Mensagem de erro quando um computador cliente pede um certificado a partir de um computador com o Windows Server 2003 com Service Pack 1: "não será iniciado o assistente devido a um ou mais das seguintes condições"

Traduções de Artigos Traduções de Artigos
Artigo: 927066 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Activou o serviço de certificados num Microsoft Windows Server 2003 Service Pack 1 (SP1) - baseado no computador. Quando utilizar a consola certificados num computador cliente para pedir um certificado, receberá a seguinte mensagem de erro:
Não é possível iniciar o assistente devido a um ou mais das seguintes condições:
-Existem não fidedignos autoridades de certificação (AC) disponíveis.
-Não é necessário as permissões para requisitar certificados de AC disponíveis.
-As AC disponíveis emitem certificados para o qual não tem permissões.
Além disso, os eventos são registados na aplicação iniciar sessão no servidor que hospeda a autoridade de certificação (AC). Estes eventos semelhantes aos seguintes:

Tipo de evento: aviso
Origem do evento: CertSvc
Categoria do evento: nenhum
ID do evento: 53
Data: data
Tempo: hora
Utilizador: N/d
Computador: ServerName
Descrição: Serviços de certificados negou o pedido 5 porque o modelo de certificado pedido não é suportado por esta AC. 0x80094800 (-2146875392). Obter informações adicionais: negado pelo módulo de política 0x80094800. A requisição foi de um modelo de certificado que não é suportado pela política de serviços de certificados: SubCA.

Tipo de evento: erro
Origem do evento: CertSvc
Categoria do evento: nenhum
ID do evento: 21
Data: data
Tempo: hora
Utilizador: N/d
Computador: ServerName
Descrição: Serviços de certificados não conseguiu processar o pedido 5 devido a um erro: o estado actual de o pedido não permite esta operação. 0x80094003 (-2146877437).

Se activar a inscrição automática de certificados no domínio, os computadores de cliente não consegue obter certificados automaticamente. Além disso, é registado um evento semelhante à seguinte na aplicação do registo:

Tipo de evento: erro
Origem do evento: inscrição automática
Categoria do evento: nenhum
ID do evento: 13
Data: data
Tempo: hora
Utilizador: N/d
Computador: ComputerName
Descrição:

Causa

Windows Server 2003 SP1 inclui algumas definições de segurança predefinido melhorado para o protocolo DCOM. Especificamente, o Windows Server 2003 SP1 apresenta direitos que permitem um administrador controlo independente do local e remoto permissões para as seguintes tarefas:
  • Iniciar servidores COM (Component Object Model)
  • Activar definições de servidor do COM
  • Aceder COM servidores
O processo de instalação do Windows Server 2003 SP1 cria um novo grupo de segurança CERTSVC_DCOM_ACCESS. Após a instalação do Windows Server 2003 SP1, este novo grupo de segurança deve ter permissões de acesso de DCOM adequadas e arranque do DCOM e permissões de activação. Por predefinição, o grupo global utilizadores do domínio e o grupo global computadores de domínio residem no grupo CERTSVC_DCOM_ACCESS. Se o serviço de certificados estiver em execução num controlador de domínio, grupo CERTSVC_DCOM_ACCESS é criado como um grupo local de domínio. Além disso, o grupo controladores de domínio da empresa deve ser um membro do grupo CERTSVC_DCOM_ACCESS. Este problema ocorre se os membros do grupo CERTSVC_DCOM_ACCESS estiver incorrectamente configurado.

Resolução

Para resolver o problema, siga estes passos:
  1. Verifique se o grupo CERTSVC_DCOM_ACCESS existe no domínio que hospeda a autoridade de certificação. Este grupo de CN = utilizadores contentor. Para o fazer, siga estes passos:
    1. Clique em Iniciar , clique em Executar , escreva dsa.msc e, em seguida, clique em OK .
    2. No painel esquerdo, clique em utilizadores contentor.
    3. Certifique-se de que o CERTSVC_DCOM_ACCESS grupo é no painel da direita. Se o grupo CERTSVC_DCOM_ACCESS não está no painel da direita, avance para o passo 4.
  2. Verifique se o grupo CERTSVC_DCOM_ACCESS inclui os seguintes grupos de membro:
    • Utilizadores do domínio
    • Computadores de domínio
    Se estes grupos de membro não existem no grupo CERTSVC_DCOM_ACCESS, avance para o passo 4.

    Nota Se os utilizadores ou computadores noutros domínios necessitam inscrever-se contra a autoridade de certificação, também deve adicionar esses utilizadores e computadores ao grupo CERTSVC_DCOM_ACCESS. Se o problema ocorrer num controlador de domínio, também tem de adicionar o grupo controladores de domínio da empresa ao grupo CERTSVC_DCOM_ACCESS. Por predefinição, os controladores de domínio não são membros do grupo global computadores de domínio. Por conseguinte, controladores de domínio não tem permissões de DCOM suficientes.
  3. Verifique se o grupo CERTSVC_DCOM_ACCESS tem as permissões de DCOM acesso adequadas e permissões de arranque do DCOM e activação no computador que hospeda a autoridade de certificação.
    1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Serviços de componentes .
    2. Expanda os Serviços de componentes nó.
    3. Expanda o nó de computadores .
    4. Clique com o botão direito do rato no nó do Meu computador e, em seguida, clique em Propriedades .
    5. Clique no separador Segurança COM .
    6. Em Permissões de acesso , clique em Editar limites .
    7. Verifique se o grupo CERTSVC_DCOM_ACCESS tem permissões Permitir acesso local e Permitir acesso remoto e, em seguida, clique em ' Cancelar ' .
    8. Em de lançamento e activação permissões , clique em Editar limites .
    9. Verifique se o grupo CERTSVC_DCOM_ACCESS tem as permissões Permitir activação local e Permitir a activação remota e, em seguida, clique em Cancelar .
    10. Clique em Cancelar e feche a consola Dos Serviços componentes .
  4. Definições podem estar incorrectas se qualquer uma das seguintes condições for verdadeira:
    • O grupo CERTSVC_DCOM_ACCESS não existe.
    • A associação predefinida do grupo CERTSVC_DCOM_ACCESS estiver incorrecta.
    • O grupo CERTSVC_DCOM_ACCESS não tem as permissões correctas.
    Se qualquer uma definição incorrecta, execute os seguintes comandos numa linha de comandos. Prima ENTER após cada comando.
    certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
  5. Repita os passos 1 a 3 para verificar se todas as definições estão correctas.

    Nota Se as alterações afectam os membros do grupo do servidor de autoridade de certificação, tem de reiniciar o servidor para que as alterações entrem em vigor.

Mais Informação

Para obter mais informações sobre como o Windows Server 2003 Service Pack 1 altera as definições de segurança DCOM, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
903220Descrição das alterações às definições de segurança DCOM depois de instalar o Windows Server 2003 Service Pack 1

Propriedades

Artigo: 927066 - Última revisão: 11 de outubro de 2007 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbmt kbtshoot kbprb KB927066 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 927066

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com