ID Artikel: 281271 - Kajian Terakhir: 23 September 2011 - Revisi: 2.0

Sertifikasi otoritas konfigurasi untuk menerbitkan sertifikat dalam Active Directory Domain yang terpercaya

Tampil berdampinganKlik disini untuk menampilkan sumber Inggris dan terjemahan oleh mesin secara berdampingan
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Melihat produk di mana artikel ini berlaku.
Tips SistemThis article applies to a different operating system than the one you are using. Article content that may not be relevant to you is disabled.

Pada Halaman ini

Perbesar semua | Perkecil semua

GEJALA

Dalam skenario berikut, jika pengguna dari domain yang sama sebagai otoritas sertifikasi (CA) permintaan sertifikat, sertifikat yang dikeluarkan diterbitkan di Active Directory. Namun, jika pengguna dari domain anak, proses ini tidak berhasil. Juga, ketika pengguna dari domain yang sama sebagai CA permintaan sertifikat, sertifikat yang dikeluarkan tidak dapat diterbitkan di Active Directory.

Skenario 1
Dalam skenario ini, CA tidak menerbitkan sertifikat yang dikeluarkan untuk objek DS pengguna di domain anak ketika kondisi berikut ini benar:
  • Pengguna adalah domain tingkat kedua hirarki dengan orang tua dan anak domain.
  • Enterprise CA terletak pada orang tua domain dan pengguna di domain anak.
  • Pengguna di domain anak mendaftar di orangtua CA.
Dalam domain dua tingkat hierarki dengan orangtua dan anak domain, Enterprise CA terletak di domain induk, dan pengguna di domain anak. Pengguna di domain anak mendaftar di orangtua CA, dan CA menerbitkan sertifikat yang dikeluarkan untuk objek DS pengguna di domain anak.

Skenario 2
Pertimbangkan skenario berikut ini:
  • Pengguna adalah single-level domain atau domain induk.
  • Enterprise CA terletak pada domain induk.
  • Kontroler domain tidak memiliki 327825 menginstal perbaikan terbaru atau Windows 2000 Paket Layanan 4 (SP4) diinstal.
  • Pengguna, baik di tingkat tunggal atau orangtua domain, mendaftar dalam single-level sertifikasi otoritas atau otoritas sertifikasi orangtua.
Dalam skenario ini, otoritas sertifikasi tidak mempublikasikan sertifikat yang dikeluarkan untuk pengguna domain server objek dalam single-level domain atau domain induk.
Kembali ke atas

PENYEBAB

Skenario 1: Tingkat dua domain hirarki

Pengguna dari domain anak tidak memiliki izin yang sesuai untuk mendaftar. Bahkan ketika mereka melakukannya, CA tidak memiliki izin akses untuk menerbitkan sertifikat untuk Active Directory.

Secara default, hanya domain pengguna dari domain yang sama seperti CA telah mendaftar izin.

Secara default, CA memiliki izin yang diperlukan berikut diberikan pada pengguna dalam domain:
  • Baca userCertificate
  • Menulis userCertificate
CA dalam domain orangtua tidak memiliki izin untuk properti userCertificate pada pengguna di domain anak.
Kembali ke atas

Skenario 2: Single-level domain atau domain induk

Secara default pada Windows 2000, objek AdminSDHolder tidak memberikan penerbit Cert kelompok izin yang diperlukan untuk account pengguna yang tercakup dalam proses AdminSDHolder. Daftar berikut berisi kelompok akun pengguna yang dilindungi di Windows 2000:
  • Admin Perusahaan
  • Skema admin
  • Admin Domain
  • Administrator
Setelah Anda menerapkan perbaikan terbaru yang dijelaskan di artikel Basis Pengetahuan Microsoft 327825 atau setelah Anda menginstal Windows 2000 SP4, daftar berikut account pengguna kelompok pada Windows Server 2003 dan Windows 2000 yang sekarang dilindungi kelompok pengguna akun:
  • Administrator
  • Rekening operator
  • Server operator
  • Mencetak operator
  • Operator cadangan
  • Admin Domain
  • Skema admin
  • Admin Perusahaan
  • Cert penerbit
Kembali ke atas

PEMECAHAN MASALAH

Skenario 1: Tingkat dua domain hirarki

Untuk mengaktifkan anak domain pengguna untuk mendapatkan sertifikat dan mereka diterbitkan untuk Active Directory, ikuti langkah berikut:
  1. Mengatur perizinan CA template untuk memungkinkan permintaan pendaftaran. Menetapkan pengguna objek izin untuk memungkinkan CA untuk menerbitkan sertifikat. Mengubah AdminSDHolder untuk mendorong pengguna objek izin kepada pengguna yang administrator.
  2. Menetapkan pengguna objek izin untuk memungkinkan CA untuk menerbitkan sertifikat. Mengubah AdminSDHolder untuk mendorong pengguna objek izin kepada pengguna yang administrator.
  3. Mengubah AdminSDHolder untuk mendorong pengguna objek izin kepada pengguna yang administrator.
Catatan Anda harus menginstal alat dukungan dari Windows Professional, atau Windows Server CD-ROM.

