Configuration de l’autorité de certification pour publier des certificats dans Active Directory d’un domaine approuvé

  • Article

Cet article résout le problème où le certificat émis n’est pas publié dans Active Directory lorsque des utilisateurs d’un domaine enfant en tant qu’autorité de certification demandent un certificat.

S’applique à : Toutes les versions prises en charge de Windows Server
Numéro de la base de connaissances d’origine : 281271

Symptômes

Dans les scénarios suivants, si un utilisateur du même domaine qu’une autorité de certification demande un certificat, le certificat émis est publié dans Active Directory. Si l’utilisateur provient d’un domaine enfant, ce processus échoue. En outre, lorsque des utilisateurs du même domaine qu’une autorité de certification demandent un certificat, le certificat émis peut ne pas être publié dans Active Directory.

Scénario 1

Dans ce scénario, l’autorité de certification ne publie pas les certificats émis sur l’objet DS de l’utilisateur dans le domaine enfant lorsque les conditions suivantes sont remplies :

  • L’utilisateur se trouve dans une hiérarchie de domaines à deux niveaux avec un domaine parent et un domaine enfant.
  • L’autorité de certification d’entreprise se trouve sur le domaine parent et l’utilisateur se trouve dans le domaine enfant.
  • L’utilisateur du domaine enfant s’inscrit dans l’autorité de certification parente.

Dans une hiérarchie de domaines à deux niveaux avec un domaine parent et un domaine enfant, l’autorité de certification d’entreprise se trouve dans le domaine parent. Et les utilisateurs se trouvent dans le domaine enfant. Les utilisateurs du domaine enfant s’inscrivent dans l’autorité de certification parente et l’autorité de certification publie les certificats émis sur l’objet DS de l’utilisateur dans le domaine enfant.

En outre, l’événement suivant est enregistré sur le serveur d’autorité de certification :

Nom du journal : Application
Source : Microsoft-Windows-CertificationAuthority
ID d’événement : 80
Catégorie de la tâche : Aucun
Niveau : Avertissement
Mots-clés:
Utilisateur : SYSTÈME
Ordinateur : CA.CONTOSO.COM
Description :
Les services de certificats Active Directory n’ont pas pu publier un certificat pour la requête XXX à l’emplacement suivant sur le serveur DC.CHILD.CONTOSO.COM : CN=CHILDSRV,CN=Computers,DC=CHILD,DC=CONTOSO,DC=COM. Droits d’accès insuffisants pour effectuer l’opération. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap : 0x32 : 00002098 : SecErr : DSID-XXXXXXXX, problème 4003 (INSUFF_ACCESS_RIGHTS), données 0

Scénario 2

Prenons l’exemple du scénario suivant :

  • L’utilisateur se trouve dans un domaine de niveau unique ou un domaine parent.
  • L’autorité de certification d’entreprise se trouve sur le domaine parent.
  • Les contrôleurs de domaine n’ont pas le correctif logiciel 327825 installé.
  • L’utilisateur, dans le domaine de niveau unique ou parent, s’inscrit dans l’autorité de certification de niveau unique ou l’autorité de certification parente.

Dans ce scénario, l’autorité de certification ne publie pas les certificats émis sur l’objet serveur de domaine de l’utilisateur dans le domaine de niveau unique ou dans le domaine parent.

Cause

  • Pour le scénario 1 : hiérarchie de domaines à deux niveaux

    Les utilisateurs du domaine enfant ne disposent pas des autorisations appropriées pour s’inscrire. Même si c’est le cas, l’autorité de certification ne dispose pas des autorisations d’accès nécessaires pour publier le certificat dans Active Directory.

    Par défaut, seuls les utilisateurs du domaine du même domaine que l’autorité de certification disposent d’autorisations d’inscription.

    Par défaut, l’autorité de certification dispose des autorisations nécessaires suivantes accordées aux utilisateurs au sein de son domaine :

    • Lisez userCertificate.

    • Écrivez userCertificate.

      L’autorité de certification dans le domaine parent n’a pas d’autorisations sur la userCertificate propriété sur les utilisateurs du domaine enfant.

  • Pour le scénario 2 : domaine de niveau unique ou domaine parent

    Par défaut, dans Windows, l’objet AdminSDHolder n’accorde pas au groupe éditeurs de certificats les autorisations nécessaires pour les comptes d’utilisateur couverts par le processus AdminSDHolder. La liste suivante contient les groupes de comptes d’utilisateur protégés dans Windows :

    • Administrateurs d'entreprise

    • Administrateurs de schéma

    • Administrateurs du domaine

    • Administrateurs

      Une fois que vous avez appliqué le correctif logiciel KB327825, la liste suivante des groupes de comptes d’utilisateur dans Windows sont désormais protégés :

    • Administrateurs

    • Opérateurs de compte

    • Opérateurs de serveur

    • Opérateurs d’impression

    • Opérateurs de sauvegarde

    • Administrateurs du domaine

    • Administrateurs de schéma

    • Administrateurs d'entreprise

    • Éditeurs de certificats

Résolution

Essayez la résolution suivante en fonction de votre scénario.

Pour le scénario 1 : hiérarchie de domaines à deux niveaux

Pour permettre aux utilisateurs de domaine enfants d’obtenir des certificats et de les publier sur Active Directory, procédez comme suit :

  1. Définissez les autorisations sur le modèle de l’autorité de certification pour autoriser les demandes d’inscription. Définissez les autorisations d’objet utilisateur pour autoriser l’autorité de certification à publier le certificat. Modifiez AdminSDHolder pour envoyer (push) les autorisations d’objet utilisateur aux utilisateurs qui sont administrateurs.

  2. Définissez les autorisations d’objet utilisateur pour autoriser l’autorité de certification à publier le certificat. Modifiez AdminSDHolder pour envoyer (push) les autorisations d’objet utilisateur aux utilisateurs qui sont administrateurs.

