Клиентский компьютер запрашивает сертификат с компьютера под управлением Windows Server 2003 с пакетом обновления 1 появляется сообщение об ошибке: «мастер не может быть запущена из-за одного или нескольких из перечисленных ниже условий»При включенной службы сертификации на Microsoft Windows Server 2003 пакетом обновления 1 (SP1) — на основе компьютера. При использовании консоли сертификатов на клиентском компьютере для запроса сертификата, появляется следующее сообщение об ошибке: Мастер не может быть запущена из-за один или несколько из следующих условий:
-Не доверенных центров сертификации (ЦС) доступны.
-У вас нет разрешения на запрос сертификатов с доступных ЦС.
-Доступные ЦС выдают сертификаты, для которого у вас нет разрешений. Кроме того, регистрируются события, приложение, войдите на сервер, на котором размещен центр сертификации (ЦС). Эти события выглядеть следующим образом: Тип события: предупреждение
Источник события: CertSvc
Категория события: нет
КОД события: 53
Дата: Дата
Время: время
Пользователь: н/Д
имя_компьютера:Имя_сервера
Описание: Службы сертификации отверг запрос 5 данного центра сертификации. 0x80094800 (-2146875392) не поддерживается запрошенный шаблон. Дополнительные сведения: отказано в доступе модуль политики 0x80094800. Запрос был на шаблон сертификата, который не поддерживается этой политикой служб сертификатов: SubCA. Тип события: ошибка
Источник события: CertSvc
Категория события: нет
КОД события: 21
Дата: Дата
Время: время
Пользователь: н/Д
имя_компьютера:Имя_сервера
Описание: Службы сертификации не удалось обработать запрос 5 из-за ошибки: текущее состояние запроса не допускает выполнения этой операции. 0x80094003 (-2146877437). При включении автоматической подачи заявок на сертификаты в домене, клиентские компьютеры не получают сертификаты автоматически. Кроме того, в приложения регистрируется событие, подобное приведенному ниже журнала: Тип события: ошибка
Источник события: автоматическая подача заявок
Категория события: нет
КОД события: 13
Дата: Дата
Время: время
Пользователь: н/Д
имя_компьютера:имя_компьютера:
Описание:: Знакомство с Windows Server 2003 SP1 некоторых расширенных параметров безопасности для протокола DCOM.
В частности, Windows Server 2003 SP1 содержит права, которые предоставляют администратору независимый контроль над локальной и удаленной разрешения для выполнения следующих задач: - Запуск сервера для модели компонентных объектов (COM)
- Активация параметров сервера COM
- Доступ к COM сервера
В процессе установки пакета обновления 1 для Windows Server 2003 создает новую группу безопасности CERTSVC_DCOM_ACCESS. После установки Windows Server 2003 SP1 эту новую группу безопасности должны иметь соответствующие разрешения на доступ К DCOM и запуск DCOM и активации разрешения. По умолчанию в глобальную группу пользователей домена и глобальной группы, компьютеры домена находятся в группе CERTSVC_DCOM_ACCESS. Если службы сертификации выполняется на контроллере домена, группы CERTSVC_DCOM_ACCESS создается как локальные группы домена. Кроме того группа контроллеров корпоративного домена должен быть членом группы CERTSVC_DCOM_ACCESS. Данная проблема возникает, если членство в группе CERTSVC_DCOM_ACCESS настроен неправильно. Чтобы устранить данную проблему, выполните указанные ниже действия.: - Убедитесь, что группа CERTSVC_DCOM_ACCESS существует в домене, на котором размещен центр сертификации. Эта группа находится вCN = UsersКонтейнер. Выполните следующие действия::
- затем –START ::затем –ВыполнитьTYPE :DSA.mscи выберите командуOk..
- В левой области щелкните ссылкупользователиКонтейнер.
