Configurazione dell'autorità di certificazione per pubblicare certificati in Active Directory del dominio attendibile

  • Articolo

Questo articolo risolve il problema per cui il certificato emesso non viene pubblicato in Active Directory quando gli utenti di un dominio figlio come autorità di certificazione (CA) richiedono un certificato.

Si applica a: Tutte le versioni supportate di Windows Server
Numero KB originale: 281271

Sintomi

Negli scenari seguenti, se un utente dello stesso dominio di una CA richiede un certificato, il certificato emesso viene pubblicato in Active Directory. Se l'utente proviene da un dominio figlio, questo processo non ha esito positivo. Inoltre, quando gli utenti dello stesso dominio di una CA richiedono un certificato, il certificato emesso potrebbe non essere pubblicato in Active Directory.

Scenario 1

In questo scenario, la CA non pubblica i certificati rilasciati nell'oggetto DS dell'utente nel dominio figlio quando si verificano le condizioni seguenti:

  • L'utente si trova in una gerarchia di dominio a due livelli con un dominio padre e un dominio figlio.
  • La CA dell'organizzazione si trova nel dominio padre e l'utente si trova nel dominio figlio.
  • L'utente nel dominio figlio si registra nella CA padre.

In una gerarchia di dominio a due livelli con un dominio padre e un dominio figlio, la CA dell'organizzazione si trova nel dominio padre. E gli utenti sono nel dominio figlio. Gli utenti nel dominio figlio si registrano nella CA padre e la CA pubblica i certificati rilasciati nell'oggetto DS dell'utente nel dominio figlio.

Inoltre, il seguente evento viene registrato nel server CA:

Nome log: Applicazione
Origine: Microsoft-Windows-CertificationAuthority
ID evento: 80
Categoria attività: nessuna
Livello: Avviso
Parole chiavi:
Utente: SISTEMA
Computer: CA.CONTOSO.COM
Descrizione:
Servizi certificati Active Directory non è riuscito a pubblicare un certificato per la richiesta XXX nel percorso seguente nel server DC.CHILD.CONTOSO.COM: CN=CHILDSRV,CN=Computers,DC=CHILD,DC=CONTOSO,DC=COM. Diritti di accesso insufficienti per eseguire l'operazione. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: 00002098: SecErr: DSID-XXXXXXXX, problema 4003 (INSUFF_ACCESS_RIGHTS), dati 0

Scenario 2

Considerare lo scenario descritto di seguito:

  • L'utente si trova in un dominio a livello singolo o in un dominio padre.
  • La CA dell'organizzazione si trova nel dominio padre.
  • Per i controller di dominio non è installato l'hotfix 327825 .
  • L'utente, nel dominio a livello singolo o padre, si registra nell'autorità di certificazione a livello singolo o nell'autorità di certificazione padre.

In questo scenario, l'autorità di certificazione non pubblica i certificati rilasciati nell'oggetto server di dominio dell'utente nel dominio a livello singolo o nel dominio padre.

Causa

  • Per lo scenario 1: gerarchia di dominio a due livelli

    Gli utenti del dominio figlio non dispongono delle autorizzazioni appropriate per la registrazione. Anche quando lo fanno, la CA non dispone delle autorizzazioni di accesso per pubblicare il certificato in Active Directory.

    Per impostazione predefinita, solo gli utenti di dominio dello stesso dominio della CA dispongono delle autorizzazioni di registrazione.

    Per impostazione predefinita, la CA dispone delle autorizzazioni necessarie seguenti concesse agli utenti all'interno del proprio dominio:

    • Leggere userCertificate.

    • Scrivere userCertificate.

      La CA nel dominio padre non dispone delle autorizzazioni per la userCertificate proprietà per gli utenti nel dominio figlio.

  • Per scenario 2: dominio a livello singolo o dominio padre

    Per impostazione predefinita in Windows, l'oggetto AdminSDHolder non concede al gruppo Cert Publishers le autorizzazioni necessarie per gli account utente coperti dal processo AdminSDHolder. L'elenco seguente contiene i gruppi di account utente protetti in Windows:

    • Amministratori Enterprise

    • Amministratori schema

    • Domain Admins

    • Amministratori

      Dopo aver applicato l'hotfix KB327825, l'elenco seguente di gruppi di account utente in Windows è ora protetto da gruppi di account utente:

    • Amministratori

    • Operatori account

    • Operatori server

    • Operatori di stampa

    • Backup Operators

    • Domain Admins

    • Amministratori schema

    • Amministratori Enterprise

    • Editori di certificati

Risoluzione

Provare la risoluzione seguente in base allo scenario.

Per lo scenario 1: gerarchia di dominio a due livelli

Per consentire agli utenti del dominio figlio di ottenere certificati e pubblicarli in Active Directory, seguire questa procedura:

  1. Impostare le autorizzazioni nel modello dell'autorità di certificazione per consentire le richieste di registrazione. Impostare le autorizzazioni dell'oggetto utente per consentire alla CA di pubblicare il certificato. Modificare AdminSDHolder per eseguire il push delle autorizzazioni dell'oggetto utente agli utenti amministratori.

  2. Impostare le autorizzazioni dell'oggetto utente per consentire alla CA di pubblicare il certificato. Modificare AdminSDHolder per eseguire il push delle autorizzazioni dell'oggetto utente agli utenti amministratori.

