Konfiguration der Zertifizierungsstelle zum Veröffentlichen von Zertifikaten in Active Directory einer vertrauenswürdigen Domäne

  • Artikel

In diesem Artikel wird das Problem behoben, dass das ausgestellte Zertifikat nicht in Active Directory veröffentlicht wird, wenn Benutzer aus einer untergeordneten Domäne als Zertifizierungsstelle ein Zertifikat anfordern.

Gilt für: Alle unterstützten Versionen von Windows Server
Ursprüngliche KB-Nummer: 281271

Symptome

Wenn in den folgenden Szenarien ein Benutzer aus derselben Domäne wie eine Zertifizierungsstelle ein Zertifikat anfordert, wird das ausgestellte Zertifikat in Active Directory veröffentlicht. Wenn der Benutzer aus einer untergeordneten Domäne stammt, ist dieser Prozess nicht erfolgreich. Wenn Benutzer aus derselben Domäne wie eine Zertifizierungsstelle ein Zertifikat anfordern, wird das ausgestellte Zertifikat möglicherweise nicht in Active Directory veröffentlicht.

Szenario 1

In diesem Szenario veröffentlicht die Zertifizierungsstelle keine ausgestellten Zertifikate für das DS-Objekt des Benutzers in der untergeordneten Domäne, wenn die folgenden Bedingungen erfüllt sind:

  • Der Benutzer befindet sich in einer Domänenhierarchie mit zwei Ebenen mit einer übergeordneten und einer untergeordneten Domäne.
  • Die Unternehmenszertifizierungsstelle befindet sich in der übergeordneten Domäne, und der Benutzer befindet sich in der untergeordneten Domäne.
  • Der Benutzer in der untergeordneten Domäne registriert sich bei der übergeordneten Zertifizierungsstelle.

In einer Domänenhierarchie mit zwei Ebenen mit einer übergeordneten und einer untergeordneten Domäne befindet sich die Unternehmenszertifizierungsstelle in der übergeordneten Domäne. Und die Benutzer befinden sich in der untergeordneten Domäne. Die Benutzer in der untergeordneten Domäne registrieren sich bei der übergeordneten Zertifizierungsstelle, und die Zertifizierungsstelle veröffentlicht ausgestellte Zertifikate für das DS-Objekt des Benutzers in der untergeordneten Domäne.

Darüber hinaus wird das folgende Ereignis auf dem ZS-Server protokolliert:

Protokollname: Anwendung
Quelle: Microsoft-Windows-CertificationAuthority
Ereignis-ID: 80
Aufgabenkategorie: Keine
Stufe: Warnung
Schlüsselwörter:
Benutzer: SYSTEM
Computer: CA.CONTOSO.COM
Beschreibung:
Die Active Directory-Zertifikatdienste konnten kein Zertifikat für die Anforderung von XXX an folgendem Speicherort auf dem Server DC.CHILD.CONTOSO.COM veröffentlichen: CN=CHILDSRV,CN=Computers,DC=CHILD,DC=CONTOSO,DC=COM. Unzureichende Zugriffsrechte zum Ausführen des Vorgangs. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: 00002098: SecErr: DSID-XXXXXXXXXX, Problem 4003 (INSUFF_ACCESS_RIGHTS), Data 0

Szenario 2

Stellen Sie sich folgendes Szenario vor:

  • Der Benutzer befindet sich in einer Domäne mit einer ebene oder einer übergeordneten Domäne.
  • Die Unternehmenszertifizierungsstelle befindet sich in der übergeordneten Domäne.
  • Auf den Domänencontrollern ist der Hotfix nicht 327825 installiert.
  • Der Benutzer registriert sich entweder in der Einzelebenen- oder übergeordneten Domäne bei der Einzelebenenzertifizierungsstelle oder der übergeordneten Zertifizierungsstelle.

In diesem Szenario veröffentlicht die Zertifizierungsstelle die ausgestellten Zertifikate nicht für das Domänenserverobjekt des Benutzers in der Einzelebenendomäne oder in der übergeordneten Domäne.

Ursache

  • Szenario 1: Domänenhierarchie mit zwei Ebenen

    Benutzer aus der untergeordneten Domäne verfügen nicht über die entsprechenden Berechtigungen zum Registrieren. Selbst wenn dies der Fall ist, verfügt die Zertifizierungsstelle nicht über die Zugriffsberechtigungen zum Veröffentlichen des Zertifikats in Active Directory.

    Standardmäßig verfügen nur Domänenbenutzer aus derselben Domäne wie die Zertifizierungsstelle über Registrierungsberechtigungen.

