Condividi tramite

Configurazione dell'autorità di certificazione per pubblicare i certificati in Active Directory di un dominio attendibile

Questo articolo risolve il problema per cui il certificato rilasciato non viene pubblicato in Active Directory quando gli utenti di un dominio figlio come autorità di certificazione (CA) richiedono un certificato.

Si applica a: tutte le versioni supportate di Windows Server
Numero KB originale: 281271

Sintomi

Negli scenari seguenti, se un utente dello stesso dominio di una CA richiede un certificato, il certificato emesso viene pubblicato in Active Directory. Se l'utente proviene da un dominio figlio, questo processo non riesce. Inoltre, quando gli utenti dello stesso dominio di una CA richiedono un certificato, il certificato emesso potrebbe non essere pubblicato in Active Directory.

Scenario 1

In questo scenario, la CA non pubblica i certificati rilasciati nell'oggetto DS dell'utente nel dominio figlio quando vengono soddisfatte le condizioni seguenti:

  • L'utente si trova in una gerarchia di dominio a due livelli con un dominio padre e un dominio figlio.
  • La CA enterprise si trova nel dominio padre e l'utente si trova nel dominio figlio.
  • L'utente nel dominio figlio viene registrato nella CA padre.

In una gerarchia di dominio a due livelli con un dominio padre e un dominio figlio, la CA enterprise si trova nel dominio padre. E gli utenti si trovano nel dominio figlio. Gli utenti nel dominio figlio vengono registrati nella CA padre e la CA pubblica i certificati rilasciati nell'oggetto DS dell'utente nel dominio figlio.

Inoltre, l'evento seguente viene registrato nel server ca:

Nome log: Applicazione
Origine: Microsoft-Windows-CertificationAuthority
ID evento: 80
Categoria attività: Nessuna
Livello: Avviso
Parole chiave:
Utente: SISTEMA
Computer: CA.CONTOSO.COM
Descrizione:
Servizi certificati Active Directory non è riuscito a pubblicare un certificato per la richiesta XXX nel percorso seguente nel server DC.CHILD.CONTOSO.COM: CN=CHILDSRV,CN=Computers,DC=CHILD,DC=CONTOSO,DC=COM. Diritti di accesso insufficienti per eseguire l'operazione. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: 00002098: SecErr: DSID-XXXXXXXX, problema 4003 (INSUFF_ACCESS_RIGHTS), dati 0

Scenario 2

Prendi in considerazione lo scenario seguente:

  • L'utente si trova in un dominio a livello singolo o in un dominio padre.
  • L'autorità di certificazione enterprise si trova nel dominio padre.
  • I controller di dominio non dispongono dell'hotfix 327825 installato.
  • L'utente, nel dominio singolo o padre, esegue la registrazione nell'autorità di certificazione a livello singolo o nell'autorità di certificazione padre.

In questo scenario, l'autorità di certificazione non pubblica i certificati rilasciati nell'oggetto server di dominio dell'utente nel dominio a livello singolo o nel dominio padre.

Causa

  • Per lo scenario 1: gerarchia di domini a due livelli

    Gli utenti del dominio figlio non dispongono delle autorizzazioni appropriate per la registrazione. Anche quando lo fanno, la CA non dispone delle autorizzazioni di accesso per pubblicare il certificato in Active Directory.

    Per impostazione predefinita, solo gli utenti di dominio dello stesso dominio della CA dispongono delle autorizzazioni di registrazione.

    Per impostazione predefinita, l'autorità di certificazione dispone delle autorizzazioni necessarie seguenti concesse agli utenti all'interno del proprio dominio:

    • Leggere userCertificate.

    • Scrivere userCertificate.

      La CA nel dominio padre non dispone delle autorizzazioni per la userCertificate proprietà per gli utenti nel dominio figlio.

  • Per lo scenario 2: dominio a livello singolo o dominio padre

    Per impostazione predefinita in Windows, l'oggetto AdminSDHolder non concede al gruppo Cert Publisher le autorizzazioni necessarie per gli account utente coperti dal processo AdminSDHolder. L'elenco seguente contiene i gruppi di account utente protetti in Windows:

    • Amministratori Enterprise

    • Amministratori schema

    • Domain Admins

    • Amministratori

      Dopo aver applicato l'hotfix KB327825, l'elenco seguente dei gruppi di account utente in Windows è ora protetto dai gruppi di account utente:

    • Amministratori

    • Account Operators

    • Server Operators

    • Print Operators

    • Backup Operators

    • Domain Admins

    • Amministratori schema

    • Amministratori Enterprise

    • Cert Publishers

Risoluzione

Provare la risoluzione seguente in base allo scenario in uso.

Per lo scenario 1: gerarchia di domini a due livelli

Per consentire agli utenti del dominio figlio di ottenere i certificati e di pubblicarli in Active Directory, seguire questa procedura:

  1. Impostare le autorizzazioni per il modello della CA per consentire le richieste di registrazione. Impostare le autorizzazioni dell'oggetto utente per consentire alla CA di pubblicare il certificato. Modificare AdminSDHolder per eseguire il push delle autorizzazioni dell'oggetto utente agli utenti amministratori.

  2. Impostare le autorizzazioni dell'oggetto utente per consentire alla CA di pubblicare il certificato. Modificare AdminSDHolder per eseguire il push delle autorizzazioni dell'oggetto utente agli utenti amministratori.