  3. Modificare AdminSDHolder per eseguire il push delle autorizzazioni dell'oggetto utente agli utenti amministratori.

Nota

È innanzitutto necessario installare Strumenti di supporto da Windows Professional o dal CD-ROM di Windows Server.

Abilitare gli utenti del dominio figlio per ottenere i certificati e pubblicarli in Active Directory

  1. Impostare le autorizzazioni per la CA per consentire agli utenti del dominio figlio di richiedere un certificato. Per impostazione predefinita, deve essere disponibile.

    1. Aprire lo snap-in Autorità di certificazione, fare clic con il pulsante destro del mouse sulla CA e quindi scegliere Proprietà.
    2. Nella scheda Sicurezza verificare che il gruppo Utenti autenticati sia autorizzato a richiedere certificati.

  2. Impostare le autorizzazioni per i modelli di certificato applicabili per consentire la registrazione degli utenti nel dominio figlio.

    Nota

    È necessario accedere al dominio radice con diritti di amministratore di dominio.

    1. Aprire lo snap-in Siti e servizi di Active Directory.
    2. Selezionare Visualizza e quindi Mostra nodo servizi.
    3. Espandere la cartella Nodo servizi , espandere Servizi chiave pubblica e quindi selezionare Modelli di certificato.
    4. Nel riquadro Dettagli selezionare il modello o i modelli desiderati. Ad esempio, fare clic con il pulsante destro del mouse sul modello certificato utente e quindi scegliere Proprietà.
    5. Nella scheda Sicurezza concedere le autorizzazioni di registrazione al gruppo desiderato, ad esempio Utenti autenticati.

  3. Configurare il modulo di uscita della CA per pubblicare i certificati in Active Directory.

    1. Nello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse sulla CA e quindi scegliere Proprietà.
    2. Nella scheda Esci modulo selezionare Configura.
    3. Nelle proprietà del modulo di uscita selezionare la casella Consenti la pubblicazione di certificati nella casella Active Directory .

    Nel controller di dominio figlio:

    Nota

    Nei domini di Windows Server il gruppo Server di pubblicazione certificati è un gruppo globale di dominio. È necessario aggiungere manualmente il gruppo Server di pubblicazione certificati a ogni dominio figlio.

    È possibile abilitare gli utenti del dominio figlio per ottenere i certificati e pubblicarli nei domini di Windows Server. A tale scopo, modificare il tipo di gruppo in Domain Local e includere il server CA dal dominio padre. Questa procedura crea la stessa configurazione presente in un dominio di Windows Server appena installato. L'interfaccia utente non consente di modificare il tipo di gruppo. È tuttavia possibile usare il dsmod comando per modificare il gruppo Server di pubblicazione certificati da un gruppo globale di dominio a un gruppo locale di dominio:

    dsmod group Group Distinguished Name -scope l

    In alcuni casi, non è possibile modificare groupType direttamente da gruppo globale a gruppo locale di dominio. In questo caso, è necessario modificare il gruppo globale in un gruppo universale e modificare il gruppo universale in un gruppo locale di dominio. A tale scopo, seguire questa procedura:

    1. Digitare il comando seguente e quindi premere INVIO:

      dsmod group Group Distinguished Name -scope u

      Questo comando modifica il gruppo globale in un gruppo universale.

    2. Digitare il comando seguente e quindi premere INVIO:

      dsmod group Group Distinguished Name -scope l

      Questo comando modifica il gruppo universale in un gruppo locale di dominio.

Per scenario 2: dominio a livello singolo o dominio padre

Nel controller di dominio a livello singolo o nel controller di dominio padre eseguire i due comandi seguenti, mantenendo le virgolette:

dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:WP;userCertificate"
dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:RP;userCertificate"

Dove dc=<your domain,dc>=<com> è il nome distinto (DN) del dominio figlio. Dove <il dominio> della CA è il nome di dominio che si trova la CA.

Stato

Microsoft ha confermato che si tratta di un problema in Windows Server.

Ulteriori informazioni

Quando un utente di un dominio figlio non riesce a eseguire la registrazione, viene generato l'errore seguente nel registro eventi dell'applicazione CA:

Tipo evento: Avviso
Origine evento: CertSvc
Categoria di eventi: Nessuna
ID evento: 53
Data: 14/08/2000
Ora: 05:13:00
Utente: N/D
Computer: <nome CA radice>
Descrizione:
Richiesta di richiesta <negata di Servizi certificati #> perché l'accesso è negato.
0x80070005 (WIN32: 5). La richiesta era per (Oggetto sconosciuto). Informazioni aggiuntive: Negato dal modulo criteri

Se gli elenchi di controllo di accesso sono impostati in modo che l'utente possa registrarsi, ma la CA non dispone delle autorizzazioni per la pubblicazione in Active Directory dell'utente, viene generato l'errore seguente nel registro eventi dell'applicazione ca:

Tipo evento: Errore
Origine evento: CertSvc
Categoria di eventi: Nessuna
ID evento: 46
Data: 14/08/2000
Ora: 05:13:00
Utente: N/D
Computer: <nome CA radice>
Descrizione:
Il metodo "Enterprise and Stand-alone Exit Module" Exit Module "Notify" ha restituito un errore. Accesso negato. Il codice di stato restituito è 0x80070005 (5). L'Autorità di certificazione non è riuscita a pubblicare il certificato per Child\User nel servizio directory. Accesso negato.
(0x80070005)