신뢰할 수 있는 도메인의 Active Directory에 인증서를 게시하는 인증 기관 구성

  • 아티클

이 문서에서는 CA(인증 기관)로 자식 도메인의 사용자가 인증서를 요청할 때 발급된 인증서가 Active Directory에 게시되지 않는 문제를 해결합니다.

적용 대상: 지원되는 모든 버전의 Windows Server
원래 KB 번호: 281271

증상

다음 시나리오에서는 CA와 동일한 도메인의 사용자가 인증서를 요청하는 경우 발급된 인증서가 Active Directory에 게시됩니다. 사용자가 자식 도메인에 있는 경우 이 프로세스는 성공하지 못합니다. 또한 CA와 동일한 도메인의 사용자가 인증서를 요청하면 발급된 인증서가 Active Directory에 게시되지 않을 수 있습니다.

시나리오 1

이 시나리오에서 CA는 다음 조건이 충족될 때 발급된 인증서를 자식 도메인의 사용자 DS 개체에 게시하지 않습니다.

  • 사용자는 부모 및 자식 도메인이 있는 2단계 도메인 계층 구조에 있습니다.
  • 엔터프라이즈 CA는 부모 도메인에 있으며 사용자는 자식 도메인에 있습니다.
  • 자식 도메인의 사용자가 부모 CA에 등록합니다.

부모 및 자식 도메인이 있는 2단계 도메인 계층 구조에서 엔터프라이즈 CA는 부모 도메인에 있습니다. 그리고 사용자는 자식 도메인에 있습니다. 자식 도메인의 사용자는 부모 CA에 등록하고 CA는 발급된 인증서를 자식 도메인의 사용자 DS 개체에 게시합니다.

또한 다음 이벤트는 CA 서버에 기록됩니다.

로그 이름: 애플리케이션
출처: Microsoft-Windows-CertificationAuthority
이벤트 ID: 80
작업 범주: 없음
수준: 경고
키워드:
사용자: SYSTEM
컴퓨터: CA.CONTOSO.COM
설명:
Active Directory 인증서 서비스에서 요청용 인증서를 서버 DC.CHILD.CONTOSO.COM 위치인 CN=CHILDSRV,CN=Computers,DC=CHILD,DC=CONTOSO,DC=COM에 게시할 수 없습니다. 작업을 수행할 수 있는 액세스 권한이 부족합니다. 0x80072098(WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: 00002098: SecErr: DSID-XXXXXXXX, 문제 4003(INSUFF_ACCESS_RIGHTS), 데이터 0

시나리오 2

다음과 같은 경우를 생각해볼 수 있습니다.

  • 사용자가 단일 수준 도메인 또는 부모 도메인에 있습니다.
  • 엔터프라이즈 CA는 부모 도메인에 있습니다.
  • 도메인 컨트롤러에는 핫픽스 327825 설치되어 있지 않습니다.
  • 사용자는 단일 수준 또는 부모 도메인에서 단일 수준 인증 기관 또는 부모 인증 기관에 등록합니다.

이 시나리오에서 인증 기관은 발급된 인증서를 단일 수준 도메인 또는 부모 도메인의 사용자 도메인 서버 개체에 게시하지 않습니다.

원인

  • 시나리오 1의 경우: 2단계 도메인 계층 구조

    자식 도메인의 사용자에게 등록할 적절한 권한이 없습니다. 이렇게 해도 CA에는 Active Directory에 인증서를 게시할 수 있는 액세스 권한이 없습니다.

    기본적으로 CA와 동일한 도메인의 도메인 사용자만 등록 권한이 있습니다.

    기본적으로 CA는 도메인 내의 사용자에게 다음과 같은 필요한 권한을 부여합니다.

    • 을 읽습니다 userCertificate.

    • 을 작성합니다 userCertificate.

      부모 도메인의 CA에는 자식 도메인의 userCertificate 사용자에 대한 속성에 대한 권한이 없습니다.

  • 시나리오 2의 경우: 단일 수준 도메인 또는 부모 도메인

    기본적으로 Windows에서 AdminSDHolder 개체는 Cert Publishers 그룹에 AdminSDHolder 프로세스에서 다루는 사용자 계정에 필요한 권한을 부여하지 않습니다. 다음 목록에는 Windows의 보호된 사용자 계정 그룹이 포함되어 있습니다.

    • Enterprise Admins

    • Schema Admins

    • Domain Admins

    • 관리자

      핫픽스 KB327825 적용한 후 Windows의 다음 사용자 계정 그룹 목록은 이제 보호되는 사용자 계정 그룹입니다.

    • 관리자

    • 계정 연산자

    • 서버 연산자

    • 인쇄 연산자

    • 백업 연산자

    • Domain Admins

    • Schema Admins

    • Enterprise Admins

    • 인증서 게시자

해결 방법

시나리오에 따라 다음 해결 방법을 시도해 보세요.

시나리오 1의 경우: 2단계 도메인 계층 구조

자식 도메인 사용자가 인증서를 가져와 Active Directory에 게시할 수 있도록 하려면 다음 단계를 수행합니다.

  1. 등록 요청을 허용하도록 CA 템플릿에 대한 권한을 설정합니다. CA가 인증서를 게시할 수 있도록 사용자 개체 권한을 설정합니다. AdminSDHolder를 변경하여 관리자인 사용자에게 사용자 개체 권한을 푸시합니다.

  2. CA가 인증서를 게시할 수 있도록 사용자 개체 권한을 설정합니다. AdminSDHolder를 변경하여 관리자인 사용자에게 사용자 개체 권한을 푸시합니다.

  3. AdminSDHolder를 변경하여 관리자인 사용자에게 사용자 개체 권한을 푸시합니다.

참고

먼저 Windows Professional 또는 Windows Server CD-ROM에서 지원 도구를 설치해야 합니다.

