เกิดข้อผิดพลาดเมื่อคอมพิวเตอร์แบบไคลเอ็นต์ร้องขอใบรับรองจากคอมพิวเตอร์ที่ใช้ Windows Server 2003 Service Pack 1: "ตัวช่วยสร้างไม่สามารถเริ่มต้นเนื่องจากความอย่างน้อยหนึ่งอย่างมีเงื่อนไขใด ๆ ต่อไปนี้"

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 927066 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

คุณได้กำหนดให้ใช้บริการ Certificate Services บนการ Microsoft Windows Server 2003 Service Pack 1 (SP1) - โดยใช้คอมพิวเตอร์ เมื่อคุณใช้คอนโซลใบรับรองบนคอมพิวเตอร์แบบไคลเอ็นต์ในการร้องขอใบรับรอง คุณได้รับข้อความแสดงข้อความแสดงข้อผิดพลาดต่อไปนี้:
ตัวช่วยสร้างไม่สามารถเริ่มต้นเนื่องจากความอย่างน้อยหนึ่งอย่างมีเงื่อนไขใด ๆ ต่อไปนี้:
-มีไม่เชื่อถือได้รับรอง (CAs) พร้อมใช้งาน
-คุณไม่ต้องการอนุญาตใบรับรองที่ร้องขอจาก CAs ที่พร้อมใช้งาน
-CAs ที่พร้อมใช้งานการออกใบรับรองที่คุณไม่มีสิทธิ์
นอกจากนี้ การบันทึกล็อกเหตุการณ์ในแอพลิเคชันที่เข้าสู่ระบบเซิร์ฟเวอร์ที่โฮสต์การออกใบรับรอง (CA) มีเหตุการณ์เหล่านี้ลักษณะต่อไปนี้:

ชนิดเหตุการณ์: คำเตือน
แหล่งของเหตุการณ์: CertSvc
ประเภทเหตุการณ์: ไม่มี
รหัสเหตุการณ์: 53
วัน: วัน
เวลา: เวลา
ผู้ใช้: n/a
คอมพิวเตอร์:Servername
คำอธิบาย: Certificate Services ปฏิเสธการร้องขอ 5 เนื่องจากแม่แบบใบรับรองที่ร้องขอไม่ถูกสนับสนุน โดยนี้ CA 0x80094800 (-2146875392) ข้อมูลเพิ่มเติม: ถูกปฏิเสธ โดยโมดูลนโยบาย 0x80094800 การร้องขอมีแม่แบบใบรับรองที่ไม่ถูกสนับสนุน โดยนโยบาย Certificate Services: SubCA

ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งของเหตุการณ์: CertSvc
ประเภทเหตุการณ์: ไม่มี
รหัสเหตุการณ์: 21
วัน: วัน
เวลา: เวลา
ผู้ใช้: n/a
คอมพิวเตอร์:Servername
คำอธิบาย: Certificate Services ไม่สามารถประมวลผลคำขอที่ 5 เนื่องจากการเกิดข้อผิดพลาด: การสถานะปัจจุบันของการร้องขอไม่อนุญาตการดำเนินการนี้ได้ 0x80094003 (-2146877437)

ถ้าคุณเปิดใช้งานการลงทะเบียนใบรับรองในโดเมนโดยอัตโนมัติ คอมพิวเตอร์ไคลเอนต์ไม่สามารถรับใบรับรองโดยอัตโนมัติ นอกจากนี้ การบันทึกล็อกเหตุการณ์ที่มีลักษณะดังต่อไปนี้ในแอพลิเคชันในแฟ้มบันทึก:

ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: ลงทะเบียนโดยอัตโนมัติ
ประเภทเหตุการณ์: ไม่มี
รหัสเหตุการณ์: 13
วัน: วัน
เวลา: เวลา
ผู้ใช้: n/a
คอมพิวเตอร์:computername
คำอธิบาย::

