Windows Server 2003 Service Pack 1 を実行しているコンピューターからクライアント コンピューター証明書を要求すると、エラー メッセージ:"、ウィザードを 1 つまたは複数、次の条件のため起動できません"

文書翻訳 文書翻訳
文書番号: 927066
すべて展開する | すべて折りたたむ

現象

[証明書サービスを有効にしている、Microsoft Windows Server 2003 Service Pack 1 (SP1)-ベースのコンピューターにします。使用すると、証明書コンソールのクライアント コンピューターに証明書を要求すると、表示されます。次のエラー メッセージ。
ウィザードことはできません。1 つまたは複数、次の条件のための開始。
-があります。信頼できる証明機関 (Ca) 使用できません。
-ことができない、利用可能な Ca から証明書を要求するアクセス許可。
-利用可能ですCAs アクセス許可をいないする証明書を発行します。
また、イベントが記録されます。アプリケーションでは、サーバー上でホストの証明書をログインします。機関 (CA)。これらのイベントは、次のように。

イベントの種類: 警告
イベントソース: CertSvc
イベント カテゴリ: なし
イベント ID: 53
作成日:日付
時刻: 時刻
ユーザー: 該当なし
コンピューター: サーバー名
説明:証明書のサービスを拒否するため 5 を要求、要求された証明書この CA. 0x80094800 (-2146875392) のテンプレートはサポートされていません。その他情報: ポリシー モジュール 0x80094800 によって拒否されました。要求ので、証明書テンプレートは証明書サービス ポリシーでサポートされていません。SubCA。

イベントの種類: エラー
イベントソース: CertSvc
イベント カテゴリ: なし
イベント ID: 21
作成日:日付
時刻: 時刻
ユーザー: 該当なし
コンピューター: サーバー名
説明:証明書をサービスで要求 5 のためにエラーを処理できませんでした: 要求の現在の状態は、この操作は許可されていません。0x80094003 (-2146877437)。

証明書の自動登録を有効にすると、ドメインは、クライアント コンピューターが証明書を自動的に取得できません。アプリケーションでは、次のようなイベントが記録されますさらに、ログ:

イベントの種類: エラー
イベント ソース:自動登録
イベント カテゴリ: なし
イベント ID: 13
作成日:日付
時刻: 時刻
ユーザー: 該当なし
コンピューター: コンピューター名
説明:

原因

Windows Server 2003 SP1 にはいくつか高度な既定のセキュリティ設定は、DCOM プロトコルについて説明します。具体的には、Windows Server 2003 SP1 を与える権利を紹介します。管理者独立して制御ローカルおよびリモートのアクセス許可を次の作業:
  • コンポーネント オブジェクト モデル (COM) サーバーを開始します。
  • COM サーバーの設定をアクティブにします。
  • COM へのアクセスサーバーにエージェントをインストールしています
は、Windows Server 2003 SP1 のインストール処理は、新しい CERTSVC_DCOM_ACCESS セキュリティ グループを作成します。Windows Server 2003 SP1 のインストール後に、この新しいセキュリティ グループは、DCOM のアクセス許可を適切な DCOM の起動とアクティブ化のアクセス許可が必要です。既定では、Domain Users グローバル グループ、およびコンピューターのドメインのグローバル グループを配置するのにはCERTSVC_DCOM_ACCESS グループです。証明書サービスが実行されている場合は、ドメイン コント ローラー、CERTSVC_DCOM_ACCESS グループをドメイン ローカルに作成します。グループです。さらに、エンタープライズのドメイン コント ローラー グループ CERTSVC_DCOM_ACCESS グループのメンバーをはずです。CERTSVC_DCOM_ACCESS グループのメンバーシップが正しく構成されていない場合は、この問題が発生します。

