Güvenilen etki alanının Active Directory'sinde sertifika yayımlamak için Sertifika Yetkilisi yapılandırması

  • Makale

Bu makale, bir alt etki alanından sertifika yetkilisi (CA) olarak kullanıcılar sertifika istediğinde verilen sertifikanın Active Directory'de yayımlanmama sorununu çözer.

Şunlar için geçerlidir: Windows Server'ın desteklenen tüm sürümleri
Özgün KB numarası: 281271

Belirtiler

Aşağıdaki senaryolarda, CA ile aynı etki alanından bir kullanıcı sertifika isterse, verilen sertifika Active Directory'de yayımlanır. Kullanıcı bir alt etki alanından geliyorsa, bu işlem başarılı olmaz. Ayrıca, CA ile aynı etki alanından kullanıcılar sertifika istediğinde, verilen sertifika Active Directory'de yayımlanmayabilir.

Senaryo 1

Bu senaryoda CA, aşağıdaki koşullar doğru olduğunda alt etki alanındaki kullanıcının DS nesnesine verilen sertifikaları yayımlamaz:

  • Kullanıcı, üst ve alt etki alanı içeren iki düzeyli bir etki alanı hiyerarşisindedir.
  • Kurumsal CA üst etki alanında, kullanıcı ise alt etki alanında yer alır.
  • Alt etki alanındaki kullanıcı üst CA'ya kaydedilir.

Üst ve alt etki alanı içeren iki düzeyli bir etki alanı hiyerarşisinde, Kurumsal CA üst etki alanında bulunur. Kullanıcılar alt etki alanındadır. Alt etki alanındaki kullanıcılar üst CA'ya kaydoldu ve CA, verilen sertifikaları alt etki alanındaki kullanıcının DS nesnesine yayımlar.

Ayrıca, CA sunucusunda aşağıdaki olay günlüğe kaydedilir:

Günlük Adı: Uygulama
Kaynak: Microsoft-Windows-CertificationAuthority
Olay Kimliği: 80
Görev Kategorisi: Yok
Düzey: Uyarı
Anahtar kelime -ler:
Kullanıcı: SYSTEM
Bilgisayar: CA.CONTOSO.COM
Açıklama:
Active Directory Sertifika Hizmetleri, XXX isteği için sunucu DC.CHILD.CONTOSO.COM şu konuma sertifika yayımlayamadı: CN=CHILDSRV,CN=Bilgisayarlar,DC=CHILD,DC=CONTOSO,DC=COM. İşlemi gerçekleştirmek için yetersiz erişim hakları. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: 00002098: SecErr: DSID-XXXXXXXXX, sorun 4003 (INSUFF_ACCESS_RIGHTS), veri 0

Senaryo 2

Aşağıdaki senaryoyu inceleyin:

  • Kullanıcı tek düzeyli bir etki alanında veya üst etki alanındadır.
  • Kurumsal CA üst etki alanında bulunur.
  • Etki alanı denetleyicilerinde düzeltme 327825 yüklü değildir.
  • Kullanıcı, tek düzeyli veya üst etki alanında, tek düzeyli sertifika yetkilisine veya üst sertifika yetkilisine kaydedilir.

Bu senaryoda, sertifika yetkilisi verilen sertifikaları tek düzeyli etki alanında veya üst etki alanında kullanıcının etki alanı sunucusu nesnesine yayımlamaz.

Neden

  • Senaryo 1 için: iki düzeyli etki alanı hiyerarşisi

    Alt etki alanındaki kullanıcıların kaydolmak için uygun izinleri yoktur. Bunu yaptıklarında bile, CA'nın sertifikayı Active Directory'de yayımlamak için erişim izinleri yoktur.

    Varsayılan olarak, yalnızca CA ile aynı etki alanındaki etki alanı kullanıcılarının kayıt izinleri vardır.

    Ca varsayılan olarak, etki alanı içindeki kullanıcılara aşağıdaki gerekli izinlere sahiptir:

    • öğesini okuyun userCertificate.

    • yazın userCertificate.

      Üst etki alanındaki CA'nın alt etki alanındaki kullanıcılar üzerinde özelliği üzerinde userCertificate izinleri yok.

