Chybová zpráva při klientského počítače požaduje certifikát z počítače se systémem Windows Server 2003 s aktualizací Service Pack 1: "Průvodce nelze spustit z důvodu jeden nebo více následujících podmínek"

Překlady článku Překlady článku
ID článku: 927066 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Povoleno Certifikační službu na Microsoft Windows Server 2003 Service Pack 1 (SP1) - systémem počítače. Pokud použijete konzolu Certifikáty v klientském počítači žádosti o certifikát, zobrazí se následující chybová zpráva:
Průvodce nelze spustit z důvodu jeden nebo více následujících podmínek:
-Neexistují žádné důvěryhodné certifikační úřady (CÚ) k dispozici.
-Nemáte oprávnění k žádosti o certifikáty ze dostupné CÚ.
-Dostupné CÚ vystavovat certifikáty, pro které nemáte oprávnění.
Navíc v aplikace jsou zaznamenány události přihlášení k serveru, který je hostitelem certifikačního úřadu (CÚ). Tyto události vypadat takto:

Typ události: upozornění
Zdroj události: CertSvc
Kategorie události: žádný
ID události: 53
Datum: datum
Čas: čas
Uživatel: N/A
Počítač: ServerName
Popis: Certifikační služby odepřen požadavek 5, protože požadovaný certifikát šablony není podporován tímto CÚ. 0x80094800 (-2146875392). Další informace: odepřen modul zásad 0x80094800. Požadavek byl pro šablonu certifikátu, který není podporován zásadami Certifikační služby: SubCA.

Typ události: Chyba
Zdroj události: CertSvc
Kategorie události: žádný
ID události: 21
Datum: datum
Čas: čas
Uživatel: N/A
Počítač: ServerName
Popis: Certifikační služby nemohl zpracovat požadavek 5 kvůli chybě: aktuální stav jeho požadavek neumožňuje tuto operaci. 0x80094003 (-2146877437)

Pokud povolíte automatický zápis certifikátů v doméně, klientské počítače nemohou získat certifikáty automaticky. Dále je zaznamenána událost podobná následující v aplikace protokolu:

Typ události: Chyba
Zdroj události: Automatický zápis
Kategorie události: žádný
ID události: 13
Datum: datum
Čas: čas
Uživatel: N/A
ComputerName počítač:
POPIS:

Příčina

Windows Server 2003 SP1 zavádí některé vylepšené výchozí nastavení zabezpečení pro protokol DCOM. Konkrétně aktualizace Windows Server 2003 SP1 zavádí práva udělit správce nezávislých kontrolu nad místní a vzdálené oprávnění pro následující úkoly:
  • Počáteční servery Component Object Model (COM)
  • Aktivace nastavení serveru COM
  • Přístup k COM servery
Proces instalace systému Windows Server 2003 SP1 vytvoří novou skupinu zabezpečení CERTSVC_DCOM_ACCESS. Po instalaci systému Windows Server 2003 SP1 této nové skupiny zabezpečení by měl mít příslušné oprávnění DCOM přístup a spuštění DCOM a aktivační oprávnění. Ve výchozím globální skupinu Domain Users a globální skupinu Domain Computers nacházejí ve skupině CERTSVC_DCOM_ACCESS. Pokud certifikační služba je spuštěna na řadiči domény, skupina CERTSVC_DCOM_ACCESS vytvořena jako místní skupina domény. Skupina Enterprise Domain Controllers navíc by měl být členem skupiny CERTSVC_DCOM_ACCESS. K tomuto problému dochází, pokud členství skupiny CERTSVC_DCOM_ACCESS je nesprávně nakonfigurován.

Řešení

Při řešení těchto potíží postupujte takto:
  1. Ověřte, zda existuje CERTSVC_DCOM_ACCESS skupiny v doméně, která je hostitelem certifikačního úřadu. Tato skupina je v CN = Uživatelé kontejneru. Postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte dsa.msc a klepněte na tlačítko OK.
    2. V levém podokně klepněte na tlačítko Uživatelé kontejneru.
    3. Ověřte, zda CERTSVC_DCOM_ACCESS skupina je v pravém podokně. Pokud skupiny CERTSVC_DCOM_ACCESS není v pravém podokně, přejděte ke kroku 4.
  2. Ověřte skupiny CERTSVC_DCOM_ACCESS zahrnuje následující člena skupiny:
    • Domain Users
    • Domain Computers
    Pokud tyto skupiny členů ve skupině CERTSVC_DCOM_ACCESS neexistuje, přejděte ke kroku 4.

    Poznámka:Pokud uživatelé nebo počítače v jiných doménách nutné zapsat proti certifikačního úřadu, musíte také přidat tyto uživatele a počítače do skupiny CERTSVC_DCOM_ACCESS. Pokud aktuální problému dochází v řadiči domény, musíte také přidat skupině Enterprise Domain Controllers skupiny CERTSVC_DCOM_ACCESS. Ve výchozím řadiče domény nejsou členy globální skupiny Domain Computers. Proto řadičů domény nemáte dostatečná oprávnění DCOM.
  3. Ověřte, zda má skupina CERTSVC_DCOM_ACCESS příslušné oprávnění DCOM přístup a oprávnění DCOM spuštění a aktivace v počítači, který je hostitelem certifikačního úřadu.
    1. Klepněte na tlačítko Start, přejděte do programu, přejděte na položku Nástroje pro správu a potom klepněte na položku Služba komponent.
    2. Rozbalte položku Služby komponent uzlu.
    3. Rozbalení uzlu počítače.
    4. Klepněte pravým tlačítkem na uzel Tento počítač a potom klepněte na příkaz Vlastnosti.
    5. Klepněte na kartu Zabezpečení COM
    6. Ve skupinovém rámečku Oprávnění přístupu klepněte na tlačítko Upravit omezení.
    7. Ověřte, zda má skupina CERTSVC_DCOM_ACCESS oprávnění Povolit místní přístup a Povolit vzdálený přístup a potom klepněte na tlačítko Storno.
    8. Ve skupinovém rámečku spouštěcí a aktivační oprávnění, klepněte na tlačítko Upravit omezení.
    9. Ověřte, zda má skupina CERTSVC_DCOM_ACCESS oprávnění Povolit místní aktivaci a Povolit vzdálené aktivaci a potom klepněte na tlačítko Storno.
    10. Klepněte na tlačítko Storno a potom zavřete konzolu Služby komponent.
  4. Nastavení může být nesprávné, pokud platí některá z následujících podmínek:
    • Skupina CERTSVC_DCOM_ACCESS neexistuje.
    • Výchozí členství skupiny CERTSVC_DCOM_ACCESS je nesprávná.
    • Skupina CERTSVC_DCOM_ACCESS nemá správná oprávnění.
    Pokud jedno nastavení je nesprávné, spusťte následující příkazy příkazového řádku. Každý příkaz potvrďte stisknutím klávesy ENTER.
    certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
  5. Opakujte kroky 1 až 3 ověřte správnost všech nastavení.

    Poznámka:Změny ovlivní členství serveru certifikačního úřadu, musíte restartovat server změny projevily.

Další informace

Další informace o způsobu změny nastavení zabezpečení DCOM Windows Server 2003 Service Pack 1 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
903220Popis změn nastavení zabezpečení DCOM po instalaci Windows Server 2003 Service Pack 1

Vlastnosti

ID článku: 927066 - Poslední aktualizace: 11. října 2007 - Revize: 1.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003 Service Pack 1 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Klíčová slova: 
kbmt kbtshoot kbprb KB927066 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:927066

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com