Compartir a través de

Configuración de la autoridad de certificado para publicar certificados en Active Directory del dominio de confianza

En este artículo se resuelve el problema por el que el certificado emitido no se publica en Active Directory cuando los usuarios de un dominio secundario como entidad de certificación (CA) solicitan un certificado.

Se aplica a: Todas las versiones compatibles de Windows Server
Número de KB original: 281271

Síntomas

En los escenarios siguientes, si un usuario del mismo dominio que una ENTIDAD de certificación solicita un certificado, el certificado emitido se publica en Active Directory. Si el usuario procede de un dominio secundario, este proceso no se realiza correctamente. Además, cuando los usuarios del mismo dominio que una ENTIDAD de certificación solicitan un certificado, es posible que el certificado emitido no se publique en Active Directory.

Escenario 1

En este escenario, la ENTIDAD de certificación no publica certificados emitidos en el objeto DS del usuario en el dominio secundario cuando se cumplen las condiciones siguientes:

  • El usuario está en una jerarquía de dominios de dos niveles con un dominio primario y secundario.
  • La ENTIDAD de certificación de empresa se encuentra en el dominio primario y el usuario está en el dominio secundario.
  • El usuario del dominio secundario se inscribe en la ENTIDAD de certificación primaria.

En una jerarquía de dominios de dos niveles con un dominio primario y un dominio secundario, la ENTIDAD de certificación de empresa se encuentra en el dominio primario. Y los usuarios están en el dominio secundario. Los usuarios del dominio secundario se inscriben en la entidad de certificación primaria y la CA publica certificados emitidos en el objeto DS del usuario en el dominio secundario.

Además, el siguiente evento se registra en el servidor de CA:

Nombre de registro: Application
Origen: Microsoft-Windows-CertificationAuthority
Identificador de evento: 80
Categoría de tarea: None
Nivel: Advertencia
Palabras clave:
Usuario: SISTEMA
Equipo: CA.CONTOSO.COM
Descripción:
Servicios de certificados de Active Directory no pudo publicar un certificado para la solicitud XXX en la siguiente ubicación en el servidor DC.CHILD.CONTOSO.COM: CN=CHILDSRV,CN=Computers,DC=CHILD,DC=CONTOSO,DC=COM. Derechos de acceso insuficientes para realizar la operación. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: 00002098: SecErr: DSID-XXXXXXXX, problema 4003 (INSUFF_ACCESS_RIGHTS), datos 0

Escenario 2

Considere el caso siguiente:

  • El usuario está en un dominio de nivel único o en un dominio primario.
  • La ENTIDAD de certificación de empresa se encuentra en el dominio primario.
  • Los controladores de dominio no tienen instalada la revisión 327825 .
  • El usuario, ya sea en el dominio primario o de nivel único, se inscribe en la entidad de certificación de nivel único o en la entidad de certificación primaria.

En este escenario, la entidad de certificación no publica los certificados emitidos en el objeto de servidor de dominio del usuario en el dominio de nivel único o en el dominio primario.

Causa

  • En el escenario 1: jerarquía de dominios de dos niveles

    Los usuarios del dominio secundario no tienen los permisos adecuados para inscribirse. Incluso cuando lo hacen, la ENTIDAD de certificación no tiene los permisos de acceso para publicar el certificado en Active Directory.

    De forma predeterminada, solo los usuarios de dominio del mismo dominio que la ENTIDAD de certificación tienen permisos de inscripción.

    De forma predeterminada, la ENTIDAD de certificación tiene los siguientes permisos necesarios concedidos a los usuarios dentro de su dominio:

    • Lea userCertificate.

    • Escriba userCertificate.

      La ENTIDAD de certificación del dominio primario no tiene permisos para la userCertificate propiedad en los usuarios del dominio secundario.

  • En el escenario 2: dominio de nivel único o dominio primario

    De forma predeterminada en Windows, el objeto AdminSDHolder no concede al grupo Editores de certificados los permisos necesarios para las cuentas de usuario que están cubiertas en el proceso AdminSDHolder. La lista siguiente contiene los grupos de cuentas de usuario protegidos en Windows:

    • Administradores de la empresa

    • Administradores del esquema

    • Administradores de dominio

    • Administradores

      Después de aplicar la revisión KB327825, la siguiente lista de grupos de cuentas de usuario en Windows ahora son grupos de cuentas de usuario protegidos:

    • Administradores

    • Operadores de cuentas

    • Operadores de servidores

    • Operadores de impresión

    • Operadores de copias de seguridad

    • Admins. del dominio

    • Administradores de esquema

    • Administradores de la empresa

    • Publicadores de certificados

Solución

Pruebe la siguiente resolución según su escenario.

En el escenario 1: jerarquía de dominios de dos niveles

Para permitir que los usuarios del dominio secundario obtengan certificados y los publiquen en Active Directory, siga estos pasos:

  1. Establezca los permisos en la plantilla de la entidad de certificación para permitir solicitudes de inscripción. Establezca los permisos de objeto de usuario para permitir que la ENTIDAD de certificación publique el certificado. Modifique AdminSDHolder para insertar los permisos del objeto de usuario a los usuarios que son administradores.

  2. Establezca los permisos de objeto de usuario para permitir que la ENTIDAD de certificación publique el certificado. Modifique AdminSDHolder para insertar los permisos del objeto de usuario a los usuarios que son administradores.

