Message d'erreur lors d'un ordinateur client demande un certificat d'un ordinateur qui exécute Windows Server 2003 avec Service Pack 1: « l'Assistant ne peut pas être démarré en raison d'une ou plusieurs des conditions suivantes »

Traductions disponibles Traductions disponibles
Numéro d'article: 927066 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Vous avez activé le service Services de certificats sur un Microsoft Windows Server 2003 Service Pack 1 (SP1), ordinateur. Lorsque vous utilisez la console de certificats sur un ordinateur client pour demander un certificat, vous recevez le message d'erreur suivantes :
L'Assistant ne peut pas être démarré en raison d'une ou plusieurs des conditions suivantes :
-Il existe aucune confiance autorités de certification (CA) disponibles.
-Vous ne devrez pas les autorisations demander des certificats d'autorités de certification disponibles.
-Les autorités de certification disponibles émettent des certificats pour lesquels vous n'avez pas autorisations.
En outre, les événements sont enregistrés dans l'application se connecter le serveur qui héberge l'Autorité de certification (CA). Ces événements ressembler à ceci :

Type d'événement : avertissement
Événement source : CertSvc
Catégorie d'événement : aucune
L'ID d'événement : 53
Date : date
Heure : temps
Utilisateur: n / A
Ordinateur : ServerName
Description : Services de certificats refusé demande 5 le modèle de certificat demandé n'est pas prise en charge par cette autorité de CERTIFICATION. 0x80094800 (-2146875392). Des informations supplémentaires : refusé par le module de stratégie 0x80094800. La requête a pour un modèle de certificat n'est pas prise en charge par la stratégie Certificate Services : SubCA.

Type d'événement : Erreur
Événement source : CertSvc
Catégorie d'événement : aucune
L'ID d'événement : 21
Date : date
Heure : temps
Utilisateur: n / A
Ordinateur : ServerName
Description : Services de certificats Impossible de traiter demande 5 en raison d'une erreur : le statut actuel de la requête n'autorise pas cette opération. 0x80094003 (-2146877437).

Si vous activez l'inscription automatique des certificats dans le domaine, ordinateurs Impossible d'obtenir les certificats automatiquement. En outre, un événement semblable au suivant est enregistré dans l'application journal :

Type d'événement : Erreur
Source de l'événement : Inscription automatique
Catégorie d'événement : aucune
L'ID d'événement : 13
Date : date
Heure : temps
Utilisateur: n / A
Ordinateur : ComputerName
Description :

Cause

Windows Server 2003 SP1 introduit des paramètres de sécurité par défaut améliorés pour le protocole DCOM. Plus précisément, Windows Server 2003 SP1 introduit des droits à un administrateur contrôle indépendant sur locales et distantes autorisations pour les tâches suivantes :
  • Démarrage de serveurs (Component Object Model)
  • Activer les paramètres du serveur COM
  • Accéder à COM serveurs
Le processus d'installation de Windows Server 2003 SP1 crée un nouveau groupe de sécurité CERTSVC_DCOM_ACCESS. Après l'installation de Windows Server 2003 SP1, ce nouveau groupe de sécurité doit avoir les autorisations DCOM Access appropriées exécution DCOM et autorisations d'activation. Par défaut, le groupe global utilisateurs du domaine et le groupe global Ordinateurs du domaine se trouvent dans le groupe CERTSVC_DCOM_ACCESS. Si le service Services de certificats s'exécute sur un contrôleur de domaine, le groupe CERTSVC_DCOM_ACCESS est créé comme un groupe local de domaine. En outre, le groupe Enterprise Domain Controllers doit être un membre du groupe CERTSVC_DCOM_ACCESS. Ce problème se produit si l'appartenance au groupe CERTSVC_DCOM_ACCESS est configuré de manière incorrecte.