    Standardmäßig verfügt die Zertifizierungsstelle über die folgenden erforderlichen Berechtigungen für Benutzer innerhalb ihrer Domäne:

    • Lesen Sie userCertificate.

    • Schreiben Sie userCertificate.

      Die Zertifizierungsstelle in der übergeordneten Domäne verfügt nicht über Berechtigungen für die userCertificate -Eigenschaft für die Benutzer in der untergeordneten Domäne.

  • Szenario 2: Einzelebenendomäne oder übergeordnete Domäne

    Standardmäßig gewährt das AdminSDHolder-Objekt in Windows der Gruppe Cert Publishers nicht die erforderlichen Berechtigungen für Benutzerkonten, die unter den AdminSDHolder-Prozess fallen. Die folgende Liste enthält die geschützten Benutzerkontogruppen in Windows:

    • Organisations-Admins

    • Schema-Admins

    • Domänen-Admins

    • Administratoren

      Nachdem Sie den Hotfix KB327825 angewendet haben, sind die folgenden Benutzerkontengruppen in Windows jetzt geschützte Benutzerkontengruppen:

    • Administratoren

    • Kontooperatoren

    • Serveroperatoren

    • Druckoperatoren

    • Sicherungs-Operatoren

    • Domänen-Admins

    • Schema-Admins

    • Organisations-Admins

    • Zertifikatverleger

Lösung

Probieren Sie die folgende Lösung entsprechend Ihrem Szenario aus.

Szenario 1: Domänenhierarchie mit zwei Ebenen

Führen Sie die folgenden Schritte aus, um den Benutzern der untergeordneten Domäne das Abrufen von Zertifikaten und deren Veröffentlichung in Active Directory zu ermöglichen:

  1. Legen Sie die Berechtigungen für die Vorlage der Zertifizierungsstelle fest, um Registrierungsanforderungen zuzulassen. Legen Sie die Benutzerobjektberechtigungen fest, damit die Zertifizierungsstelle das Zertifikat veröffentlichen kann. Ändern Sie AdminSDHolder, um die Benutzerobjektberechtigungen an Benutzer zu pushen, die Administratoren sind.

  2. Legen Sie die Benutzerobjektberechtigungen fest, damit die Zertifizierungsstelle das Zertifikat veröffentlichen kann. Ändern Sie AdminSDHolder, um die Benutzerobjektberechtigungen an Benutzer zu pushen, die Administratoren sind.

  3. Ändern Sie AdminSDHolder, um die Benutzerobjektberechtigungen an Benutzer zu pushen, die Administratoren sind.

Hinweis

Sie müssen zuerst die Supporttools von der Windows Professional- oder Windows Server-CD-ROM installieren.

Ermöglichen Sie es den untergeordneten Domänenbenutzern, Zertifikate zu erhalten und in Active Directory zu veröffentlichen.

  1. Legen Sie Berechtigungen für die Zertifizierungsstelle fest, damit Benutzer in der untergeordneten Domäne ein Zertifikat anfordern können. Standardmäßig sollte sie vorhanden sein.

    1. Öffnen Sie das Snap-In Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, und wählen Sie dann Eigenschaften aus.
    2. Stellen Sie auf der Registerkarte Sicherheit sicher, dass die Gruppe Authentifizierte Benutzer Zertifikate anfordern darf.

  2. Legen Sie Berechtigungen für die entsprechenden Zertifikatvorlagen fest, um Benutzern in der untergeordneten Domäne die Registrierung zu ermöglichen.

    Hinweis

    Sie müssen bei der Stammdomäne mit Domänenadministratorrechten angemeldet sein.

    1. Öffnen Sie das Snap-In Active Directory-Standorte und -Dienste.
    2. Wählen Sie Ansicht und dann Dienstknoten anzeigen aus.
    3. Erweitern Sie den Ordner Dienstknoten , erweitern Sie Public Key Services, und wählen Sie dann Zertifikatvorlagen aus.
    4. Wählen Sie im Bereich Details die gewünschte Vorlage oder Vorlagen aus. Klicken Sie beispielsweise mit der rechten Maustaste auf die Vorlage Benutzerzertifikat , und wählen Sie dann Eigenschaften aus.
    5. Erteilen Sie der gewünschten Gruppe auf der Registerkarte Sicherheit Registrierungsberechtigungen, z. B. Authentifizierte Benutzer.

