Поделиться через

Настройка центра сертификации для публикации сертификатов в Active Directory доверенного домена

В этой статье рассматривается проблема, из-за которой выданный сертификат не публикуется в Active Directory, когда пользователи из дочернего домена в качестве центра сертификации запрашивают сертификат.

Область применения: все поддерживаемые версии Windows Server
Исходный номер базы знаний: 281271

Симптомы

В следующих сценариях, если пользователь из того же домена, что и ЦС, запрашивает сертификат, выданный сертификат публикуется в Active Directory. Если пользователь находится из дочернего домена, этот процесс не выполнен. Кроме того, когда пользователи из того же домена, что и ЦС, запрашивают сертификат, выданный сертификат может быть не опубликован в Active Directory.

Сценарий 1

В этом сценарии ЦС не публикует выданные сертификаты для объекта DS пользователя в дочернем домене, если выполняются следующие условия:

  • Пользователь находится в двухуровневой иерархии домена с родительским и дочерним доменом.
  • Корпоративный ЦС находится в родительском домене, а пользователь находится в дочернем домене.
  • Пользователь в дочернем домене регистрируется в родительском ЦС.

В двухуровневой иерархии домена с родительским и дочерним доменом ЦС Enterprise находится в родительском домене. Пользователи находятся в дочернем домене. Пользователи дочернего домена регистрируются в родительском ЦС, а ЦС публикует выданные сертификаты для объекта DS пользователя в дочернем домене.

Кроме того, на сервере ЦС регистрируется следующее событие:

Имя журнала: приложение
Источник: Microsoft-Windows-CertificationAuthority
Идентификатор события: 80
Категория задачи: Отсутствует
Уровень: предупреждение
Ключевые слова:
Пользователь: система
Компьютер: CA.CONTOSO.COM
Описание.
Службы сертификатов Active Directory не смогли опубликовать сертификат для запроса XXX в следующем расположении на сервере DC.CHILD.CONTOSO.COM: CN=CHILDSRV,CN=Computers,DC=CHILD,DC=CONTOSO,DC=COM. Недостаточно прав доступа для выполнения операции. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: 00002098: SecErr: DSID-XXXXXXXXXX, проблема 4003 (INSUFF_ACCESS_RIGHTS), данные 0

Сценарий 2

Рассмотрим следующий сценарий:

  • Пользователь находится в одноуровневом домене или родительском домене.
  • ЦС Enterprise находится в родительском домене.
  • Контроллеры домена не установлены 327825 исправлений.
  • Пользователь в одноуровневом или родительском домене регистрируется в одноуровневом центре сертификации или родительском центре сертификации.

В этом сценарии центр сертификации не публикует выданные сертификаты в объекте сервера домена пользователя в одном домене или родительском домене.

Причина

  • Для сценария 1: двухуровневая иерархия домена

    У пользователей из дочернего домена нет соответствующих разрешений для регистрации. Даже если они делают, ЦС не имеет разрешений на доступ для публикации сертификата в Active Directory.

    По умолчанию только пользователи домена из того же домена, что и ЦС, имеют разрешения на регистрацию.

    По умолчанию ЦС имеет следующие необходимые разрешения для пользователей в своем домене:

    • Чтение userCertificate.

    • Запись userCertificate.

      ЦС в родительском домене не имеет разрешений на userCertificate свойство для пользователей в дочернем домене.

  • Для сценария 2: одноуровневый домен или родительский домен

    По умолчанию в Windows объект AdminSDHolder не предоставляет группе издателей сертификатов необходимые разрешения для учетных записей пользователей, которые рассматриваются в процессе AdminSDHolder. В следующем списке содержатся защищенные группы учетных записей пользователей в Windows:

    • Администраторы предприятия

    • Администраторы схемы

    • Администраторы домена

    • Администраторы

      После применения исправлений KB327825 следующие группы учетных записей пользователей в Windows теперь защищены:

    • Администраторы

    • Операторы учета

    • Операторы сервера

    • Операторы печати

    • Операторы архива

    • Администраторы домена

    • Администраторы схемы

    • Администраторы предприятия

    • Издатели сертификатов

Решение

Попробуйте выполнить следующее разрешение в соответствии с вашим сценарием.

Для сценария 1: двухуровневая иерархия домена

Чтобы пользователи дочернего домена могли получать сертификаты и публиковать их в Active Directory, выполните следующие действия.

  1. Задайте разрешения на шаблон ЦС, чтобы разрешить запросы на регистрацию. Задайте разрешения объекта пользователя, чтобы разрешить ЦС публиковать сертификат. Alter AdminSDHolder для отправки разрешений объекта пользователя пользователям, которые являются администраторами.

  2. Задайте разрешения объекта пользователя, чтобы разрешить ЦС публиковать сертификат. Alter AdminSDHolder для отправки разрешений объекта пользователя пользователям, которые являются администраторами.

  3. Alter AdminSDHolder для отправки разрешений объекта пользователя пользователям, которые являются администраторами.

Примечание.