Résolution

Pour résoudre ce problème, procédez comme suit :
  1. Vérifiez que le groupe CERTSVC_DCOM_ACCESS existe dans le domaine qui héberge l'Autorité de certification. Ce groupe est en la CN = Users conteneur. Pour ce faire, procédez comme suit :
    1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez Dsa.msc et puis cliquez sur OK .
    2. Dans le volet gauche, cliquez sur les utilisateurs conteneur.
    3. Vérifiez que le CERTSVC_DCOM_ACCESS groupe se trouve dans le volet droit. Si le groupe CERTSVC_DCOM_ACCESS n'est pas dans le volet droit, passez à étape 4.
  2. Vérifiez que le groupe CERTSVC_DCOM_ACCESS inclut les groupes de membres suivants :
    • Les utilisateurs de domaine
    • Ordinateurs du domaine
    Si ces groupes de membres n'existent pas dans le groupe CERTSVC_DCOM_ACCESS, passez à étape 4.

    note Si utilisateurs ou ordinateurs dans les autres domaines doivent inscrire par rapport à l'autorité de certification, vous devez également ajouter les utilisateurs et des ordinateurs au groupe CERTSVC_DCOM_ACCESS. Si le problème actuel se produit sur un contrôleur de domaine, vous devez également ajouter le groupe Enterprise Domain Controllers au groupe CERTSVC_DCOM_ACCESS. Par défaut, les contrôleurs de domaine ne sont pas membres du groupe global Ordinateurs du domaine. Par conséquent, les contrôleurs de domaine n'est pas nécessaire autorisations DCOM suffisantes.
  3. Vérifiez que le groupe CERTSVC_DCOM_ACCESS dispose les autorisations DCOM Access appropriées et DCOM Launch et Activation des autorisations sur l'ordinateur qui héberge l'Autorité de certification.
    1. Cliquez sur Démarrer , pointez sur programmes , pointez sur Outils d'administration et puis cliquez sur Services de composants .
    2. Développez les Services de composants n?ud.
    3. Développez le n?ud d'ordinateurs .
    4. Cliquez avec le bouton droit sur le noeud Poste de travail , puis cliquez sur Propriétés .
    5. Cliquez sur l'onglet COM Security (sécurité COM) .
    6. Sous Autorisation d'accès , cliquez sur Modifier les limites .
    7. Vérifiez que le groupe CERTSVC_DCOM_ACCESS dispose des autorisations Allow Local Access et Allow Remote Access , puis cliquez sur Annuler .
    8. Sous d'exécution et d'activation autorisations , cliquez sur Modifier les limites .
    9. Vérifiez que le groupe CERTSVC_DCOM_ACCESS dispose des autorisations Allow Local Activation et Allow Remote Activation , puis cliquez sur Annuler .
    10. Cliquez sur Annuler , puis fermez la console Services de composants .
  4. Paramètres peuvent être incorrectes si l'une des conditions suivantes est vraie :
    • Le groupe CERTSVC_DCOM_ACCESS n'existe pas.
    • L'appartenance par défaut au groupe CERTSVC_DCOM_ACCESS est incorrect.
    • Le groupe CERTSVC_DCOM_ACCESS n'a pas les autorisations correctes.
    Si tout un paramètre est incorrect, exécutez les commandes suivantes à partir d'une invite de commandes. Appuyez sur ENTRÉE après chaque commande.
    certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    NET stop certsvc
    net start certsvc
  5. Répétez les étapes 1 à 3 pour vérifier que tous les paramètres sont corrects.

    note Si les modifications affectent l'appartenance du serveur d'autorité de certification, vous devez redémarrer le serveur pour que les modifications prennent effet.

Plus d'informations

Pour plus d'informations sur la manière dont Windows Server 2003 Service Pack 1 modifie les paramètres de sécurité DCOM, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
903220 Description des modifications aux paramètres de sécurité DCOM après avoir installé Windows Server 2003 Service Pack 1

Propriétés

Numéro d'article: 927066 - Dernière mise à jour: jeudi 11 octobre 2007 - Version: 1.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003 Service Pack 1 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Mots-clés : 
kbmt kbtshoot kbprb KB927066 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 927066
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com