  3. Modifiez AdminSDHolder pour envoyer (push) les autorisations d’objet utilisateur aux utilisateurs qui sont administrateurs.

Remarque

Vous devez d’abord installer les outils de support à partir du CD-ROM Windows Professionnel ou Windows Server.

Permettre aux utilisateurs de domaine enfants d’obtenir des certificats et de les publier sur Active Directory

  1. Définissez des autorisations sur l’autorité de certification pour permettre aux utilisateurs du domaine enfant de demander un certificat. Par défaut, il doit être en place.

    1. Ouvrez le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur l’autorité de certification, puis sélectionnez Propriétés.
    2. Sous l’onglet Sécurité , vérifiez que le groupe Utilisateurs authentifiés est autorisé à demander des certificats.

  2. Définissez des autorisations sur les modèles de certificat applicables pour permettre aux utilisateurs du domaine enfant de s’inscrire.

    Remarque

    Vous devez être connecté au domaine racine avec des droits d’administrateur de domaine.

    1. Ouvrez le composant logiciel enfichable Sites et services Active Directory.
    2. Sélectionnez Affichage, puis Afficher le nœud des services.
    3. Développez le dossier Nœud services , développez Services à clé publique, puis sélectionnez Modèles de certificat.
    4. Dans le volet Détails , sélectionnez le ou les modèles souhaités. Par exemple, cliquez avec le bouton droit sur le modèle Certificat utilisateur , puis sélectionnez Propriétés.
    5. Sous l’onglet Sécurité , accordez des autorisations d’inscription au groupe souhaité, par exemple Utilisateurs authentifiés.

  3. Configurez le module de sortie de l’autorité de certification pour publier des certificats dans Active Directory.

    1. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur l’autorité de certification, puis sélectionnez Propriétés.
    2. Sous l’onglet Quitter le module , sélectionnez Configurer.
    3. Dans les propriétés du module de sortie, sélectionnez la zone Autoriser la publication des certificats dans Active Directory .

    Sur le contrôleur de domaine enfant :

    Remarque

    Dans les domaines Windows Server, le groupe Éditeurs de certificats est un groupe global de domaine. Vous devez ajouter manuellement le groupe Éditeurs de certificats à chaque domaine enfant.

    Vous pouvez autoriser les utilisateurs de domaine enfants à obtenir des certificats et à les publier dans des domaines Windows Server. Pour ce faire, remplacez le type de groupe par Domaine local et incluez le serveur d’autorité de certification à partir du domaine parent. Cette procédure crée la même configuration que celle présente dans un domaine Windows Server fraîchement installé. L’interface utilisateur ne vous permet pas de modifier le type de groupe. Toutefois, vous pouvez utiliser la dsmod commande pour modifier le groupe Éditeurs de certificats d’un groupe global de domaine en groupe local de domaine :

    dsmod group Group Distinguished Name -scope l

    Dans certains cas, vous ne pouvez pas modifier groupType directement de groupe global en groupe local de domaine. Dans ce cas, vous devez modifier le groupe global en groupe universel et le groupe universel en groupe local de domaine. Pour ce faire, procédez comme suit :

    1. Tapez la commande suivante, puis appuyez sur Entrée :

      dsmod group Group Distinguished Name -scope u

      Cette commande modifie le groupe global en un groupe universel.

    2. Tapez la commande suivante, puis appuyez sur Entrée :

      dsmod group Group Distinguished Name -scope l

      Cette commande change le groupe universel en groupe local de domaine.

Pour le scénario 2 : domaine de niveau unique ou domaine parent

Sur le contrôleur de domaine de niveau unique ou sur le contrôleur de domaine parent, exécutez les deux commandes suivantes, en conservant les guillemets :

dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:WP;userCertificate"
dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:RP;userCertificate"

Où dc=<votre domaine,dc>=<com> est le nom unique (DN) de votre domaine enfant. Où <domaine> de l’autorité de certification est le nom de domaine où se trouve l’autorité de certification.

Statut

Microsoft a confirmé qu’il s’agit d’un problème dans Windows Server.

Plus d’informations

Lorsqu’un utilisateur d’un domaine enfant ne parvient pas à s’inscrire, l’erreur suivante est générée dans le journal des événements des applications d’autorité de certification :

Type d'événement : Avertissement
Source de l’événement : CertSvc
Catégorie d’événement : Aucun
ID d’événement : 53
Date : 14/08/2000
Heure : 05 :13 :00
Utilisateur : N/A
Ordinateur : <nom de l’autorité de certification racine>
Description :
Les services de certificats ont refusé le nombre de> demandes<, car Access est refusé.
0x80070005 (WIN32 : 5). La demande était pour (Objet inconnu). Informations supplémentaires : Refusé par le module de stratégie

Si les listes de contrôle d’accès sont définies de sorte que l’utilisateur puisse s’inscrire, mais que l’autorité de certification n’a pas les autorisations nécessaires pour publier sur Active Directory de l’utilisateur, l’erreur suivante est générée dans le journal des événements de l’application d’autorité de certification :

Type d'événement : Erreur
Source de l’événement : CertSvc
Catégorie d’événement : Aucun
ID d’événement : 46
Date : 14/08/2000
Heure : 05 :13 :00
Utilisateur : N/A
Ordinateur : <nom de l’autorité de certification racine>
Description :
La méthode « Notifier » du module de sortie « Enterprise and Stand-alone Exit Module » a retourné une erreur. L’accès est refusé. Le code status retourné est 0x80070005 (5). L’autorité de certification n’a pas pu publier le certificat pour Enfant\Utilisateur dans le service d’annuaire. L’accès est refusé.
(0x80070005)