Mensagem de erro quando um computador cliente solicita um certificado de um computador que está executando o Windows Server 2003 com Service Pack 1: "O assistente não pode ser iniciado devido a um ou mais das seguintes condições"

Traduções deste artigo Traduções deste artigo
ID do artigo: 927066 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Você tiver ativado os serviços de certificados em um Microsoft Windows Server 2003 Service Pack 1 (SP1) - com base em computador. Quando você usa o console certificados em um computador cliente para solicitar um certificado, você receber a seguinte mensagem de erro:
O assistente não pode ser iniciado devido a um ou mais das seguintes condições:
-Há não autoridades de certificação (CAs confiáveis) disponíveis.
-Você não é necessário as permissões para solicitar certificados de CAs disponíveis.
-O disponível CAs emitem certificados para o qual você não tem permissões.
Além disso, eventos são registrados no aplicativo faça logon no servidor que hospeda a autoridade de certificação (CA). Esses eventos semelhante ao seguinte:

Tipo de evento: aviso
Origem do evento: CertSvc
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 53
Data: data
Tempo: hora
Usuário: N/d
Computador: ServerName
Descrição: Serviços de certificados negou a solicitação 5 porque o modelo de certificado solicitado não é suportado por esta autoridade de certificação. 0x80094800 (-2146875392). Obter informações adicionais: negado pelo módulo de diretiva 0x80094800. A solicitação foi para um modelo de certificado não dá suporte a diretiva de serviços de certificados: SubCA.

Tipo de evento: erro
Origem do evento: CertSvc
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 21
Data: data
Tempo: hora
Usuário: N/d
Computador: ServerName
Descrição: Serviços de certificados não podem processar a solicitação 5 devido a um erro: status atual a solicitação não permite esta operação. 0x80094003 (-2146877437).

Se você habilitar o registro automático de certificados no domínio, computadores cliente não podem obter certificados automaticamente. Além disso, um evento semelhante à seguinte é registrado no aplicativo do log:

Tipo de evento: erro
Origem do evento: inscrição automática
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 13
Data: data
Tempo: hora
Usuário: N/d
ComputerName do computador:
Descrição:

Causa

Windows Server 2003 SP1 apresenta algumas configurações de segurança avançada padrão para o protocolo DCOM. Especificamente, o Windows Server 2003 SP1 apresenta os direitos que fornecem um administrador controle independente sobre o local e remoto permissões para as seguintes tarefas:
  • Iniciando servidores COM (Component Object Model)
  • Ativar configurações de servidor COM
  • Acessando COM servidores
O processo de instalação do Windows Server 2003 SP1 cria um novo grupo de segurança CERTSVC_DCOM_ACCESS. Após a instalação do Windows Server 2003 SP1, esse novo grupo de segurança deve ter permissões de acesso de DCOM apropriadas e DCOM de inicialização e permissões de ativação. Por padrão, o grupo global usuários do domínio e o grupo global computadores do domínio residem no grupo CERTSVC_DCOM_ACCESS. Se estiver executando os serviços de certificados em um controlador de domínio, o grupo CERTSVC_DCOM_ACCESS é criado como um grupo local de domínio. Além disso, o grupo Enterprise controladores de domínio deve ser membro do grupo CERTSVC_DCOM_ACCESS. Esse problema ocorre se a participação do grupo CERTSVC_DCOM_ACCESS estiver configurada incorretamente.

Resolução

Para resolver o problema, execute essas etapas:
  1. Verifique se o grupo CERTSVC_DCOM_ACCESS existe no domínio que hospeda a autoridade de certificação. Esse grupo é no CN = usuários recipiente. Para fazer isso, execute as seguintes etapas:
    1. Clique em Iniciar , clique em Executar , digite dsa.msc e, em seguida, clique em OK .
    2. No painel esquerdo, clique em usuários recipiente.
    3. Verifique se o CERTSVC_DCOM_ACCESS grupo é no painel à direita. Se o grupo CERTSVC_DCOM_ACCESS não está no painel direito, vá para a etapa 4.
  2. Verifique se o grupo CERTSVC_DCOM_ACCESS inclui os seguintes grupos de membros:
    • Usuários do domínio
    • Computadores do domínio
    Se esses grupos de membros não existirem no grupo CERTSVC_DCOM_ACCESS, vá para a etapa 4.

    Observação Se os usuários ou computadores em outros domínios necessário registrar-se contra a autoridade de certificação, você também deve adicionar os usuários e computadores ao grupo CERTSVC_DCOM_ACCESS. Se o atual problema ocorrer em um controlador de domínio, você também deve adicionar o grupo controladores de domínio de empresa para o grupo CERTSVC_DCOM_ACCESS. Por padrão, os controladores de domínio não são membros do grupo global computadores do domínio. Portanto, os controladores de domínio não tem permissões DCOM suficientes.
  3. Verifique se o grupo CERTSVC_DCOM_ACCESS tem as permissões DCOM de inicialização e ativação e permissões de acesso de DCOM apropriadas no computador que hospeda a autoridade de certificação.
    1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e clique em Serviços de componente .
    2. Expanda os Serviços de componentes do nó.
    3. Expanda o nó de computadores .
    4. Clique com o botão direito no nó Meu computador e, em seguida, clique em Propriedades .
    5. Clique na guia COM segurança .
    6. Em Permissões de acesso , clique em Editar limites .
    7. Verifique se o grupo CERTSVC_DCOM_ACCESS tem permissões Permitir acesso local e Permitir acesso remoto e, em seguida, clique em Cancelar .
    8. Em inicialização e ativação permissões , clique em Editar limites .
    9. Verifique se o grupo CERTSVC_DCOM_ACCESS tem permissões Permitir ativação local e Ativação remota permitir e, em seguida, clique em Cancelar .
    10. Clique em Cancelar e feche o console de Serviços de componentes .
  4. Configurações podem estar incorretas se qualquer uma das seguintes condições for verdadeira:
    • O grupo CERTSVC_DCOM_ACCESS não existe.
    • A participação padrão do grupo CERTSVC_DCOM_ACCESS é incorreta.
    • O grupo CERTSVC_DCOM_ACCESS não tem as permissões corretas.
    Se qualquer uma configuração estiver incorreta, execute os seguintes comandos em um prompt de comando. Pressione ENTER após cada comando.
    certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
  5. Repita as etapas 1 a 3 para verificar todas as configurações estão corretas.

    Observação Se as alterações afetarem a associação de grupo do servidor de autoridade de certificação, você deve reiniciar o servidor para que as alterações tenham efeito.

Mais Informações

Para obter mais informações sobre como o Windows Server 2003 Service Pack 1 altera as configurações de segurança do DCOM, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
903220Descrição das alterações às configurações de segurança DCOM depois que você instala o Windows Server 2003 Service Pack 1

Propriedades

ID do artigo: 927066 - Última revisão: quinta-feira, 11 de outubro de 2007 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbmt kbtshoot kbprb KB927066 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 927066

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com