Сначала необходимо установить средства поддержки из Windows Professional или Windows Server CD-ROM.

Разрешить пользователям дочернего домена получать сертификаты и публиковать их в Active Directory

  1. Задайте разрешения цС, чтобы разрешить пользователям в дочернем домене запрашивать сертификат. По умолчанию он должен быть на месте.

    1. Откройте оснастку центра сертификации, щелкните центр сертификации правой кнопкой мыши и выберите пункт "Свойства".
    2. На вкладке "Безопасность" убедитесь, что группа прошедших проверку подлинности пользователей разрешена запрашивать сертификаты.

  2. Задайте разрешения для применимых шаблонов сертификатов, чтобы разрешить пользователям в дочернем домене регистрироваться.

    Примечание.

    Необходимо войти в корневой домен с правами администратора домена.

    1. Откройте оснастку "Сайты и службы Active Directory".
    2. Выберите "Вид" и выберите "Показать узлы служб".
    3. Разверните папку "Узлы служб", разверните службы открытых ключей и выберите "Шаблоны сертификатов".
    4. В области сведений выберите нужный шаблон или шаблоны. Например, щелкните правой кнопкой мыши шаблон сертификата пользователя и выберите пункт "Свойства".
    5. На вкладке "Безопасность" предоставьте разрешения на регистрацию требуемой группе, например прошедших проверку подлинности пользователей.

  3. Настройте модуль выхода ЦС для публикации сертификатов в Active Directory.

    1. В оснастке центра сертификации щелкните центр сертификации правой кнопкой мыши и выберите пункт "Свойства".
    2. На вкладке "Выход из модуля" выберите "Настроить".
    3. В свойствах модуля выхода выберите "Разрешить публикацию сертификатов" в поле Active Directory .

    На дочернем контроллере домена:

    Примечание.

    В доменах Windows Server группа издателей Cert — это глобальная группа доменов. Необходимо вручную добавить группу издателей Cert в каждый дочерний домен.

    Вы можете разрешить пользователям дочернего домена получать сертификаты и публиковать их в доменах Windows Server. Для этого измените тип группы на "Локальный домен" и включите сервер ЦС из родительского домена. Эта процедура создает ту же конфигурацию, которая присутствует в недавно установленном домене Windows Server. Пользовательский интерфейс не позволяет изменять тип группы. Однако можно использовать dsmod команду, чтобы изменить группу издателей Cert из глобальной группы домена в локальную группу домена:

    dsmod group Group Distinguished Name -scope l

    В некоторых случаях невозможно изменить groupType непосредственно из глобальной в локальную группу домена. В этом случае необходимо изменить глобальную группу в универсальную и изменить универсальную группу в локальную группу домена. Для этого выполните следующие шаги:

    1. Введите следующую команду и нажмите клавишу ВВОД.

      dsmod group Group Distinguished Name -scope u

      Эта команда изменяет глобальную группу в универсальную группу.

    2. Введите следующую команду и нажмите клавишу ВВОД.

      dsmod group Group Distinguished Name -scope l

      Эта команда изменяет универсальную группу в локальную группу домена.

Для сценария 2: одноуровневый домен или родительский домен

На контроллере домена одного уровня или на родительском контроллере домена выполните следующие две команды, сохраняя кавычки:

dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:WP;userCertificate"
dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:RP;userCertificate"

Где dc=<your domain,dc>=<com> — это различающееся имя (DN) дочернего домена. Где <домен> ЦС — это доменное имя, которое находится ЦС.

Состояние

Корпорация Майкрософт подтвердила, что это проблема в Windows Server.

Дополнительная информация

Если пользователь из дочернего домена не удается зарегистрировать, в журнале событий приложения ЦС создается следующая ошибка:

Тип события: предупреждение
Источник событий: CertSvc
Категория события: нет
Идентификатор события: 53
Дата: 08.14.2000
Время: 05:13:00
Пользователь: Н/Д
Компьютер: <имя корневого ЦС>
Описание.
Служба сертификатов отказано в запросе на запрос <#> из-за того, что доступ запрещен.
0x80070005 (WIN32: 5). Запрос был для (неизвестной темы). Дополнительные сведения: отказано в модуле политики

Если списки управления доступом настроены таким образом, чтобы пользователь смог зарегистрировать, но ЦС не имеет разрешений на публикацию в Active Directory пользователя, в журнале событий приложения ЦС создается следующая ошибка:

Тип события: ошибка
Источник событий: CertSvc
Категория события: нет
Идентификатор события: 46
Дата: 08.14.2000
Время: 05:13:00
Пользователь: Н/Д
Компьютер: <имя корневого ЦС>
Описание.
Метод exit module "Enterprise and Stand-alone Exit Module" Exit Module "Notify" возвращает ошибку. Отказано в доступе. Возвращенный код состояния — 0x80070005 (5). Центр сертификации не смог опубликовать сертификат для дочернего\пользователя в службе каталогов. Отказано в доступе.
(0x80070005)