  • Senaryo 2 için: tek düzeyli etki alanı veya üst etki alanı

    Varsayılan olarak, Windows'da AdminSDHolder nesnesi Cert Publishers grubuna AdminSDHolder işleminin kapsamındaki kullanıcı hesapları için gerekli izinleri vermez. Aşağıdaki liste, Windows'daki korumalı kullanıcı hesabı gruplarını içerir:

    • Enterprise Admins

    • Schema Admins

    • Domain Admins

    • Yöneticiler

      Düzeltme KB327825 uyguladıktan sonra, Windows'taki aşağıdaki kullanıcı hesabı grupları listesi artık korumalı kullanıcı hesabı gruplarıdır:

    • Yöneticiler

    • Hesap İşleçleri

    • Sunucu İşleçleri

    • Yazdırma İşleçleri

    • Yedekleme İşleçleri

    • Domain Admins

    • Schema Admins

    • Enterprise Admins

    • Sertifika Yayımcıları

Çözüm

Senaryonuza göre aşağıdaki çözümü deneyin.

Senaryo 1 için: iki düzeyli etki alanı hiyerarşisi

Alt etki alanı kullanıcılarının sertifikaları almasını ve Active Directory'de yayımlanmasını sağlamak için şu adımları izleyin:

  1. Kayıt isteklerine izin vermek için CA şablonundaki izinleri ayarlayın. CA'nın sertifikayı yayımlamasına izin vermek için kullanıcı nesnesi izinlerini ayarlayın. Yönetici olan kullanıcılara kullanıcı nesnesi izinlerini göndermek için AdminSDHolder'ı değiştirin.

  2. CA'nın sertifikayı yayımlamasına izin vermek için kullanıcı nesnesi izinlerini ayarlayın. Yönetici olan kullanıcılara kullanıcı nesnesi izinlerini göndermek için AdminSDHolder'ı değiştirin.

  3. Yönetici olan kullanıcılara kullanıcı nesnesi izinlerini göndermek için AdminSDHolder'ı değiştirin.

Not

Önce Windows Professional veya Windows Server CD-ROM'dan Destek Araçları'nı yüklemeniz gerekir.

Alt etki alanı kullanıcılarının sertifikaları almasını ve Active Directory'de yayımlanmasını sağlama

  1. Alt etki alanındaki kullanıcıların sertifika istemesine izin vermek için CA üzerindeki izinleri ayarlayın. Varsayılan olarak, yerinde olmalıdır.

    1. Sertifika Yetkilisi ek bileşenini açın, CA'ya sağ tıklayın ve özellikler'i seçin.
    2. Güvenlik sekmesinde, Kimliği Doğrulanmış Kullanıcılar grubunun sertifika istemesine izin verildiğinden emin olun.

  2. Alt etki alanındaki kullanıcıların kaydolmasına izin vermek için geçerli sertifika şablonlarında izinleri ayarlayın.

    Not

    Kök etki alanında etki alanı yöneticisi haklarıyla oturum açmış olmanız gerekir.

    1. Active Directory Siteleri ve Hizmetleri ek bileşenini açın.
    2. Görünüm'ü ve ardından Hizmetler Düğümünü Göster'i seçin.
    3. Hizmetler Düğümü klasörünü genişletin, Ortak Anahtar Hizmetleri'ni genişletin ve ardından Sertifika Şablonları'nı seçin.
    4. Ayrıntılar bölmesinde istediğiniz şablonu veya şablonları seçin. Örneğin, Kullanıcı sertifikası şablonuna sağ tıklayın ve özellikler'i seçin.
    5. Güvenlik sekmesinde, istenen gruba, Örneğin Kimliği Doğrulanmış Kullanıcılar'a kayıt izinleri verin.

  3. CA Çıkış Modülünü, Sertifikaları Active Directory'ye yayımlayacak şekilde yapılandırın.

    1. Sertifika Yetkilisi ek bileşeninde CA'ya sağ tıklayın ve özellikler'i seçin.
    2. Modülden Çık sekmesinde Yapılandır'ı seçin.
    3. Çıkış Modülü özelliklerinde , Active Directory'de sertifikaların yayımlanmasına izin ver kutusunu seçin.