Untuk memungkinkan pengguna domain anak untuk mendapatkan sertifikat dan mereka diterbitkan untuk Active Directory

  1. Menetapkan izin pada CA untuk memungkinkan pengguna di domain anak untuk meminta sertifikat. Secara default, ini harus di tempat.
    1. Buka snap-in Sertifikasi Authority, klik kanan CA, dan kemudian klik Properti.
    2. Pada Keamanan tab, pastikan Dikonfirmasi pengguna kelompok diperbolehkan untuk meminta sertifikat.
  2. Menetapkan izin pada template sertifikat berlaku untuk memungkinkan pengguna di domain anak untuk mendaftar.

    Catatan Anda harus logon ke domain akar dengan hak administrator domain.
    1. Buka situs direktori aktif dan snap-in layanan.
    2. Klik Lihat, lalu klik Menunjukkan layanan Node.
    3. Memperluas layanan Node folder, memperluas layanan kunci publik, dan kemudian klik Sertifikat template.
    4. Di panel rincian, pilih template yang diinginkan, atau template. Sebagai contoh, klik kanan Pengguna sertifikat template, dan kemudian klik Properti.
    5. Pada Keamanan tab, hibah mendaftar izin ke grup yang diinginkan, seperti Dikonfirmasi pengguna.
  3. Mengkonfigurasi CA keluar modul untuk menerbitkan sertifikat untuk Active Directory.
    1. Dalam Sertifikasi Authority snap-in, klik kanan CA, dan kemudian klik Properti.
    2. Pada Keluar modul tab, klik Mengkonfigurasi.
    3. Pada properti untuk modul keluar, klik untuk memilih Memungkinkan sertifikat yang diterbitkan di Active Directory kotak.
    Pada kontroler domain anak:

    Catatan Pada domain Windows 2000 dan Windows Server 2003 domain yang telah upgrade dari Windows 2000, kelompok Cert penerbit adalah grup Domain Global. Anda harus secara manual menambahkan grup Cert penerbit untuk setiap anak domain.

    Untuk domain Windows Server 2003

    Anda dapat mengaktifkan anak domain pengguna untuk mendapatkan sertifikat dan agar mereka diterbitkan di upgrade domain Windows Server 2003. Untuk melakukan ini, mengubah tipe grup untuk Domain lokal, dan termasuk server CA dari domain induk. Prosedur ini menciptakan konfigurasi yang sama yang terdapat dalam domain Windows Server 2003 yang baru saja diinstal. Antarmuka pengguna (UI) tidak membiarkan Anda mengubah tipe grup. Namun, Anda dapat menggunakan dsmod perintah untuk mengubah grup Cert penerbit dari kelompok Domain Global untuk kelompok Domain lokal. Untuk melakukannya, gunakan sintaks berikut:
    dsmod grup Nama dibedakan grup -lingkup l
    Catatan Dalam beberapa kasus, Anda tidak dapat mengubah groupType langsung dari global untuk domain lokal group. Dalam kasus ini, Anda harus mengubah global group menjadi universal group dan berganti universal group domain lokal group. Untuk melakukannya, ikuti langkah-langkah berikut:
    1. Ketik perintah berikut, dan kemudian tekan ENTER:
      dsmod grup Nama dibedakan grup -lingkup u
      Perintah ini perubahan global group menjadi universal group.
    2. Ketik perintah berikut, dan kemudian tekan ENTER:
      dsmod grup Nama dibedakan grup -lingkup l
      Perintah ini perubahan universal group domain sebagai kelompok lokal.
    Untuk domain Windows 2000

