Fehlermeldung, wenn ein Clientcomputer von einem Computer ein Zertifikat anfordert, auf dem Windows Server 2003 mit Service Pack 1 ausgeführt wird: "der Assistent konnte nicht gestartet werden, da eines oder mehrerer der folgenden Bedingungen"

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 927066 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Die Zertifikatdienste auf einem Microsoft Windows Server 2003 Service Pack 1 (SP1) aktiviert haben - basierten Computer. Wenn Sie die Konsole Zertifikate zum Anfordern eines Zertifikats auf einem Clientcomputer verwenden, wird sinngemäß folgende Fehlermeldung:
Der Assistent kann nicht gestartet werden, da eines oder mehrerer der folgenden Bedingungen werden:
-Es gibt keine vertrauenswürdigen Zertifizierungsstellen (CAs) verfügbar.
-Sie verfügen nicht die Berechtigungen zum Anfordern von Zertifikaten von den verfügbaren Zertifizierungsstellen.
-Die verfügbaren Zertifizierungsstellen stellen Zertifikate für die Sie keinen Berechtigungen.
Darüber hinaus werden Ereignisse im Anwendungsprotokoll protokolliert der Server mit die Zertifizierungsstelle (CA) anmelden. Diese Ereignisse ähneln die folgenden:

Ereignistyp: Warnung
Ereignis Quelle: CertSvc
Ereigniskategorie: Keine
Ereignis-ID: 53
Datum: Datum
Uhrzeit: Zeit
Benutzer: NV
Computer: ServerName
Beschreibung: Dienst verweigert Anforderung 5, da das angeforderte Zertifikat Vorlage von dieser ZERTIFIZIERUNGSSTELLE. 0x80094800 (-2146875392) nicht unterstützt wird. Weitere Informationen: verweigert vom Richtlinienmodul 0x80094800. Die Anforderung war für ein Zertifikat Vorlage, die durch die Certificate Services-Richtlinie nicht unterstützt wird: SubCA.

Ereignistyp: Fehler
Ereignis Quelle: CertSvc
Ereigniskategorie: Keine
Ereignis-ID: 21
Datum: Datum
Uhrzeit: Zeit
Benutzer: NV
Computer: ServerName
Beschreibung: Dienst konnte die Anforderung 5 aufgrund von Fehler nicht verarbeiten: aktuelle Status der Anforderung lässt diesen Vorgang nicht. 0x80094003 (-2146877437).

Wenn Sie die automatische Registrierung von Zertifikaten in der Domäne aktivieren, können nicht auf Clientcomputern Zertifikate automatisch abgerufen werden. Außerdem wird ein Ereignis etwa die folgenden Art im Anwendungsprotokoll protokolliert Protokoll:

Ereignistyp: Fehler
Ereignisquelle: automatische Registrierung
Ereigniskategorie: Keine
Ereignis-ID: 13
Datum: Datum
Uhrzeit: Zeit
Benutzer: NV
Computer: ComputerName
Beschreibung:

Ursache

Windows Server 2003 SP1 führt einige erweiterte Standardsicherheitseinstellungen für DCOM-Protokoll. Insbesondere führt Windows Server 2003 SP1 Rechte ein, die einem Administrator unabhängige Kontrolle über lokale und Remote Berechtigungen für die folgenden Aufgaben:
  • Starten von COM-Servern
  • Aktivieren von com-Server-Einstellungen
  • Zugreifen auf COM-Servern
Der Vorgang der Windows Server 2003 SP1-Installation erstellt eine neue Sicherheitsgruppe. Nach der Installation von Windows Server 2003 SP1 müsste dieser neuen Sicherheitsgruppe entsprechende DCOM Access Berechtigungen und DCOM-Start und Aktivierung Berechtigungen. Standardmäßig befinden sich in der Gruppe "CERTSVC_DCOM_ACCESS" der globalen Gruppe Domänen-Benutzer und der Domänencomputer globalen Gruppe. Wenn die Zertifikatdienste auf einem Domänencontroller ausgeführt wird, wird der Gruppe "CERTSVC_DCOM_ACCESS" als eine lokale Domänengruppe erstellt. Darüber hinaus sollte die Gruppe Unternehmensdomänencontroller Mitglied der Gruppe "CERTSVC_DCOM_ACCESS" sein. Dieses Problem tritt auf Wenn die Mitgliedschaft der Gruppe "CERTSVC_DCOM_ACCESS" falsch konfiguriert ist.

