer $SMTPServer -To $To -From $From -Subject "Disk Space Issue $Server $($_.Deviceid) is below $percenttoemail%" -Body $Body
}
}
#
# SMTP Settings, you will need to change these.
#
# The Server you want to check, this is the first arguments (example .\getdspace yourserver) would check the YourServer server
$server = $args[0]
# Percent to send an email, if its below this you should get an email
$PercenttoEmail =15
# Your SMTP Server
$SMTPServer="smtprelay.YourDomain.co.nz"
# Who gets the email
$To="You@YourDomain.co.nz"
# What address does the email Come From
$From="service.desk@YourDomain.co.nz"
get-wmiobject win32_logicaldisk -filter "DriveType=3" -computer $server | foreach-object {DispDisk}
Я не пробовал это, но есть поставщик PKI PowerShell из https://pspki.codeplex.com/ , который имеет много интересных функций, например Revoke-Certificate , за которым следует Remove-Request :
Удаляет указанную строку запроса сертификата из центра сертификации. (CA) База данных.
Эту команду можно использовать для уменьшения размера базы данных CA путем удаления ненужные запросы сертификатов. Например, удалить неудавшиеся запросы и неиспользованный сертификат с истекшим сроком действия.
Примечание: после удаления определенной строки вы не сможете получить какие-либо properties и (при необходимости) отозвать соответствующий сертификат.
Моя интуиция говорит: протрите это и начните все сначала, и вы будете счастливы позже, но если вы уже изменили его, чтобы сохранить сертификаты в AD (что идеально), вы протрите и начните сначала, у вас все еще будет тонна поддельных сертификатов, которые они будут просто в AD, прикрепленные ко всем учетным записям компьютеров, а не к вашему CA Так что в любом случае это беспорядок.
Трудный ответ. Вы можете отозвать, как вы сказали, но я не верю, что вы можете полностью избавиться от них из CA mmc.
Если вы начнете все сначала, выполните шаги здесь , чтобы сделать это как можно более аккуратно
Поскольку я не хотел находить на следующий день еще ~ 4000 выданных сертификатов, я остановил бессмысленную выдачу сертификатов, удалив стандартный шаблон сертификата «Компьютер» и добавив его дубликат. для которого установлено значение Опубликовать сертификат в Active Directory
и Не выполнять автоматическую повторную регистрацию, если дублирующийся сертификат существует в Active Directory .
По-прежнему оставляет мне проблему, как избавиться от уже имеющихся, но это только начало.