    Anda dapat menggunakan Wisaya delegasi untuk secara manual menambahkan domain akar Cert penerbit grup untuk setiap objek pengguna di domain anak. Untuk melakukannya, ikuti langkah-langkah berikut:
    1. Terbuka Direktori pengguna dan komputer active snap-in, dan kemudian klik kanan domain node.
    2. Klik Mendelegasikan kontrol. Wisaya delegasi dimulai. Di wizard ikuti langkah berikut:
      1. Klik Berikutnya, klik Tambahkan, dan kemudian menambahkan grup Cert penerbit dari domain induk.
      2. Klik Berikutnya, klik Membuat tugas kustom untuk mendelegasikan, lalu klik Berikutnya.
      3. Pilih Benda-benda yang hanya berikut dalam folder kotak centang.
      4. Klik Objek pengguna, lalu klik Berikutnya.
      5. Klik Properti khusus, klik Baca userCertificate, lalu klik Menulis userCertificate.
      6. Klik Berikutnya, lalu klik Selesai.
  4. Buka direktori pengguna dan komputer Active snap-in, dan klik kanan domain node.
  5. Klik Mendelegasikan kontrol, di mana titik Delegasi Wizard dimulai. Di wizard:
    1. Klik Berikutnya, klik Tambahkan, dan kemudian tambahkan Cert penerbit kelompok dari domain induk. Klik Berikutnya.
    2. Pilih Membuat tugas kustom untuk mendelegasikan pilihan, dan kemudian klik Berikutnya.
    3. Pilih Benda-benda yang hanya berikut dalam folder.
    4. Pilih Objek pengguna pilihan, dan kemudian klik Berikutnya.
    5. Pilih Properti khusus pilihan.
    6. Pilih Baca userCertificate pilihan.
    7. Pilih Menulis userCertificate pilihan.
    8. Klik Berikutnya, lalu klik Selesai.
  6. Pada kontroler domain anak, pada prompt perintah, jalankan perintah berikut dua, menjaga tanda kutip:
    dsacls "cn = adminsdholder, cn = system, dc =domain, dc =com" /G "CA domainPenerbit: WP \Cert; userCertificate"
    dsacls "cn = adminsdholder, cn = system, dc =domain, dc =com" /G "CA domain\Cert penerbit: RP; userCertificate"
    Dalam kasus ini, dc =domain, dc =com nama dibedakan (DN) domain anak Anda, dan di mana CA Domain adalah nama domain di mana CA terletak.
  7. Catatan Windows Server 2003 SP1 menyediakan grup keamanan baru, CERTSVC_DCOM_ACCESS. Pengguna atau meminta komputer dari domain induk atau anak harus menjadi anggota grup ini agar dapat memperoleh sertifikat ini.

    Pada CA server, pada prompt perintah, jalankan perintah tiga berikut:
    certutil - setreg SetupStatus-SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    Untuk informasi lebih lanjut tentang grup keamanan CERTSVC_DCOM_ACCESS, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    927066  (http://support.microsoft.com/kb/927066/ ) Pesan galat saat komputer klien meminta sertifikat dari komputer yang menjalankan Windows Server 2003 dengan Paket Layanan 1: "wizard tidak dapat dijalankan karena dari satu atau lebih kondisi berikut"
    Untuk informasi lebih lanjut tentang cara menambahkan pengguna dan server di lingkungan hutan salib untuk grup keamanan CERTSVC_DCOM_ACCESS, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    961298  (http://support.microsoft.com/kb/961298/ ) Pendaftaran otomatis tidak bekerja di lingkungan hutan Cross
Kembali ke atas

Skenario 2: Single-level domain atau domain induk

Single-level domain controller atau kontroler domain induk, pada prompt perintah, jalankan perintah berikut dua, menjaga tanda kutip:
dsacls "cn = adminsdholder, cn = system,dc=<your domain="">,dc=<com></com></your>" /G "<ca's domain=""></ca's>Penerbit: WP \Cert; userCertificate"
dsacls "cn = adminsdholder, cn = system,dc=<your domain="">,dc=<com></com></your>" /G "<ca's domain=""></ca's>\Cert penerbit: RP; userCertificate"
Di mana dc =domain, dc =com nama dibedakan (DN) domain anak Anda, dan di mana CA Domain adalah nama domain di mana CA terletak.
Kembali ke atas

STATUS

Microsoft telah mengkonfirmasi bahwa ini merupakan masalah dalam Windows 2000 Server dan pada Windows Server 2003.
Kembali ke atas

INFORMASI LEBIH LANJUT

Ketika pengguna dari domain anak tidak berhasil mendaftarkan, berikut galat dalam log peristiwa aplikasi CA:
Event Type:     Warning 
Event Source:   CertSvc 
Event Category: None 
Event ID:       53 
Date:           08/14/2000 
Time:           05:13:00 
User:           N/A 
Computer:       <Root CA name> 
Description: 
Certificate Services denied request <request #> because Access is denied.
0x80070005 (WIN32: 5).  The request was for (Unknown Subject).  Additional
information: Denied by Policy Module
Jika ACL ditetapkan sehingga pengguna dapat mendaftar, namun CA tidak memiliki izin untuk menerbitkan untuk pengguna Active Directory, berikut galat dalam log peristiwa aplikasi CA:
Event Type:     Error 
Event Source:   CertSvc 
Event Category: None 
Event ID:       46 
Date:           08/14/2000 
Time:           05:13:00 
User:           N/A 
Computer:       <Root CA name> 
Description: 
The "Enterprise and Stand-alone Exit Module" Exit Module "Notify" method
returned an error. Access is denied. The returned status code is
0x80070005 (5).  The Certification Authority was unable to publish the
certificate for Child\User to the Directory Service.  Access is denied.

(0x80070005)
Kembali ke atas
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kembali ke atas
Kata kunci: 
kbcertservices kbprb kbmt KB281271 KbMtid
Kembali ke atas
Penerjemahan MesinPenerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:281271  (http://support.microsoft.com/kb/281271/en-us/ )
Kembali ke atas