자식 도메인 사용자가 인증서를 가져와 Active Directory에 게시하도록 설정

  1. 자식 도메인의 사용자가 인증서를 요청할 수 있도록 CA에 대한 권한을 설정합니다. 기본적으로 제자리에 있어야 합니다.

    1. 인증 기관 스냅인을 열고 CA를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    2. 보안 탭에서 인증된 사용자 그룹이 인증서를 요청할 수 있는지 확인합니다.

  2. 자식 도메인의 사용자가 등록할 수 있도록 해당 인증서 템플릿에 대한 권한을 설정합니다.

    참고

    도메인 관리자 권한이 있는 루트 도메인에 로그온해야 합니다.

    1. Active Directory 사이트 및 서비스 스냅인을 엽니다.
    2. 보기를 선택한 다음 서비스 노드 표시를 선택합니다.
    3. 서비스 노드 폴더를 확장하고 공개 키 서비스를 확장한 다음 인증서 템플릿을 선택합니다.
    4. 세부 정보 창에서 원하는 템플릿 또는 템플릿을 선택합니다. 예를 들어 사용자 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    5. 보안 탭에서 인증된 사용자와 같은 원하는 그룹에 등록 권한을 부여합니다.

  3. 인증서를 Active Directory에 게시하도록 CA 종료 모듈을 구성합니다.

    1. 인증 기관 스냅인에서 CA를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    2. 종료 모듈 탭에서 구성을 선택합니다.
    3. 종료 모듈의 속성에서 Active Directory 상자에 인증서를 게시할 수 있도록 허용 상자를 선택합니다.

    자식 도메인 컨트롤러에서:

    참고

    Windows Server 도메인에서 인증서 게시자 그룹은 도메인 전역 그룹입니다. 인증서 게시자 그룹을 각 자식 도메인에 수동으로 추가해야 합니다.

    자식 도메인 사용자가 인증서를 가져오고 Windows Server 도메인에 게시하도록 설정할 수 있습니다. 이렇게 하려면 그룹 유형을 도메인 로컬로 변경하고 부모 도메인의 CA 서버를 포함합니다. 이 절차는 새로 설치된 Windows Server 도메인에 있는 것과 동일한 구성을 만듭니다. UI(사용자 인터페이스)를 사용하면 그룹 유형을 변경할 수 없습니다. 그러나 명령을 사용하여 dsmod Cert Publishers 그룹을 Domain Global 그룹에서 도메인 로컬 그룹으로 변경할 수 있습니다.

    dsmod group Group Distinguished Name -scope l

    경우에 따라 groupType을 전역에서 도메인 로컬 그룹으로 직접 변경할 수 없습니다. 이 경우 전역 그룹을 유니버설 그룹으로 변경하고 유니버설 그룹을 도메인 로컬 그룹으로 변경해야 합니다. 제거하려면 다음 단계를 수행합니다.

    1. 다음 명령을 입력한 다음 Enter 키를 누릅니다.

      dsmod group Group Distinguished Name -scope u

      이 명령은 전역 그룹을 범용 그룹으로 변경합니다.

    2. 다음 명령을 입력한 다음 Enter 키를 누릅니다.

      dsmod group Group Distinguished Name -scope l

      이 명령은 범용 그룹을 도메인 로컬 그룹으로 변경합니다.

시나리오 2의 경우: 단일 수준 도메인 또는 부모 도메인

단일 수준 도메인 컨트롤러 또는 부모 도메인 컨트롤러에서 다음 두 명령을 실행하여 따옴표를 유지합니다.

dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:WP;userCertificate"
dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:RP;userCertificate"

여기서 dc=<your domain,dc>=<com> 은 자식 도메인의 고유 이름(DN)입니다. 여기서 <CA의 도메인> 은 CA가 있는 도메인 이름입니다.

상태

Microsoft는 Windows Server의 문제임을 확인했습니다.

추가 정보

자식 도메인의 사용자가 등록에 성공하지 못하면 CA 애플리케이션 이벤트 로그에 다음 오류가 생성됩니다.

이벤트 유형: 경고
이벤트 원본: CertSvc
이벤트 범주: 없음
이벤트 ID: 53
날짜: 2000/08/14
시간: 05:13:00
사용자: 해당/A
컴퓨터: <루트 CA 이름>
설명:
Access가 거부되어 인증서 서비스에서 요청 <요청 #> 을 거부했습니다.
0x80070005(WIN32: 5). 요청은 (알 수 없는 주체)에 대한 것이었습니다. 추가 정보: 정책 모듈에서 거부됨

사용자가 등록할 수 있도록 ACL을 설정했지만 CA에 사용자의 Active Directory에 게시할 권한이 없는 경우 CA 애플리케이션 이벤트 로그에 다음 오류가 생성됩니다.

이벤트 유형: 오류
이벤트 원본: CertSvc
이벤트 범주: 없음
이벤트 ID: 46
날짜: 2000/08/14
시간: 05:13:00
사용자: 해당/A
컴퓨터: <루트 CA 이름>
설명:
"엔터프라이즈 및 독립 실행형 종료 모듈" 종료 모듈 "알림" 메서드가 오류를 반환했습니다. 액세스가 거부되었습니다. 반환된 상태 코드는 0x80070005(5)입니다. 인증 기관에서 Child\User에 대한 인증서를 디렉터리 서비스에 게시할 수 없습니다. 액세스가 거부되었습니다.
(0x80070005)