สาเหตุ

windows Server 2003 SP1 แนะนำการตั้งค่าความปลอดภัยบางค่าเริ่มต้นขั้นสูงสำหรับโพรโทคอล DCOM โดยเฉพาะอย่างยิ่ง ที่ Windows Server 2003 SP1 แนะนำสิทธิ์ที่กำหนดให้กับผู้ดูแลท้องถิ่นควบคุมอิสระและรีโมท สิทธิ์สำหรับการดำเนินการต่อไปนี้:
  • เริ่มการทำงานของเซิร์ฟเวอร์คอมโพเนนต์วัตถุแบบจำลอง (COM)
  • การเรียกใช้การตั้งค่าของเซิร์ฟเวอร์ COM
  • การเข้าถึง COM เซิร์ฟเวอร์
กระบวนการติดตั้ง Windows Server 2003 SP1 สร้างกลุ่มการรักษาความปลอดภัย CERTSVC_DCOM_ACCESS ใหม่ หลังจากการติดตั้ง Windows Server 2003 SP1 กลุ่มการรักษาความปลอดภัยใหม่นี้ควรมีสิทธิ์ DCOM ในการเข้าถึงที่เหมาะสม และ DCOM เปิดใช้ และสิทธิ์ในการเปิดใช้งาน โดยค่าเริ่มต้น กลุ่มส่วนกลางของผู้ใช้โดเมนและกลุ่มส่วนกลางของโดเมนที่คอมพิวเตอร์อยู่ในกลุ่ม CERTSVC_DCOM_ACCESS ถ้ามีการเรียกใช้บริการ Certificate Services บนตัวควบคุมโดเมน มีสร้างกลุ่ม CERTSVC_DCOM_ACCESS เป็นกลุ่มภายในโดเมน นอกจากนี้ กลุ่มตัวควบคุมโดเมนขององค์กรควรเป็นสมาชิกของกลุ่ม CERTSVC_DCOM_ACCESS ปัญหานี้เกิดขึ้นหากมีการกำหนดค่าไว้เป็นสมาชิกของกลุ่ม CERTSVC_DCOM_ACCESS อย่างไม่ถูกต้อง

การแก้ไข

เมื่อต้องการแก้ไขปัญหา ดำเนินการดังต่อไปนี้:
  1. ตรวจสอบว่า กลุ่ม CERTSVC_DCOM_ACCESS ที่มีอยู่ในโดเมนที่เป็นโฮสต์ผู้มีสิทธิ์ออกใบรับรองนี้ กลุ่มนี้อยู่ในนั้นCN =ผู้ใช้คอนเทนเนอร์ โดยให้ทำตามขั้นตอนต่อไปนี้::
    1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:Dsa.mscแล้ว คลิกตกลง.
    2. ในบานหน้าต่างด้านซ้าย คลิกการผู้ใช้คอนเทนเนอร์
    3. ตรวจสอบว่า การcertsvc_dcom_accessกลุ่มที่อยู่ในบานหน้าต่างด้านขวา ถ้าการcertsvc_dcom_accessกลุ่มไม่อยู่ในบานหน้าต่างด้านขวา ไปที่ขั้นตอนที่ 4
  2. ตรวจสอบว่า กลุ่ม CERTSVC_DCOM_ACCESS รวมกลุ่มสมาชิกต่อไปนี้:
    • ผู้ใช้โดเมน
    • คอมพิวเตอร์โดเมน
    ถ้ากลุ่มสมาชิกเหล่านี้ไม่มีอยู่ในกลุ่ม CERTSVC_DCOM_ACCESS ไปที่ขั้นตอนที่ 4