    Alt etki alanı denetleyicisinde:

    Not

    Windows Server etki alanlarında, Cert Publishers grubu bir Etki Alanı Genel grubudur. Her alt etki alanına Cert Publishers grubunu el ile eklemeniz gerekir.

    Alt etki alanı kullanıcılarının sertifikaları almasını ve Windows Server etki alanlarında yayımlanmalarını sağlayabilirsiniz. Bunu yapmak için grup türünü Etki Alanı Yerel olarak değiştirin ve üst etki alanından CA sunucusunu ekleyin. Bu yordam, yeni yüklenmiş bir Windows Server etki alanında bulunan yapılandırmanın aynısını oluşturur. Kullanıcı arabirimi (UI), grup türünü değiştirmenize izin vermez. Ancak, Cert Publishers grubunu Bir Etki Alanı Genel grubundan Etki Alanı Yerel grubuna değiştirmek için komutunu kullanabilirsiniz dsmod :

    dsmod group Group Distinguished Name -scope l

    Bazı durumlarda groupType'ı doğrudan genelden etki alanı yerel grubuna değiştiremezsiniz. Bu durumda, genel grubu evrensel bir gruba dönüştürmeniz ve evrensel grubu bir etki alanı yerel grubuna dönüştürmeniz gerekir. Bunu yapmak için şu adımları uygulayın:

    1. Aşağıdaki komutu yazın ve ENTER tuşuna basın:

      dsmod group Group Distinguished Name -scope u

      Bu komut, genel grubu evrensel bir gruba değiştirir.

    2. Aşağıdaki komutu yazın ve ENTER tuşuna basın:

      dsmod group Group Distinguished Name -scope l

      Bu komut evrensel grubu bir etki alanı yerel grubuna değiştirir.

Senaryo 2 için: tek düzeyli etki alanı veya üst etki alanı

Tek düzeyli etki alanı denetleyicisinde veya üst etki alanı denetleyicisinde, tırnak işaretlerini koruyarak aşağıdaki iki komutu çalıştırın:

dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:WP;userCertificate"
dsacls "cn=adminsdholder,cn=system, dc=<your domain>,dc=<com>" /G "<CA's domain> \Cert Publishers:RP;userCertificate"

Burada dc=<etki alanınız,dc=<com> alt etki> alanınızın ayırt edici adıdır (DN). Ca'nın <etki alanı> , CA'nın bulunduğu etki alanı adıdır.

Durum

Microsoft, bunun Windows Server'da bir sorun olduğunu onayladı.

Daha fazla bilgi

Alt etki alanındaki bir kullanıcı kayıtta başarılı olmadığında, CA uygulaması olay günlüğünde aşağıdaki hata oluşturulur:

Olay Türü: Uyarı
Olay Kaynağı: CertSvc
Olay Kategorisi: Yok
Olay Kimliği: 53
Tarih: 14.08.2000
Saat: 05:13:00
Kullanıcı: Yok
Bilgisayar: <Kök CA adı>
Açıklama:
Erişim reddedildiğinden Sertifika Hizmetleri istek <isteğini reddetti #> .
0x80070005 (WIN32: 5). İstek (Bilinmeyen Konu) içindi. Ek bilgi: İlke Modülü Tarafından Reddedildi

ACL'ler kullanıcının kaydedilebilmesi için ayarlandıysa ancak CA'nın kullanıcının Active Directory'sinde yayımlama izinleri yoksa, CA uygulaması olay günlüğünde aşağıdaki hata oluşturulur:

Olay Türü: Hata
Olay Kaynağı: CertSvc
Olay Kategorisi: Yok
Olay Kimliği: 46
Tarih: 14.08.2000
Saat: 05:13:00
Kullanıcı: Yok
Bilgisayar: <Kök CA adı>
Açıklama:
"Kurumsal ve Tek Başına Çıkış Modülü" Çıkış Modülü "Notify" yöntemi bir hata döndürdü. Erişim reddedildi. Döndürülen durum kodu 0x80070005 (5). Sertifika Yetkilisi, Child\User sertifikasını Dizin Hizmeti'ne yayımlayamadı. Erişim reddedildi.
(0x80070005)