Клиентский компьютер запрашивает сертификат с компьютера под управлением Windows Server 2003 с пакетом обновления 1 появляется сообщение об ошибке: «мастер не может быть запущена из-за одного или нескольких из перечисленных ниже условий»

Переводы статьи Переводы статьи
Код статьи: 927066 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

При включенной службы сертификации на Microsoft Windows Server 2003 пакетом обновления 1 (SP1) — на основе компьютера. При использовании консоли сертификатов на клиентском компьютере для запроса сертификата, появляется следующее сообщение об ошибке:
Мастер не может быть запущена из-за один или несколько из следующих условий:
-Не доверенных центров сертификации (ЦС) доступны.
-У вас нет разрешения на запрос сертификатов с доступных ЦС.
-Доступные ЦС выдают сертификаты, для которого у вас нет разрешений.
Кроме того, регистрируются события, приложение, войдите на сервер, на котором размещен центр сертификации (ЦС). Эти события выглядеть следующим образом:

Тип события: предупреждение
Источник события: CertSvc
Категория события: нет
КОД события: 53
Дата: Дата
Время: время
Пользователь: н/Д
имя_компьютера:Имя_сервера
Описание: Службы сертификации отверг запрос 5 данного центра сертификации. 0x80094800 (-2146875392) не поддерживается запрошенный шаблон. Дополнительные сведения: отказано в доступе модуль политики 0x80094800. Запрос был на шаблон сертификата, который не поддерживается этой политикой служб сертификатов: SubCA.

Тип события: ошибка
Источник события: CertSvc
Категория события: нет
КОД события: 21
Дата: Дата
Время: время
Пользователь: н/Д
имя_компьютера:Имя_сервера
Описание: Службы сертификации не удалось обработать запрос 5 из-за ошибки: текущее состояние запроса не допускает выполнения этой операции. 0x80094003 (-2146877437).

При включении автоматической подачи заявок на сертификаты в домене, клиентские компьютеры не получают сертификаты автоматически. Кроме того, в приложения регистрируется событие, подобное приведенному ниже журнала:

Тип события: ошибка
Источник события: автоматическая подача заявок
Категория события: нет
КОД события: 13
Дата: Дата
Время: время
Пользователь: н/Д
имя_компьютера:имя_компьютера:
Описание::

Причина

Знакомство с Windows Server 2003 SP1 некоторых расширенных параметров безопасности для протокола DCOM. В частности, Windows Server 2003 SP1 содержит права, которые предоставляют администратору независимый контроль над локальной и удаленной разрешения для выполнения следующих задач:
  • Запуск сервера для модели компонентных объектов (COM)
  • Активация параметров сервера COM
  • Доступ к COM сервера
В процессе установки пакета обновления 1 для Windows Server 2003 создает новую группу безопасности CERTSVC_DCOM_ACCESS. После установки Windows Server 2003 SP1 эту новую группу безопасности должны иметь соответствующие разрешения на доступ К DCOM и запуск DCOM и активации разрешения. По умолчанию в глобальную группу пользователей домена и глобальной группы, компьютеры домена находятся в группе CERTSVC_DCOM_ACCESS. Если службы сертификации выполняется на контроллере домена, группы CERTSVC_DCOM_ACCESS создается как локальные группы домена. Кроме того группа контроллеров корпоративного домена должен быть членом группы CERTSVC_DCOM_ACCESS. Данная проблема возникает, если членство в группе CERTSVC_DCOM_ACCESS настроен неправильно.

Решение

Чтобы устранить данную проблему, выполните указанные ниже действия.:
  1. Убедитесь, что группа CERTSVC_DCOM_ACCESS существует в домене, на котором размещен центр сертификации. Эта группа находится вCN = UsersКонтейнер. Выполните следующие действия::
    1. затем –START ::затем –ВыполнитьTYPE :DSA.mscи выберите командуOk..
    2. В левой области щелкните ссылкупользователиКонтейнер.
    3. Проверьте правильностьCERTSVC_DCOM_ACCESSгруппа находится в правой области. ЕслиCERTSVC_DCOM_ACCESSгруппы не находится в правой панели, перейдите к шагу 4.
  2. Убедитесь, что группа CERTSVC_DCOM_ACCESS включает следующие группы элементов:
    • Пользователи домена
    • Компьютеры домена
    Если эти группы элементов в группе CERTSVC_DCOM_ACCESS отсутствуют, перейдите к шагу 4.

    Примечание.Если пользователи или компьютеры в других доменах необходимо подать заявку для центра сертификации, необходимо также добавить этих пользователей и компьютеров к группе CERTSVC_DCOM_ACCESS. Текущая проблема возникает на контроллере домена, необходимо также добавить группу «контроллеры домена предприятия» в группу CERTSVC_DCOM_ACCESS. По умолчанию контроллеры домена не являются членами глобальной группы, компьютеры домена. Таким образом контроллеры домена имеют необходимые разрешения DCOM.
  3. Убедитесь, что группа CERTSVC_DCOM_ACCESS имеет соответствующие разрешения на доступ К DCOM, разрешения на запуск DCOM и активации компьютера, на котором размещен центр сертификации.
    1. затем –START ::, выберите пунктProgram (Программа), выберите пунктАдминистрированиеи выберите командуСлужбы компонентов.
    2. Разверните узелСлужбы компонентовузел.
    3. Разверните узелКомпьютерыузел.
    4. , щелкните правой кнопкой мыши объектМой компьютерузел, а затем нажмите кнопкуСвойства.
    5. Перейдите на вкладкуБезопасность COMTAB:.
    6. Из спискаРазрешение на доступзатем –Изменение ограничений.
    7. Убедитесь, что группа CERTSVC_DCOM_ACCESSРазрешить локальный доступиРазрешить удаленный доступразрешения, а затем нажмите кнопкуОтмена:.
    8. Из спискаЗапуск и активацию разрешениязатем –Изменение ограничений.
    9. Убедитесь, что группа CERTSVC_DCOM_ACCESSРазрешить Локальная активацияиРазрешить удаленную активациюразрешения, а затем нажмите кнопкуОтмена:.
    10. затем –Отмена:, а затем закройтеСлужбы компонентовконсоль.
  4. Параметры могут быть неправильно, если выполняется одно из следующих условий:
    • CERTSVC_DCOM_ACCESS группы не существует.
    • По умолчанию в состав группы CERTSVC_DCOM_ACCESS неверно.
    • Группа CERTSVC_DCOM_ACCESS не имеет необходимых разрешений.
    Если неверно любой один параметр, выполните следующие команды в командной строке. (после каждой команды нажмите клавишу ВВОД):.
    команда certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
  5. Повторите шаги с 1 по 3, чтобы убедиться, что все параметры заданы правильно.

    Примечание.Если эти изменения влияют на членство в группе сервера центра сертификации, необходимо перезагрузить сервер, чтобы изменения вступили в силу.

Дополнительная информация

Для получения дополнительных сведений о изменение параметров безопасности DCOM в Windows Server 2003 с пакетом обновления 1 (SP1) щелкните следующий номер статьи базы знаний Майкрософт:
903220Описание изменений в параметры безопасности DCOM, после установки Windows Server 2003 с пакетом обновления 1 (SP1)

Свойства

Код статьи: 927066 - Последний отзыв: 27 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Ключевые слова: 
kbtshoot kbprb kbmt KB927066 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:927066

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com