Mensaje de error cuando un equipo cliente solicita un certificado desde un equipo que ejecuta Windows Server 2003 con Service Pack 1: "el asistente no se puede iniciar debido de uno o más de las condiciones siguientes"

Seleccione idioma Seleccione idioma
Id. de artículo: 927066 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Ha habilitado el servicio de servicios de Certificate Server en un Microsoft Windows Server 2003 Service Pack 1 (SP1) - basado en equipo. Cuando utilice la consola certificados en un equipo cliente para solicitar un certificado, recibirá el siguiente mensaje de error:
El asistente no se puede iniciar debido de uno o más de las condiciones siguientes:
-Hay no confianza emisoras de certificados (CA) disponibles.
-No tiene los permisos para solicitar certificados de las entidades emisoras disponibles.
-Las entidades emisoras disponibles emitir certificados para que no tienen permisos.
Además, los eventos se registran en la aplicación de registro en el servidor que aloja la entidad emisora de certificados (CA). Estos eventos similar al siguiente:

Tipo de suceso: advertencia
Origen de suceso: CertSvc
Categoría del suceso: ninguna
ID. de suceso: 53
Fecha: fecha
Tiempo: hora
Usuario: N/d
Equipo: ServerName
Descripción: Servicios de Certificate Server denegó la solicitud 5 porque la plantilla de certificado solicitado no es compatible con esta CA. 0x80094800 (-2146875392). Obtener información adicional: denegado por el módulo de directivas 0x80094800. La solicitud es para una plantilla de certificado no es compatible con la directiva Certificate Services: SubCA.

Tipo de suceso: error
Origen de suceso: CertSvc
Categoría del suceso: ninguna
ID. de suceso: 21
Fecha: fecha
Tiempo: hora
Usuario: N/d
Equipo: ServerName
Descripción: Servicios de Certificate Server no podrían procesar la solicitud 5 debido a un error: estado actual de la solicitud no permite esta operación. 0x80094003 (-2146877437).

Si habilita la inscripción automática de certificados en el dominio, los equipos cliente no pueden obtener certificados automáticamente. Además, se graba un evento similar al siguiente en la aplicación de registro:

Tipo de suceso: error
Origen del suceso: inscripción automática
Categoría del suceso: ninguna
ID. de suceso: 13
Fecha: fecha
Tiempo: hora
Usuario: N/d
Equipo: ComputerName
Descripción:

Causa

SP1 de Windows Server 2003 introduce algunas opciones de configuración de seguridad de predeterminadas mejoradas para el protocolo DCOM. Específicamente, Windows Server 2003 SP1 incluye derechos que proporcionan un administrador de control independiente sobre local y remoto permisos para las tareas siguientes:
  • Iniciar servidores del modelo de objetos componentes (COM)
  • Activar la configuración de servidor COM
  • Acceso a COM servidores
El proceso de instalación de Windows Server 2003 SP1, crea un nuevo grupo de seguridad CERTSVC_DCOM_ACCESS. Después de la instalación del Service Pack 1 de Windows Server 2003, este nuevo grupo de seguridad debería tener permisos DCOM Access correspondientes inicio DCOM y permisos de activación. De forma predeterminada, el grupo global usuarios del dominio y el grupo global equipos del dominio residen en el grupo CERTSVC_DCOM_ACCESS. Si el servicio servicios de Certificate Server se está ejecutando en un controlador de dominio, el grupo CERTSVC_DCOM_ACCESS se crea como un grupo local de dominio. Además, el grupo controladores de dominio empresariales debe ser un miembro del grupo CERTSVC_DCOM_ACCESS. Este problema se produce si la pertenencia al grupo CERTSVC_DCOM_ACCESS está configurada incorrectamente.

Solución

Para resolver el problema, siga estos pasos:
  1. Compruebe que el grupo CERTSVC_DCOM_ACCESS existe en el dominio que aloja la entidad emisora de certificados. Este grupo está en la CN = Users contenedor. Para ello, siga estos pasos:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba DSA.msc y, a continuación, haga clic en Aceptar .
    2. En el panel izquierdo, haga clic en los usuarios de contenedor.
    3. Compruebe que la CERTSVC_DCOM_ACCESS grupo está en el panel derecho. Si no está en el panel derecho al grupo CERTSVC_DCOM_ACCESS, vaya al paso 4.
  2. Compruebe que el grupo CERTSVC_DCOM_ACCESS incluye los siguientes grupos de miembros:
    • Usuarios de dominio
    • Equipos del dominio
    Si estos grupos miembro no existen en el grupo CERTSVC_DCOM_ACCESS, vaya al paso 4.

    Nota Si los usuarios o equipos de otros dominios necesita inscribirse con la entidad emisora de certificados, también debe agregar dichos usuarios y equipos al grupo CERTSVC_DCOM_ACCESS. Si se produce el problema actual en un controlador de dominio, también debe agregar el grupo controladores de dominio empresariales al grupo CERTSVC_DCOM_ACCESS. De forma predeterminada, los controladores de dominio no son miembros del grupo global equipos del dominio. Por lo tanto, los controladores de dominio no tienen suficientes permisos de DCOM.
  3. Compruebe que el grupo CERTSVC_DCOM_ACCESS tiene permisos DCOM Launch y la activación de los permisos DCOM Access apropiados en el equipo que aloja la entidad emisora de certificados.
    1. Haga clic en Inicio , señale programas , seleccione Herramientas administrativas y, a continuación, haga clic en Servicios de componentes .
    2. Expanda los Servicios de componentes de nodo.
    3. Expanda el nodo equipos .
    4. Haga clic con el botón secundario en el nodo Mi PC y, a continuación, haga clic en Propiedades .
    5. Haga clic en la ficha Seguridad COM .
    6. En Permisos de acceso , haga clic en Editar límites .
    7. Compruebe que el grupo CERTSVC_DCOM_ACCESS tiene Allow Local Access y Allow Remote Access permisos y, a continuación, haga clic en Cancelar .
    8. Bajo Inicio y activación permisos , haga clic en Editar límites .
    9. Compruebe que el grupo CERTSVC_DCOM_ACCESS tiene Allow Local Activation y Allow Remote Activation permisos y, a continuación, haga clic en Cancelar .
    10. Haga clic en Cancelar y, a continuación, cierre la consola Servicios de componentes .
  4. Configuración puede ser incorrecta si cualquiera de las siguientes condiciones es verdadera:
    • No existe el grupo CERTSVC_DCOM_ACCESS.
    • La pertenencia predeterminada al grupo CERTSVC_DCOM_ACCESS es incorrecta.
    • El grupo CERTSVC_DCOM_ACCESS no tiene los permisos correctos.
    Si cualquier una configuración es incorrecta, ejecute los comandos siguientes en el símbolo del sistema. Presione ENTRAR después de cada comando.
    certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    Net start certsvc
  5. Repita los pasos 1 a 3 para comprobar que todos los valores de configuración son correctos.

    Nota Si los cambios afectan a la pertenencia al grupo del servidor de entidad emisora de certificados, debe reiniciar el servidor para que los cambios surtan efecto.

Más información

Para obtener más información sobre cómo Windows Server 2003 Service Pack 1 la configuración de seguridad, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
903220Descripción de los cambios introducidos en configuración de seguridad después de instalar Windows Server 2003 Service Pack 1

Propiedades

Id. de artículo: 927066 - Última revisión: jueves, 11 de octubre de 2007 - Versión: 1.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003 Service Pack 1 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palabras clave: 
kbmt kbtshoot kbprb KB927066 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 927066

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com