當用戶端電腦要求憑證以 Service Pack 1 執行 Windows Server 2003 的電腦時,出現錯誤訊息: 「 因為一或多個下列情況成立,所以無法啟動精靈 」

文章翻譯 文章翻譯
文章編號: 927066 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

您已啟用 「 憑證服務 」 上一個 Microsoft Windows Server 2003 Service Pack 1 (SP1)-根據電腦。當您使用用戶端電腦下的 [憑證] 主控台來要求憑證時,您會收到下列錯誤訊息:
無法啟動精靈,是因為其中一個或多個下列條件:
-有不受信任的憑證授權單位 (CA) 可用。
-您沒有權限來要求憑證從可用的 CA。
-可用的 CA 發出的憑證,您不具有權限。
此外,將事件記錄在應用程式登入主控憑證授權單位 (CA) 的伺服器。這些事件如下所示:

事件類型: 警告
事件來源: CertSvc
事件類別: 無
事件識別碼: 53
日期: 日期
時間: 時間
使用者: N/A
電腦: ServerName
描述: 憑證服務拒絕要求 5,因為要求的憑證範本不支援的這個 CA 0x80094800 (-2146875392)。其他資訊: 由原則模組 0x80094800 被拒。要求已為不支援憑證服務原則的憑證範本: SubCA。

事件類型: 錯誤
事件來源: CertSvc
事件類別: 無
事件識別碼: 21
日期: 日期
時間: 時間
使用者: N/A
電腦: ServerName
描述: 憑證服務無法處理要求 5 發生錯誤: 要求的目前狀態不允許這項作業。0x80094003 (-2146877437)。

如果您啟用自動註冊的網域中的憑證,用戶端電腦無法自動取得憑證。此外,了應用程式中記錄類似下列的事件記錄檔:

事件類型: 錯誤
事件來源: 尋找自動註冊
事件類別: 無
事件識別碼: 13
日期: 日期
時間: 時間
使用者: N/A
電腦: ComputerName
描述:

發生的原因

Windows Server 2003 SP1 引入 DCOM 通訊協定一些增強的預設安全性設定。 Windows Server 2003 SP1 引入獨立控制本機和遠端,指定給系統管理員的權限的特別,下列工作的權限:
  • 啟動元件物件模型 (COM) 伺服器
  • 啟動的 COM 伺服器設定
  • 存取 COM 伺服器
Windows Server 2003 SP1 安裝程序會建立新的 CERTSVC_DCOM_ACCESS 安全性群組。Windows Server 2003 SP1 安裝之後, 適當的 DCOM 存取使用權限] 和 [DCOM 啟動] 和 [啟動權限,應該有這個新的安全性群組。 預設情況下,網域使用者的通用群組和網域電腦通用群組位於 CERTSVC_DCOM_ACCESS 群組中。如果 「 憑證服務 」 服務在網域控制站上執行,CERTSVC_DCOM_ACCESS 群組被建立為網域本機群組。此外,企業網域控制站群組應該是 CERTSVC_DCOM_ACCESS 群組的成員。如果未正確設定 CERTSVC_DCOM_ACCESS 群組的成員資格,便會發生這個問題。

解決方案

如果要解決此問題,請依照下列步驟執行:
  1. 請確認 CERTSVC_DCOM_ACCESS 群組存在於主控憑證授權單位的網域中。此群組是在 CN = Users 容器。要這麼做,請您執行下列步驟:
    1. 按一下 [開始]、 按一下 [執行]、 輸入 Dsa.msc,然後按一下 [確定]]。
    2. 在左邊的窗格中, 按一下 [使用者 容器。
    3. 確認 CERTSVC_DCOM_ACCESS 群組是在右邊窗格中。如果 CERTSVC_DCOM_ACCESS 群組不是在右邊窗格中,請前往步驟 4。
  2. 請確認 CERTSVC_DCOM_ACCESS 群組包含下列的成員群組:
    • 網域使用者
    • 網域電腦
    如果這些成員群組不存在於 CERTSVC_DCOM_ACCESS 群組,前往步驟 4。

    附註如果其他網域中的使用者或電腦需要註冊對憑證授權單位,您也必須到 CERTSVC_DCOM_ACCESS 群組上新增這些使用者和電腦。如果目前有問題發生在網域控制站上,也必須新增 「 企業網域控制站 」 群組至 CERTSVC_DCOM_ACCESS 群組。預設情況下,網域控制站不是網域電腦的通用群組成員。因此,網域控制站沒有足夠的 DCOM 權限。
  3. 請確認 CERTSVC_DCOM_ACCESS 群組具有適當的 DCOM 存取使用權限和 DCOM 啟動和啟用權限主控憑證授權單位的電腦上。
    1. 按一下 [開始],指向 [程式]、 指向 [系統管理工具,然後再按一下 [元件服務]。
    2. 展開 [元件服務] 節點。
    3. 展開 [電腦] 節點。
    4. 在 [我的電腦] 節點上按一下滑鼠右鍵,然後按一下 [內容]。
    5. 按一下 [COM 安全性] 索引標籤。
    6. 在 [存取使用權限,按一下 [編輯限制]。
    7. 確認 CERTSVC_DCOM_ACCESS 群組有 允許本機存取] 及 [允許遠端存取 使用權限,然後按一下 [取消]
    8. 在下 啟動和啟用權限,按一下 [編輯限制]。
    9. 確認 CERTSVC_DCOM_ACCESS 群組有 允許本機啟用] 及 [允許遠端啟用 使用權限,然後按一下 [取消]
    10. 按一下 [取消],然後再關閉 [元件服務] 主控台。
  4. 設定可能不正確如果任一下列條件為真:
    • CERTSVC_DCOM_ACCESS 群組不存在。
    • 預設成員資格的 CERTSVC_DCOM_ACCESS 群組不正確。
    • CERTSVC_DCOM_ACCESS 群組沒有正確的權限。
    如果任何一項設定不正確的在命令提示字元中執行下列命令。在每個命令之後按 ENTER。
    certutil-setreg SetupStatus-SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    網路開始 certsvc
  5. 重複步驟 1 到 3 以確認所有設定都正確。

    附註如果變更會影響到憑證授權單位伺服器的群組成員資格,您必須重新啟動伺服器以進行變更才能生效。

其他相關資訊

如需有關 Windows Server 2003 Service Pack 1 如何變更 DCOM 安全性設定,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
903220在您安裝 Windows Server 2003 Service Pack 1 之後的 DCOM 安全性設定變更的說明

屬性

文章編號: 927066 - 上次校閱: 2007年10月11日 - 版次: 1.2
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
關鍵字:?
kbmt kbtshoot kbprb KB927066 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:927066
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com