  3. Modificare AdminSDHolder per eseguire il push delle autorizzazioni dell'oggetto utente agli utenti amministratori.

Note

È prima necessario installare Strumenti di supporto da Windows Professional o DA CD-ROM di Windows Server.

Abilitare gli utenti del dominio figlio per ottenere i certificati e pubblicarli in Active Directory

  1. Impostare le autorizzazioni per la CA per consentire agli utenti nel dominio figlio di richiedere un certificato. Per impostazione predefinita, deve essere predefinito.

    1. Aprire lo snap-in Autorità di certificazione, fare clic con il pulsante destro del mouse sulla CA e quindi scegliere Proprietà.
    2. Nella scheda Sicurezza verificare che il gruppo Utenti autenticati sia autorizzato a richiedere i certificati.

  2. Impostare le autorizzazioni per i modelli di certificato applicabili per consentire agli utenti nel dominio figlio di eseguire la registrazione.

    Note

    È necessario essere connessi al dominio radice con diritti di amministratore di dominio.

    1. Aprire lo snap-in Siti e servizi di Active Directory.
    2. Selezionare Visualizza e quindi Mostra nodo servizi.
    3. Espandere la cartella Nodo servizi, espandere Servizi a chiave pubblica e quindi selezionare Modelli di certificato.
    4. Nel riquadro Dettagli selezionare il modello o i modelli desiderati. Ad esempio, fare clic con il pulsante destro del mouse sul modello Certificato utente e quindi scegliere Proprietà.
    5. Nella scheda Sicurezza concedere le autorizzazioni di registrazione al gruppo desiderato, ad esempio Utenti autenticati.

  3. Configurare il modulo di uscita della CA per pubblicare i certificati in Active Directory.

    1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sulla CA e quindi scegliere Proprietà.
    2. Nella scheda Exit Module (Esci modulo) selezionare Configure (Configura).
    3. Nelle proprietà del modulo di uscita selezionare la casella Consenti la pubblicazione dei certificati nella casella Active Directory .

    Nel controller di dominio figlio:

    Note

    Nei domini di Windows Server il gruppo Cert Publishers è un gruppo Domain Global. È necessario aggiungere manualmente il gruppo Cert Publishers a ogni dominio figlio.

    È possibile abilitare gli utenti del dominio figlio per ottenere i certificati e pubblicarli nei domini di Windows Server. A tale scopo, modificare il tipo di gruppo in Dominio locale e includere il server CA dal dominio padre. Questa procedura crea la stessa configurazione presente in un dominio di Windows Server appena installato. L'interfaccia utente non consente di modificare il tipo di gruppo. È tuttavia possibile usare il dsmod comando per modificare il gruppo Cert Publishers da un gruppo Domain Global a un gruppo Domain Local:

    dsmod group Group Distinguished Name -scope l

    In alcuni casi, non è possibile modificare groupType direttamente dal gruppo globale al gruppo locale di dominio. In questo caso, è necessario modificare il gruppo globale in un gruppo universale e modificare il gruppo universale in un gruppo locale di dominio. A tale scopo, effettuare i passaggi seguenti:

    1. Digitare il comando seguente e quindi premere INVIO:

      dsmod group Group Distinguished Name -scope u

      Questo comando modifica il gruppo globale in un gruppo universale.

    2. Digitare il comando seguente e quindi premere INVIO:

      dsmod group Group Distinguished Name -scope l

      Questo comando modifica il gruppo universale in un gruppo locale di dominio.

Per lo scenario 2: dominio a livello singolo o dominio padre

Nel controller di dominio a livello singolo o nel controller di dominio padre eseguire i due comandi seguenti, mantenendo le virgolette:

dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:WP;userCertificate"
dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:RP;userCertificate"

Dove dc=<your domain,dc>=<com> è il nome distinto (DN) del dominio figlio. Dove <il dominio> della CA è il nome di dominio che si trova la CA.

Stato

Microsoft ha confermato che si tratta di un problema in Windows Server.

Ulteriori informazioni

Quando un utente di un dominio figlio non riesce a eseguire la registrazione, viene generato l'errore seguente nel registro eventi dell'applicazione della CA:

Tipo evento: Avviso
Origine evento: CertSvc
Categoria evento: Nessuna
ID evento: 53
Data: 14/08/2000
Ora: 05:13:00
Utente: N/D
Computer: <nome CA radice>
Descrizione:
Richiesta richiesta negata <da Servizi certificati #> perché l'accesso viene negato.
0x80070005 (WIN32: 5). La richiesta era per (Oggetto sconosciuto). Informazioni aggiuntive: Negato dal modulo criteri

Se gli elenchi di controllo di accesso sono impostati in modo che l'utente possa eseguire la registrazione, ma la CA non dispone delle autorizzazioni per la pubblicazione in Active Directory dell'utente, viene generato l'errore seguente nel registro eventi dell'applicazione della CA:

Tipo di evento: Errore
Origine evento: CertSvc
Categoria evento: Nessuna
ID evento: 46
Data: 14/08/2000
Ora: 05:13:00
Utente: N/D
Computer: <nome CA radice>
Descrizione:
Il metodo "Enterprise and Stand-alone Exit Module" (Modulo di uscita aziendale e autonomo) "Notify" ha restituito un errore. Accesso negato. Il codice di stato restituito è 0x80070005 (5). L'autorità di certificazione non è riuscita a pubblicare il certificato per Child\User nel servizio directory. Accesso negato.
(0x80070005)