解決方法

この問題を解決するには、次の手順を実行します。
  1. CERTSVC_DCOM_ACCESS グループであることを確認、証明機関をホストするドメイン。このグループには、 CN = ユーザー コンテナーです。これを行うには、次の手順を実行します。
    1. クリックしてください。 開始をクリックして 実行、タイプ 「Dsa.msc」、し [OK].
    2. 左側のウィンドウでをクリックして、 ユーザーコンテナーです。
    3. いることを確認、 CERTSVC_DCOM_ACCESSグループは、右側のウィンドウでです。場合は、 CERTSVC_DCOM_ACCESS 右側のウィンドウで、手順 4 に進みますのグループではありません。
  2. いることを確認、CERTSVC_DCOM_ACCESS グループ次のグループのメンバーは次のとおりです。
    • ドメイン ユーザー
    • Domain Computers
    メンバー グループ CERTSVC_DCOM_ACCESS グループ内に存在しない場合は、ステップ 4 に進みます。

    メモ ユーザーまたはコンピューターに他のドメインを登録する必要がある、証明機関、CERTSVC_DCOM_ACCESS グループにこれらのユーザーとコンピューターを追加する必要がありますも。場合は、ドメイン コント ローラーでは、現在の問題が発生する、エンタープライズのドメイン追加することもする必要があります。コント ローラーのグループを CERTSVC_DCOM_ACCESS グループです。既定では、ドメインコント ローラーは、コンピューターのドメインのグローバル グループのメンバーではないです。そのため、ドメイン コント ローラーは DCOM のための十分なアクセス許可を必要はありません。
  3. CERTSVC_DCOM_ACCESS グループは、適切な DCOM アクセス許可および DCOM の起動とアクティブ化のアクセス許可証明機関をホストするコンピューター上でいることを確認します。
    1. クリックしてください。 開始、ポイント プログラム、ポイント 管理ツール、、をクリックして、 コンポーネント サービス.
    2. 展開、 コンポーネント サービスノードです。
    3. 展開、 コンピューター ノードです。
    4. 右クリックし、 マイ コンピューター ノードとをクリックして、 プロパティ.
    5. クリックして、 COM セキュリティ タブします。
    6. 下にあります。 アクセス許可をクリックして 制限を編集します。.
    7. CERTSVC_DCOM_ACCESS グループを持っていることを確認してください。 ローカルのアクセスを許可します。リモート アクセスを許可します。アクセス許可、およびクリック [キャンセル].
    8. 下にあります。 起動とアクティブ化アクセス許可をクリックして 制限を編集します。.
    9. CERTSVC_DCOM_ACCESS グループを持っていることを確認してください。 ローカルのアクティベーションを許可します。リモートを許可します。ライセンス認証 アクセス許可、およびクリック [キャンセル].
    10. クリックしてください。 [キャンセル]、終値は コンポーネント サービス コンソール。
  4. 設定は、次のいずれかの場合は、正しくない場合があります。条件が成立します。
    • CERTSVC_DCOM_ACCESS グループはありません。存在します。
    • CERTSVC_DCOM_ACCESS グループの既定の構成メンバー不正解です。
    • CERTSVC_DCOM_ACCESS グループは、適切ながありません。アクセスを許可します。
    1 つの設定が不正な場合は、コマンド プロンプトで次のコマンドを実行します。各コマンドの後 ENTER を押します。
    certutil-setreg SetupStatus-SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
  5. 手順 1 〜 3 がいることを確認するのには、すべての設定を繰り返します正解です。

    メモ 証明機関サーバーのグループのメンバーシップの変更の影響は、変更を有効にするのには、サーバーを再起動してください。

詳細

Windows Server 2003 Service Pack 1 が DCOM セキュリティ設定を変更する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
903220インストールした後、DCOM のセキュリティ設定への変更の説明Windows Server 2003 Service Pack 1

プロパティ

文書番号: 927066 - 最終更新日: 2011年8月8日 - リビジョン: 3.0
キーワード:?
kbtshoot kbprb kbmt KB927066 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:927066
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com