Mensagem de erro quando um computador cliente pede um certificado a partir de um computador com o Windows Server 2003 com Service Pack 1: "não será iniciado o assistente devido a um ou mais das seguintes condições"

Activou o serviço de certificados num Microsoft Windows Server 2003 Service Pack 1 (SP1) - baseado no computador. Quando utilizar a consola certificados num computador cliente para pedir um certificado, receberá a seguinte mensagem de erro:Além disso, os eventos são registados na aplicação iniciar sessão no servidor que hospeda a autoridade de certificação (AC). Estes eventos semelhantes aos seguintes:

Tipo de evento: aviso
Origem do evento: CertSvc
Categoria do evento: nenhum
ID do evento: 53
Data: data
Tempo: hora
Utilizador: N/d
Computador: ServerName
Descrição: Serviços de certificados negou o pedido 5 porque o modelo de certificado pedido não é suportado por esta AC. 0x80094800 (-2146875392). Obter informações adicionais: negado pelo módulo de política 0x80094800. A requisição foi de um modelo de certificado que não é suportado pela política de serviços de certificados: SubCA.

Tipo de evento: erro
Origem do evento: CertSvc
Categoria do evento: nenhum
ID do evento: 21
Data: data
Tempo: hora
Utilizador: N/d
Computador: ServerName
Descrição: Serviços de certificados não conseguiu processar o pedido 5 devido a um erro: o estado actual de o pedido não permite esta operação. 0x80094003 (-2146877437).

Se activar a inscrição automática de certificados no domínio, os computadores de cliente não consegue obter certificados automaticamente. Além disso, é registado um evento semelhante à seguinte na aplicação do registo:

Tipo de evento: erro
Origem do evento: inscrição automática
Categoria do evento: nenhum
ID do evento: 13
Data: data
Tempo: hora
Utilizador: N/d
Computador: ComputerName
Descrição:

Windows Server 2003 SP1 inclui algumas definições de segurança predefinido melhorado para o protocolo DCOM. Especificamente, o Windows Server 2003 SP1 apresenta direitos que permitem um administrador controlo independente do local e remoto permissões para as seguintes tarefas:

• Iniciar servidores COM (Component Object Model)
• Activar definições de servidor do COM
• Aceder COM servidores

O processo de instalação do Windows Server 2003 SP1 cria um novo grupo de segurança CERTSVC_DCOM_ACCESS. Após a instalação do Windows Server 2003 SP1, este novo grupo de segurança deve ter permissões de acesso de DCOM adequadas e arranque do DCOM e permissões de activação. Por predefinição, o grupo global utilizadores do domínio e o grupo global computadores de domínio residem no grupo CERTSVC_DCOM_ACCESS. Se o serviço de certificados estiver em execução num controlador de domínio, grupo CERTSVC_DCOM_ACCESS é criado como um grupo local de domínio. Além disso, o grupo controladores de domínio da empresa deve ser um membro do grupo CERTSVC_DCOM_ACCESS. Este problema ocorre se os membros do grupo CERTSVC_DCOM_ACCESS estiver incorrectamente configurado.

Para resolver o problema, siga estes passos:

1. Verifique se o grupo CERTSVC_DCOM_ACCESS existe no domínio que hospeda a autoridade de certificação. Este grupo de CN = utilizadores contentor. Para o fazer, siga estes passos:
   1. Clique em Iniciar , clique em Executar , escreva dsa.msc e, em seguida, clique em OK .
   2. No painel esquerdo, clique em utilizadores contentor.
   3. Certifique-se de que o CERTSVC_DCOM_ACCESS grupo é no painel da direita. Se o grupo CERTSVC_DCOM_ACCESS não está no painel da direita, avance para o passo 4.
2. Verifique se o grupo CERTSVC_DCOM_ACCESS inclui os seguintes grupos de membro:
   • Utilizadores do domínio
   • Computadores de domínio
   Se estes grupos de membro não existem no grupo CERTSVC_DCOM_ACCESS, avance para o passo 4.
   
   Nota Se os utilizadores ou computadores noutros domínios necessitam inscrever-se contra a autoridade de certificação, também deve adicionar esses utilizadores e computadores ao grupo CERTSVC_DCOM_ACCESS. Se o problema ocorrer num controlador de domínio, também tem de adicionar o grupo controladores de domínio da empresa ao grupo CERTSVC_DCOM_ACCESS. Por predefinição, os controladores de domínio não são membros do grupo global computadores de domínio. Por conseguinte, controladores de domínio não tem permissões de DCOM suficientes.
3. Verifique se o grupo CERTSVC_DCOM_ACCESS tem as permissões de DCOM acesso adequadas e permissões de arranque do DCOM e activação no computador que hospeda a autoridade de certificação.
   1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Serviços de componentes .
   2. Expanda os Serviços de componentes nó.
   3. Expanda o nó de computadores .
   4. Clique com o botão direito do rato no nó do Meu computador e, em seguida, clique em Propriedades .
   5. Clique no separador Segurança COM .
   6. Em Permissões de acesso , clique em Editar limites .
   7. Verifique se o grupo CERTSVC_DCOM_ACCESS tem permissões Permitir acesso local e Permitir acesso remoto e, em seguida, clique em ' Cancelar ' .
   8. Em de lançamento e activação permissões , clique em Editar limites .
   9. Verifique se o grupo CERTSVC_DCOM_ACCESS tem as permissões Permitir activação local e Permitir a activação remota e, em seguida, clique em Cancelar .
   10. Clique em Cancelar e feche a consola Dos Serviços componentes .
4. Definições podem estar incorrectas se qualquer uma das seguintes condições for verdadeira:
   • O grupo CERTSVC_DCOM_ACCESS não existe.
   • A associação predefinida do grupo CERTSVC_DCOM_ACCESS estiver incorrecta.
   • O grupo CERTSVC_DCOM_ACCESS não tem as permissões correctas.
   Se qualquer uma definição incorrecta, execute os seguintes comandos numa linha de comandos. Prima ENTER após cada comando.
   certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
   net stop certsvc
   net start certsvc
5. Repita os passos 1 a 3 para verificar se todas as definições estão correctas.
   
   Nota Se as alterações afectam os membros do grupo do servidor de autoridade de certificação, tem de reiniciar o servidor para que as alterações entrem em vigor.

Para obter mais informações sobre como o Windows Server 2003 Service Pack 1 altera as definições de segurança DCOM, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: