当客户端计算机从与 Service Pack 1 运行 Windows Server 2003 的计算机请求一个证书时出现错误消息:"因为一个或多个下列条件原因而无法启动该向导"

文章翻译 文章翻译
文章编号: 927066 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

您已经启用了 $ 证书服务的服务上一个 Microsoft Windows Server 2003 Service Pack 1 (SP1) 基于计算机。当您在客户端计算机上使用证书控制台来请求证书时,您收到以下错误消息:
由于一个或多个下列条件,未能启动向导:
-有不受信任的证书颁发机构 (ca) 可用。
-您没有权限请求证书从可用的 ca。
-可用的 ca 颁发的证书,您没有权限。
此外,应用程序中记录事件日志承载证书颁发机构 (CA) 的服务器上。这些事件类似于以下内容:

事件类型: 警告
事件源: CertSvc
事件类别: 无
事件 ID: 53
日期: 日期
时间: 时间
用户: 不适用
计算机: ServerName
说明: 由于请求的证书模板不支持该 CA 0x80094800 (-2146875392) 证书服务拒绝请求 5。其他信息: 由策略模块 0x80094800 被拒绝。请求了不受证书服务策略的证书模板: SubCA。

事件类型: 错误
事件源: CertSvc
事件类别: 无
事件 ID: 21
日期: 日期
时间: 时间
用户: 不适用
计算机: ServerName
说明: 证书服务无法处理错误的请求 5: 请求的当前状态不允许此操作。0x80094003 (-2146877437)。

如果启用了在域中的证书自动注册客户端计算机不能自动获取证书。另外,在应用程序中记录类似于以下内容的事件日志:

事件类型: 错误
事件源: 自动注册
事件类别: 无
事件 ID: 13
日期: 日期
时间: 时间
用户: 不适用
ComputerName 的计算机:
说明:

原因

Windows Server 2003 SP1 引入了一些增强的默认的安全设置的 DCOM 协议。 专门,Windows Server 2003 SP1 引入了独立控制本地和远程提供管理员的权限为下列任务的权限:
  • 启动组件对象模型 (COM) 服务器
  • 激活 COM 服务器设置
  • 访问 COM 服务器
Windows Server 2003 SP1 的安装过程将创建一个新的 CERTSVC_DCOM_ACCESS 安全组。Windows Server 2003 SP1 的安装后, 此新的安全组应具有相应的 DCOM 访问权限和 DCOM 启动和激活权限。 默认状态下,域用户的全局组和域计算机的全局组驻留 CERTSVC_DCOM_ACCESS 组中。如果 $ 证书服务的服务正在运行的域控制器上,CERTSVC_DCOM_ACCESS 组被创建为域本地组中。此外,企业域控制器组应 CERTSVC_DCOM_ACCESS 组的成员。如果 CERTSVC_DCOM_ACCESS 组的成员身份配置不正确,则会出现此问题。

解决方案

若要解决该问题,请按照下列步骤操作:
  1. 验证 CERTSVC_DCOM_ACCESS 组承载该证书颁发机构的域中存在。此组处于该 CN = 用户 容器。若要这样做,请按照下列步骤操作:
    1. 单击 开始,单击 运行,键入 Dsa.msc,然后单击 确定
    2. 在左窗格中单击 用户 容器。
    3. 验证 CERTSVC_DCOM_ACCESS 组是在右边的窗格中。如果 CERTSVC_DCOM_ACCESS 组不是在右边的窗格中,请转到步骤 4。
  2. 验证 CERTSVC_DCOM_ACCESS 组包括以下成员组:
    • 域用户
    • 域计算机
    如果这些成员组不存在 CERTSVC_DCOM_ACCESS 组中,请转到步骤 4。

    注意如果用户或其他域中的计算机需要对证书颁发机构注册,还必须向 CERTSVC_DCOM_ACCESS 组添加这些用户和计算机。如果当前问题出现在域控制器上,还必须向 CERTSVC_DCOM_ACCESS 组添加企业域控制器组。默认状态下,域控制器不是域计算机的全局组的成员。因此,域控制器没有足够的 DCOM 权限。
  3. 验证 CERTSVC_DCOM_ACCESS 组有适当的 DCOM 访问权限和 DCOM 启动和激活权限承载该证书颁发机构的计算机上。
    1. 单击 开始、 指向 程序、 指向 管理工具,然后单击 组件服务
    2. 展开 组件服务 节点。
    3. 展开 计算机 节点。
    4. 用鼠标右键单击 我的电脑 节点,然后单击 属性
    5. 单击 COM 安全 选项卡。
    6. 访问权限,单击 编辑限制
    7. 验证 CERTSVC_DCOM_ACCESS 组具有 允许本地访问 和 $ 允许远程访问 权限,然后单击 取消
    8. 在下 启动和激活权限,单击 编辑限制
    9. 验证 CERTSVC_DCOM_ACCESS 组具有 允许本地激活允许远程激活 权限,然后单击 取消
    10. 单击 取消,然后关闭 组件服务 控制台。
  4. 设置可能不正确,如果满足下列条件之一为真,则:
    • CERTSVC_DCOM_ACCESS 组不存在。
    • CERTSVC_DCOM_ACCESS 组的默认成员身份不正确。
    • CERTSVC_DCOM_ACCESS 组没有正确的权限。
    不正确任何一种设置是否在命令提示符处运行以下命令。在每个命令之后按 ENTER。
    certutil-setreg SetupStatus-SETUP_DCOM_SECURITY_UPDATED_FLAG
    净停止 certsvc
    网络启动 certsvc
  5. 重复步骤 1 到步骤 3 以验证所有设置都正确。

    注意如果所做的更改会影响组成员身份的证书颁发机构服务器,则必须重新启动服务器以使更改生效。

更多信息

Windows Server 2003 Service Pack 1 是如何更改 DCOM 安全性设置的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
903220对 DCOM 安全设置在安装 Windows Server 2003 Service Pack 1 后所做的更改的说明

属性

文章编号: 927066 - 最后修改: 2007年10月11日 - 修订: 1.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Service Pack 1?当用于
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
关键字:?
kbmt kbtshoot kbprb KB927066 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 927066
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com