  3. Modifique AdminSDHolder para insertar los permisos del objeto de usuario a los usuarios que son administradores.

Nota:

Primero debe instalar herramientas de soporte técnico desde Windows Professional o CD-ROM de Windows Server.

Permitir que los usuarios del dominio secundario obtengan certificados y que se publiquen en Active Directory

  1. Establezca permisos en la ENTIDAD de certificación para permitir que los usuarios del dominio secundario soliciten un certificado. De forma predeterminada, debe estar en su lugar.

    1. Abra el complemento Entidad de certificación, haga clic con el botón derecho en la ENTIDAD de certificación y seleccione Propiedades.
    2. En la pestaña Seguridad , asegúrese de que el grupo Usuarios autenticados puede solicitar certificados.

  2. Establezca permisos en las plantillas de certificado aplicables para permitir que los usuarios del dominio secundario se inscriban.

    Nota:

    Debe iniciar sesión en el dominio raíz con derechos de administrador de dominio.

    1. Abra el complemento Sitios y servicios de Active Directory.
    2. Seleccione Ver y, después, Mostrar nodo de servicios.
    3. Expanda la carpeta Nodo de servicios, expanda Servicios de clave pública y, a continuación, seleccione Plantillas de certificado.
    4. En el panel Detalles , seleccione la plantilla deseada o las plantillas. Por ejemplo, haga clic con el botón derecho en la plantilla Certificado de usuario y, a continuación, seleccione Propiedades.
    5. En la pestaña Seguridad , conceda permisos de inscripción al grupo deseado, como Usuarios autenticados.

  3. Configure el módulo de salida de CA para publicar certificados en Active Directory.

    1. En el complemento Entidad de certificación, haga clic con el botón derecho en la ENTIDAD de certificación y, a continuación, seleccione Propiedades.
    2. En la pestaña Salir del módulo , seleccione Configurar.
    3. En las propiedades del módulo Salir, seleccione el cuadro Permitir que los certificados se publiquen en el cuadro Active Directory .

    En el controlador de dominio secundario:

    Nota:

    En dominios de Windows Server, el grupo Editores de certificados es un grupo global de dominios. Debe agregar manualmente el grupo Publicadores de certificados a cada dominio secundario.

    Puede permitir que los usuarios del dominio secundario obtengan certificados y que se publiquen en dominios de Windows Server. Para ello, cambie el tipo de grupo a Dominio local e incluya el servidor de CA del dominio primario. Este procedimiento crea la misma configuración que está presente en un dominio de Windows Server recién instalado. La interfaz de usuario (UI) no permite cambiar el tipo de grupo. Sin embargo, puede usar el dsmod comando para cambiar el grupo Publicadores de certificados de un grupo global de dominio a un grupo local de dominio:

    dsmod group Group Distinguished Name -scope l

    En algunos casos, no puede cambiar groupType directamente de global a grupo local de dominio. En este caso, debe cambiar el grupo global a un grupo universal y cambiar el grupo universal a un grupo local de dominio. Para ello, siga los pasos que se indican a continuación:

    1. Escribe el siguiente comando y presiona ENTRAR:

      dsmod group Group Distinguished Name -scope u

      Este comando cambia el grupo global a un grupo universal.

    2. Escribe el siguiente comando y presiona ENTRAR:

      dsmod group Group Distinguished Name -scope l

      Este comando cambia el grupo universal a un grupo local de dominio.

En el escenario 2: dominio de nivel único o dominio primario

En el controlador de dominio de nivel único o en el controlador de dominio primario, ejecute los dos comandos siguientes, manteniendo las comillas:

dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:WP;userCertificate"
dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:RP;userCertificate"

Donde dc=<su dominio,dc>=<com> es el nombre distintivo (DN) del dominio secundario. Donde <el dominio> de ca es el nombre de dominio que se encuentra la ENTIDAD de certificación.

Estado

Microsoft ha confirmado que es un problema en Windows Server.

Más información

Cuando un usuario de un dominio secundario no se inscribe correctamente, se genera el siguiente error en el registro de eventos de la aplicación de ca:

Tipo de evento: advertencia
Origen del evento: CertSvc
Categoría del evento: ninguna
Identificador de evento: 53
Fecha: 14/08/2000
Hora: 05:13:00
Usuario: N/D
Equipo: <nombre de entidad de certificación raíz>
Descripción:
Solicitud de solicitud <denegada de Servicios de certificados #> porque se deniega Access.
0x80070005 (WIN32: 5). La solicitud era para (Asunto desconocido). Información adicional: Denegada por el módulo de directivas

Si se establecen las ACL para que el usuario pueda inscribirse, pero la CA no tiene permisos para publicar en Active Directory del usuario, se genera el siguiente error en el registro de eventos de la aplicación de ca:

Tipo de evento: error
Origen del evento: CertSvc
Categoría del evento: ninguna
Identificador de evento: 46
Fecha: 14/08/2000
Hora: 05:13:00
Usuario: N/D
Equipo: <nombre de entidad de certificación raíz>
Descripción:
El método "Enterprise and Stand-alone Exit Module" "Notify" devolvió un error. Se denegó el acceso. El código de estado devuelto es 0x80070005 (5). La entidad de certificación no pudo publicar el certificado para Child\User en el servicio de directorio. Se denegó el acceso.
(0x80070005)