  3. Konfigurieren Sie das Ca Exit Module zum Veröffentlichen von Zertifikaten in Active Directory.

    1. Klicken Sie im Snap-In Zertifizierungsstelle mit der rechten Maustaste auf die Zertifizierungsstelle, und wählen Sie dann Eigenschaften aus.
    2. Wählen Sie auf der Registerkarte Modul beenden die Option Konfigurieren aus.
    3. Wählen Sie in den Eigenschaften für das Exit-Modul das Feld Veröffentlichen von Zertifikaten zulassen im Active Directory aus .

    Auf dem untergeordneten Domänencontroller:

    Hinweis

    In Windows Server-Domänen ist die Gruppe Cert Publishers eine globale Domänengruppe. Sie müssen die Gruppe Cert Publishers manuell zu jeder untergeordneten Domäne hinzufügen.

    Sie können es den untergeordneten Domänenbenutzern ermöglichen, Zertifikate zu erhalten und sie in Windows Server-Domänen veröffentlichen zu lassen. Ändern Sie dazu den Gruppentyp in Lokale Domäne, und schließen Sie den ZS-Server aus der übergeordneten Domäne ein. Mit diesem Verfahren wird dieselbe Konfiguration erstellt, die in einer neu installierten Windows Server-Domäne vorhanden ist. Auf der Benutzeroberfläche (UI) können Sie den Gruppentyp nicht ändern. Sie können jedoch den dsmod Befehl verwenden, um die Gruppe Cert Publishers von einer globalen Domänengruppe in eine lokale Domänengruppe zu ändern:

    dsmod group Group Distinguished Name -scope l

    In einigen Fällen können Sie groupType nicht direkt von einer globalen in eine lokale Domänengruppe ändern. In diesem Fall müssen Sie die globale Gruppe in eine universelle Gruppe und die universelle Gruppe in eine lokale Domänengruppe ändern. Führen Sie hierfür die folgenden Schritte aus:

    1. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      dsmod group Group Distinguished Name -scope u

      Dieser Befehl ändert die globale Gruppe in eine universelle Gruppe.

    2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      dsmod group Group Distinguished Name -scope l

      Dieser Befehl ändert die universelle Gruppe in eine lokale Domänengruppe.

Szenario 2: Einzelebenendomäne oder übergeordnete Domäne

Führen Sie auf dem Domänencontroller mit einer Ebene oder auf dem übergeordneten Domänencontroller die folgenden beiden Befehle aus, und behalten Sie dabei die Anführungszeichen bei:

dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:WP;userCertificate"
dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:RP;userCertificate"

Dabei steht dc=<your domain,dc>=<com> für den Distinguished Name (DN) Ihrer untergeordneten Domäne. Dabei <ist die Domäne> der Zertifizierungsstelle der Domänenname, an dem sich die Zertifizierungsstelle befindet.

Status

Microsoft hat bestätigt, dass es sich um ein Problem in Windows Server handelt.

Weitere Informationen

Wenn die Registrierung eines Benutzers aus einer untergeordneten Domäne nicht erfolgreich ist, wird der folgende Fehler im Ereignisprotokoll der Zertifizierungsstellenanwendung generiert:

Ereignistyp: Warnung
Ereignisquelle: CertSvc
Ereigniskategorie: Keine
Ereignis-ID: 53
Datum: 14.08.2000
Uhrzeit: 05:13:00
Benutzer: Nicht zutreffend
Computer: <Name der Stammzertifizierungsstelle>
Beschreibung:
Zertifikatdienste haben Anforderungsanforderung <abgelehnt,> da der Zugriff verweigert wird.
0x80070005 (WIN32: 5). Die Anforderung war für (Unbekannter Antragsteller). Zusätzliche Informationen: Vom Richtlinienmodul verweigert

Wenn die ACLs so festgelegt sind, dass der Benutzer sich registrieren kann, die Zertifizierungsstelle aber nicht über berechtigungen zum Veröffentlichen im Active Directory des Benutzers verfügt, wird der folgende Fehler im Ereignisprotokoll der Zertifizierungsstelle-Anwendung generiert:

Ereignistyp: Fehler
Ereignisquelle: CertSvc
Ereigniskategorie: Keine
Ereignis-ID: 46
Datum: 14.08.2000
Uhrzeit: 05:13:00
Benutzer: Nicht zutreffend
Computer: <Name der Stammzertifizierungsstelle>
Beschreibung:
Die Methode "Enterprise and Stand-alone Exit Module" exit Module "Notify" hat einen Fehler zurückgegeben. Der Zugriff wurde verweigert. Der zurückgegebene status Code ist 0x80070005 (5). Die Zertifizierungsstelle konnte das Zertifikat für Child\User nicht im Verzeichnisdienst veröffentlichen. Der Zugriff wurde verweigert.
(0x80070005)