Запросить сертификат с компьютера под управлением Windows Server 2003 с пакетом обновления 1 появляется сообщение об ошибке: «не удалось из-за одного из следующих conditions… для запроса сертификата»

Переводы статьи Переводы статьи
Код статьи: 929494 - Vizualiza?i produsele pentru care se aplic? acest articol.
Существенный:Статья содержит сведения об изменении реестра. Убедитесь в наличии резервной копии реестра перед внесением изменений.. и изучить процедуру его восстановления.. Для получения дополнительных сведений о способах резервного копирования, восстановления и внесения изменений в реестр, обратитесь к следующей статье Microsoft Knowledge Base::
256986Описание реестра Microsoft Windows
Развернуть все | Свернуть все

Проблема

При использовании оснастки сертификатов для запроса сертификата компьютера или сертификат пользователя, может появиться одно из следующих сообщений об ошибке:

Сообщение 1

Запрос на сертификат не удалось из-за одной из следующих условий:
-Запрос на сертификат был поставлен см. Примечание, который не запущен.
-У вас нет разрешения на запрос сертификатов с доступных ЦС.

Сообщение 2

Запрос на сертификат не удалось из-за одной из следующих условий:
-Запроса требуется обмен сертификат из центра сертификации (ЦС), который не запущен.
-У вас нет разрешения на запрос сертификатов с доступных ЦС.
Эта проблема может возникнуть при включении служб сертификатов на компьютере под управлением Microsoft Windows Server 2003 с пакетом обновления 1 (SP1).

Причина

Проблема возникает в том случае, если клиентский компьютер отсутствует в записи реестра EnableDCOM.

Запись реестра EnableDCOM находится в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

Решение

Чтобы устранить эту проблему, убедитесь, что проблема не связана с центром сертификации (ЦС). Затем добавьте отсутствующие записи реестра.

Выполните следующие действия, чтобы убедиться в том, что проблема не связана с ЦС.

Примечание.Эту процедуру необходимо использовать служебную программу Cominfo.exe. Для получения Cominfo.exe программы, обратитесь службу поддержки пользователей Майкрософт. Полный список телефонов службы поддержки пользователей корпорации Майкрософт и сведения о стоимости поддержки посетите следующий веб-узел корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=support
  1. Verify that the CA and all its parent CA certificates are trusted and valid.
  2. Make sure that the certificate template's discretionary access control list (DACL) on the CA includes the Authenticated Users group. If the Authenticated Users group is removed from the DACL, the CA can no longer read the template in Active Directory. Therefore, the CA cannot issue certificates.
  3. On the client computer, type the following commands at a command prompt. (после каждой команды нажмите клавишу ВВОД):.
    certutil –template
    certutil –dump
    Примечание.The first command displays the user's permissions on the available templates. An "Access denied" status appears for each certificate template that cannot be used by the user who is currently logged on. The second command displays a list of enterprise CAs.
  4. Type the following command to find the common name (CN) of the CA, and then press ENTER:
    certutil –dump | findstr config
  5. Введите следующую команду и нажмите клавишу ВВОД.:
    set config=CAMachineDNSName\CACommonName
  6. Введите следующую команду и нажмите клавишу ВВОД.:
    certutil –config "%config%" –ping
    You may receive an "Access denied" message.
  7. Type the following command to export a CA exchange certificate, and then press ENTER:
    certutil –config "%config%" –cainfo xchg
    Появляется следующее сообщение об ошибке::
    Exported CA Exchange Certificate to xchg.cer
  8. Введите следующую команду и нажмите клавишу ВВОД.:
    certutil –config "%config%" –verify –urlfetch xchg.cer
    Появляется следующее сообщение об ошибке::
    CertUtil -verify command FAILED: 0x8009310b (ASN: 267)
  9. Run the Cominfo.exe utility to collect DCOM information.

    The Cominfo.exe utility may produce output that resembles the following:
    DCOM Installed
    The value EnableDCOM is not present under HKEY_LOCAL_MACHINE\Software\Microsoft\Ole. [Warning: You are likely to get error RPC_E_REMOTE_DISABLED if you run DCOM applications in this machine.]
    This message confirms that the problem is related to the missing registry entry.
To add the EnableDCOM registry entry, follow these steps.

ПредупреждениеНеправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок.. Эти проблемы могут привести к необходимости переустановки операционной системы.. Корпорация Майкрософт не гарантирует, что эти проблемы можно будет устранить.. Изменения в реестр вы вносите на свой страх и риск..
  1. затем –START ::затем –ВыполнитьTYPE :regeditи выберите командуOk..
  2. Найдите и откройте следующий подраздел реестра::
    HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
  3. в менюВ файлеВыберите пункт менюСОЗДАТЬ.и выберите командуСтроковый параметр:.
  4. TYPE :EnableDCOMи нажмите клавишу ВВОД..
  5. Щелкните правой кнопкой мышиEnableDCOMи выберите командуModify.
  6. TYPE :YВ диалоговом окнеЗначениеполя, а затем нажмите кнопкуOk..
  7. Закройте редактор реестра..

Дополнительная информация

Для получения дополнительных сведений о похожей проблеме щелкните номер следующей статьи базы знаний Майкрософт::
927066Error message when a client computer requests a certificate from a computer that is running Windows Server 2003 with Service Pack 1: "The wizard cannot be started because of one or more of the following conditions"
For more information about the changes to DCOM security settings after you install Windows Server 2003 Service Pack 1, click the following article number to view the article in the Microsoft Knowledge Base:
903220Description of the changes to DCOM security settings after you install Windows Server 2003 Service Pack 1

Свойства

Код статьи: 929494 - Последний отзыв: 28 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Ключевые слова: 
kberrmsg kbtshoot kbexpertiseadvanced kbprb kbmt KB929494 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:929494

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com