    หมายเหตุ:ถ้าผู้ใช้หรือคอมพิวเตอร์ในโดเมนอื่นจำเป็นต้องลงทะเบียนกับผู้มีสิทธิ์ออกใบรับรอง คุณต้องยังเพิ่มผู้ใช้และคอมพิวเตอร์เหล่านั้นไปยังกลุ่ม CERTSVC_DCOM_ACCESS หากเกิดปัญหาปัจจุบันบนตัวควบคุมโดเมน คุณต้องเพิ่มกลุ่มตัวควบคุมโดเมนขององค์กรกลุ่ม CERTSVC_DCOM_ACCESS เช่นกัน โดยค่าเริ่มต้น ตัวควบคุมโดเมนจะไม่สมาชิกของกลุ่มส่วนกลางของเครื่องคอมพิวเตอร์ในโดเมน ดังนั้น ตัวควบคุมโดเมนไม่มีสิทธิ์ DCOM เพียงพอ
  3. ตรวจสอบว่า กลุ่ม CERTSVC_DCOM_ACCESS มีสิทธิ์ DCOM ในการเข้าถึงที่เหมาะสมและสิทธิ์ในการเปิดใช้ DCOM และเปิดใช้งานบนคอมพิวเตอร์ที่เป็นโฮสต์ผู้มีสิทธิ์ออกใบรับรองนี้
    1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรม:ชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกบริการคอมโพเนนต์.
    2. ขยายการบริการคอมโพเนนต์โหน
    3. ขยายการคอมพิวเตอร์โหน
    4. คลิกขวาMy Computerโหน แล้วคลิกคุณสมบัติ.
    5. คลิกการการรักษาความปลอดภัย COMแท็บ
    6. ภายใต้การอนุญาตการเข้าถึงคลิกจำกัดแก้ไข.
    7. ตรวจสอบว่า มีกลุ่ม CERTSVC_DCOM_ACCESSอนุญาตการเข้าถึงเฉพาะและอนุญาตการเข้าถึงระยะไกลสิทธิ์ แล้วคลิกยกเลิก.
    8. ภายใต้เปิดและการเปิดใช้งานการอนุญาตคลิกจำกัดแก้ไข.
    9. ตรวจสอบว่า มีกลุ่ม CERTSVC_DCOM_ACCESSอนุญาตให้มีการเปิดใช้งานภายในและอนุญาตให้มีการเปิดใช้งานระยะไกลสิทธิ์ แล้วคลิกยกเลิก.
    10. คลิกยกเลิกแล้ว ปิดบริการคอมโพเนนต์คอนโซล
  4. การตั้งค่าอาจไม่ถูกต้องหากมีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
    • ไม่มีกลุ่ม CERTSVC_DCOM_ACCESS
    • ค่าเริ่มต้นเป็นสมาชิกของกลุ่ม CERTSVC_DCOM_ACCESS ไม่ถูกต้อง
    • กลุ่ม CERTSVC_DCOM_ACCESS ไม่มีสิทธิ์ที่ถูกต้อง
    ถ้าการตั้งค่าหนึ่งที่ไม่ถูกต้อง เรียกใช้คำสั่งต่อไปนี้ที่พร้อมท์คำสั่ง กด ENTER หลังจากแต่ละคำสั่ง
    certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    หยุดสุทธิ certsvc
    เริ่มต้นสุทธิ certsvc
  5. ทำซ้ำขั้นตอนที่ 1 ถึง 3 เพื่อตรวจสอบว่า การตั้งค่าทั้งหมดที่ถูกต้อง

    หมายเหตุ:If the changes affect the group membership of the certification authority server, you must restart the server for the changes to take effect.

ข้อมูลเพิ่มเติม

For more information about how Windows Server 2003 Service Pack 1 changes the DCOM security settings, click the following article number to view the article in the Microsoft Knowledge Base:
903220Description of the changes to DCOM security settings after you install Windows Server 2003 Service Pack 1

คุณสมบัติ

หมายเลขบทความ (Article ID): 927066 - รีวิวครั้งสุดท้าย: 16 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Service Pack 1 เมื่อใช้กับ:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Keywords: 
kbtshoot kbprb kbmt KB927066 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:927066

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com