- Проверьте правильностьCERTSVC_DCOM_ACCESSгруппа находится в правой области. ЕслиCERTSVC_DCOM_ACCESSгруппы не находится в правой панели, перейдите к шагу 4.
- Убедитесь, что группа CERTSVC_DCOM_ACCESS включает следующие группы элементов:
- Пользователи домена
- Компьютеры домена
Если эти группы элементов в группе CERTSVC_DCOM_ACCESS отсутствуют, перейдите к шагу 4.
Примечание.Если пользователи или компьютеры в других доменах необходимо подать заявку для центра сертификации, необходимо также добавить этих пользователей и компьютеров к группе CERTSVC_DCOM_ACCESS. Текущая проблема возникает на контроллере домена, необходимо также добавить группу «контроллеры домена предприятия» в группу CERTSVC_DCOM_ACCESS. По умолчанию контроллеры домена не являются членами глобальной группы, компьютеры домена. Таким образом контроллеры домена имеют необходимые разрешения DCOM. - Убедитесь, что группа CERTSVC_DCOM_ACCESS имеет соответствующие разрешения на доступ К DCOM, разрешения на запуск DCOM и активации компьютера, на котором размещен центр сертификации.
- затем –START ::, выберите пунктProgram (Программа), выберите пунктАдминистрированиеи выберите командуСлужбы компонентов.
- Разверните узелСлужбы компонентовузел.
- Разверните узелКомпьютерыузел.
- , щелкните правой кнопкой мыши объектМой компьютерузел, а затем нажмите кнопкуСвойства.
- Перейдите на вкладкуБезопасность COMTAB:.
- Из спискаРазрешение на доступзатем –Изменение ограничений.
- Убедитесь, что группа CERTSVC_DCOM_ACCESSРазрешить локальный доступиРазрешить удаленный доступразрешения, а затем нажмите кнопкуОтмена:.
- Из спискаЗапуск и активацию разрешениязатем –Изменение ограничений.
- Убедитесь, что группа CERTSVC_DCOM_ACCESSРазрешить Локальная активацияиРазрешить удаленную активациюразрешения, а затем нажмите кнопкуОтмена:.
- затем –Отмена:, а затем закройтеСлужбы компонентовконсоль.
- Параметры могут быть неправильно, если выполняется одно из следующих условий:
- CERTSVC_DCOM_ACCESS группы не существует.
- По умолчанию в состав группы CERTSVC_DCOM_ACCESS неверно.
- Группа CERTSVC_DCOM_ACCESS не имеет необходимых разрешений.
Если неверно любой один параметр, выполните следующие команды в командной строке. (после каждой команды нажмите клавишу ВВОД):.команда certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc - Повторите шаги с 1 по 3, чтобы убедиться, что все параметры заданы правильно.
Примечание.Если эти изменения влияют на членство в группе сервера центра сертификации, необходимо перезагрузить сервер, чтобы изменения вступили в силу.
Для получения дополнительных сведений о изменение параметров безопасности DCOM в Windows Server 2003 с пакетом обновления 1 (SP1) щелкните следующий номер статьи базы знаний Майкрософт: 903220
(http://support.microsoft.com/kb/903220/
)
Описание изменений в параметры безопасности DCOM, после установки Windows Server 2003 с пакетом обновления 1 (SP1) Код статьи: 927066 - Последнее изменение :: 27 ноября 2010 г. - Редакция: 2.0 Информация в данной статье относится к следующим продуктам.- Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
- Microsoft Windows Server 2003, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
- Microsoft Windows Server 2003, Web Edition
- Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
- Microsoft Windows Server 2003, Enterprise x64 Edition
- Microsoft Windows Server 2003, Standard x64 Edition
| kbtshoot kbprb kbmt KB927066 KbMtru |
Переведено с помощью машинного переводаВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода. Эта статья на английском языке: 927066
(http://support.microsoft.com/kb/927066/en-us/
)
| |
Перейти к началу страницы