Lösung

Gehen Sie folgendermaßen vor um das Problem zu beheben:
  1. Überprüfen Sie, ob der Gruppe "CERTSVC_DCOM_ACCESS" in der Domäne vorhanden ist, die die Zertifizierungsstelle hostet. Diese Gruppe ist der CN = Benutzer Container. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie dsa.msc ein und klicken Sie dann auf OK .
    2. Klicken Sie im linken Bereich auf die Benutzer -Container.
    3. Stellen Sie sicher, dass die CERTSVC_DCOM_ACCESS Gruppe ist im rechten Fensterbereich. Wenn die Gruppe "CERTSVC_DCOM_ACCESS" nicht im rechten Bereich ist, gehen Sie zu Schritt 4.
  2. Überprüfen Sie, dass der Gruppe "CERTSVC_DCOM_ACCESS" die folgenden Elementgruppen enthält:
    • Domänenbenutzer
    • Domäne-Computer
    Wenn diese Elementgruppen nicht in der Gruppe "CERTSVC_DCOM_ACCESS" vorhanden sind, gehen Sie zu Schritt 4.

    Hinweis: Wenn Benutzer oder Computer in anderen Domänen für die Zertifizierungsstelle zu registrieren müssen, müssen Sie auch die Benutzer und Computer der Gruppe "CERTSVC_DCOM_ACCESS" hinzufügen. Wenn das aktuelle Problem auf einem Domänencontroller auftritt, müssen Sie auch die Gruppe Unternehmensdomänencontroller der Gruppe "CERTSVC_DCOM_ACCESS" hinzufügen. Standardmäßig sind Domänencontroller nicht Mitglieder der globalen Gruppe Domänencomputer. Domänencontroller müssen daher nicht ausreichend DCOM-Berechtigungen.
  3. Überprüfen Sie, ob der Gruppe "CERTSVC_DCOM_ACCESS" die entsprechenden DCOM Access Berechtigungen und Berechtigungen DCOM Launch und Aktivierung auf dem Computer verfügt, die die Zertifizierungsstelle hostet.
    1. Klicken Sie auf Start , zeigen auf Programme , zeigen Sie auf Verwaltung , und klicken Sie dann auf Komponentendienste .
    2. Erweitern Sie Komponentendienste Knoten.
    3. Erweitern Sie den Knoten Computer .
    4. Klicken Sie mit der rechten Maustaste auf den Knoten Arbeitsplatz , und klicken Sie dann auf Eigenschaften .
    5. Klicken Sie auf die Registerkarte COM-Sicherheit .
    6. Klicken Sie unter Zugriffsberechtigungen auf Limits bearbeiten .
    7. Stellen Sie sicher, dass der Gruppe "CERTSVC_DCOM_ACCESS" Allow Local Access und Allow Remote Access Berechtigungen ist, und klicken Sie auf Abbrechen .
    8. Unter Start und Aktivierung Berechtigungen , klicken Sie auf Limits bearbeiten .
    9. Stellen Sie sicher, dass der Gruppe "CERTSVC_DCOM_ACCESS" Allow Local Activation und Allow Remote Activation Berechtigungen ist, und klicken Sie auf Abbrechen .
    10. Klicken Sie auf Abbrechen , und schließen Sie die Komponentendienste -Konsole.
  4. Einstellungen möglicherweise falsch, wenn eine der folgenden Bedingungen erfüllt ist:
    • Der Gruppe "CERTSVC_DCOM_ACCESS" ist nicht vorhanden.
    • Die Mitgliedschaft standardmäßig in der der Gruppe "CERTSVC_DCOM_ACCESS" ist falsch.
    • Der Gruppe "CERTSVC_DCOM_ACCESS" hat keinen korrekten Berechtigungen.
    Wenn alle eine Einstellung falsch ist, führen Sie die folgenden Befehle an einer Eingabeaufforderung. Drücken Sie nach jedem Befehl die [EINGABETASTE].
    Certutil - Setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    Net Stop certsvc
    Net start Certsvc
  5. Wiederholen Sie die Schritte 1 bis 3 Stellen Sie sicher, dass alle Einstellungen korrekt sind.

    Hinweis: Wenn die Änderungen die Gruppenmitgliedschaft den Server der Zertifizierungsstelle auswirken, müssen Sie den Server für die Änderungen wirksam werden neu starten.

Weitere Informationen

Informationen dazu, wie Windows Server 2003 Service Pack 1 für die DCOM-Sicherheitseinstellungen ändert finden Sie im folgenden Artikel der Microsoft Knowledge Base:
903220Beschreibung der Änderungen an DCOM-Sicherheitseinstellungen nach der Installation von Windows Server 2003 Service Pack 1

Eigenschaften

Artikel-ID: 927066 - Geändert am: Donnerstag, 11. Oktober 2007 - Version: 1.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003 Service Pack 1, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Keywords: 
kbmt kbtshoot kbprb KB927066 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 927066
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com