Mensagem de erro quando um computador cliente solicita um certificado de um computador que está executando o Windows Server 2003 com Service Pack 1: "O assistente não pode ser iniciado devido a um ou mais das seguintes condições"

Você tiver ativado os serviços de certificados em um Microsoft Windows Server 2003 Service Pack 1 (SP1) - com base em computador. Quando você usa o console certificados em um computador cliente para solicitar um certificado, você receber a seguinte mensagem de erro:Além disso, eventos são registrados no aplicativo faça logon no servidor que hospeda a autoridade de certificação (CA). Esses eventos semelhante ao seguinte:

Tipo de evento: aviso
Origem do evento: CertSvc
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 53
Data: data
Tempo: hora
Usuário: N/d
Computador: ServerName
Descrição: Serviços de certificados negou a solicitação 5 porque o modelo de certificado solicitado não é suportado por esta autoridade de certificação. 0x80094800 (-2146875392). Obter informações adicionais: negado pelo módulo de diretiva 0x80094800. A solicitação foi para um modelo de certificado não dá suporte a diretiva de serviços de certificados: SubCA.

Tipo de evento: erro
Origem do evento: CertSvc
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 21
Data: data
Tempo: hora
Usuário: N/d
Computador: ServerName
Descrição: Serviços de certificados não podem processar a solicitação 5 devido a um erro: status atual a solicitação não permite esta operação. 0x80094003 (-2146877437).

Se você habilitar o registro automático de certificados no domínio, computadores cliente não podem obter certificados automaticamente. Além disso, um evento semelhante à seguinte é registrado no aplicativo do log:

Tipo de evento: erro
Origem do evento: inscrição automática
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 13
Data: data
Tempo: hora
Usuário: N/d
ComputerName do computador:
Descrição:

Windows Server 2003 SP1 apresenta algumas configurações de segurança avançada padrão para o protocolo DCOM. Especificamente, o Windows Server 2003 SP1 apresenta os direitos que fornecem um administrador controle independente sobre o local e remoto permissões para as seguintes tarefas:

• Iniciando servidores COM (Component Object Model)
• Ativar configurações de servidor COM
• Acessando COM servidores

O processo de instalação do Windows Server 2003 SP1 cria um novo grupo de segurança CERTSVC_DCOM_ACCESS. Após a instalação do Windows Server 2003 SP1, esse novo grupo de segurança deve ter permissões de acesso de DCOM apropriadas e DCOM de inicialização e permissões de ativação. Por padrão, o grupo global usuários do domínio e o grupo global computadores do domínio residem no grupo CERTSVC_DCOM_ACCESS. Se estiver executando os serviços de certificados em um controlador de domínio, o grupo CERTSVC_DCOM_ACCESS é criado como um grupo local de domínio. Além disso, o grupo Enterprise controladores de domínio deve ser membro do grupo CERTSVC_DCOM_ACCESS. Esse problema ocorre se a participação do grupo CERTSVC_DCOM_ACCESS estiver configurada incorretamente.

Para resolver o problema, execute essas etapas:

1. Verifique se o grupo CERTSVC_DCOM_ACCESS existe no domínio que hospeda a autoridade de certificação. Esse grupo é no CN = usuários recipiente. Para fazer isso, execute as seguintes etapas:
   1. Clique em Iniciar , clique em Executar , digite dsa.msc e, em seguida, clique em OK .
   2. No painel esquerdo, clique em usuários recipiente.
   3. Verifique se o CERTSVC_DCOM_ACCESS grupo é no painel à direita. Se o grupo CERTSVC_DCOM_ACCESS não está no painel direito, vá para a etapa 4.
2. Verifique se o grupo CERTSVC_DCOM_ACCESS inclui os seguintes grupos de membros:
   • Usuários do domínio
   • Computadores do domínio
   Se esses grupos de membros não existirem no grupo CERTSVC_DCOM_ACCESS, vá para a etapa 4.
   
   Observação Se os usuários ou computadores em outros domínios necessário registrar-se contra a autoridade de certificação, você também deve adicionar os usuários e computadores ao grupo CERTSVC_DCOM_ACCESS. Se o atual problema ocorrer em um controlador de domínio, você também deve adicionar o grupo controladores de domínio de empresa para o grupo CERTSVC_DCOM_ACCESS. Por padrão, os controladores de domínio não são membros do grupo global computadores do domínio. Portanto, os controladores de domínio não tem permissões DCOM suficientes.
3. Verifique se o grupo CERTSVC_DCOM_ACCESS tem as permissões DCOM de inicialização e ativação e permissões de acesso de DCOM apropriadas no computador que hospeda a autoridade de certificação.
   1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e clique em Serviços de componente .
   2. Expanda os Serviços de componentes do nó.
   3. Expanda o nó de computadores .
   4. Clique com o botão direito no nó Meu computador e, em seguida, clique em Propriedades .
   5. Clique na guia COM segurança .
   6. Em Permissões de acesso , clique em Editar limites .
   7. Verifique se o grupo CERTSVC_DCOM_ACCESS tem permissões Permitir acesso local e Permitir acesso remoto e, em seguida, clique em Cancelar .
   8. Em inicialização e ativação permissões , clique em Editar limites .
   9. Verifique se o grupo CERTSVC_DCOM_ACCESS tem permissões Permitir ativação local e Ativação remota permitir e, em seguida, clique em Cancelar .
   10. Clique em Cancelar e feche o console de Serviços de componentes .
4. Configurações podem estar incorretas se qualquer uma das seguintes condições for verdadeira:
   • O grupo CERTSVC_DCOM_ACCESS não existe.
   • A participação padrão do grupo CERTSVC_DCOM_ACCESS é incorreta.
   • O grupo CERTSVC_DCOM_ACCESS não tem as permissões corretas.
   Se qualquer uma configuração estiver incorreta, execute os seguintes comandos em um prompt de comando. Pressione ENTER após cada comando.
   certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
   net stop certsvc
   net start certsvc
5. Repita as etapas 1 a 3 para verificar todas as configurações estão corretas.
   
   Observação Se as alterações afetarem a associação de grupo do servidor de autoridade de certificação, você deve reiniciar o servidor para que as alterações tenham efeito.

Para obter mais informações sobre como o Windows Server 2003 Service Pack 1 altera as configurações de segurança do DCOM, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: