Při vyžádání certifikátu z počítače se systémem Windows Server 2003 s aktualizací Service Pack 1 zobrazí chybová zpráva: "žádost o certifikát se nezdařila z jednoho z následujících podmínek..."

Důležité: Tento článek obsahuje informace o úpravě registru. Přesvědčte se, zda jste zálohovali registr před úpravami. Ujistěte se, že víte, jak registr obnovit v případě výskytu problému. Další informace o zálohování, obnovení a úpravě registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows

Příznaky

Při použití modulu snap-in Certifikáty požádat o certifikát počítače nebo certifikát uživatel můžete obdržet jednu z následujících chybových zpráv:

Zpráva 1

Žádost o certifikát se nezdařila z jednoho z následujících podmínek:
-Žádost o certifikát byl odeslán viz komentář, který není spuštěn.
-Nemáte oprávnění k žádosti o certifikáty ze dostupné CÚ.

Zpráva 2

Žádost o certifikát se nezdařila z jednoho z následujících podmínek:
-Požadavek vyžadoval certifikát pro výměnu z certifikačního úřadu (CÚ) který není spuštěn.
-Nemáte oprávnění k žádosti o certifikáty ze dostupné CÚ.
Tomuto problému může dojít, pokud je povolena služba Certificate Services v hostitelském počítači se systémem Microsoft Windows Server 2003 s aktualizací Service Pack 1 (SP1).

Příčina

Tomuto problému může dojít, pokud klientský počítač chybí položka registru EnableDCOM.

Položka registru EnableDCOM je umístěna v následujícím podklíči registru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

Řešení

Chcete-li vyřešit tento problém, zkontrolujte, zda problém nesouvisí certifikačního úřadu (CÚ). Poté přidejte chybějící položka registru.

Následujícím postupem ověřte, zda problém nesouvisí certifikačního úřadu.

Poznámka: Tento postup vyžaduje nástroj Cominfo.exe. Chcete-li získat nástroj Cominfo.exe, obraťte se na technickou podporu společnosti Microsoft. Úplný seznam telefonních čísel služeb podpory zákazníků společnosti Microsoft a informace o cenách podpory naleznete na následujícím webu společnosti Microsoft:
  1. Ověřte, zda certifikační Autority a všechny jeho nadřazený certifikační úřad certifikáty jsou důvěryhodné a platný.
  2. Ujistěte se, zda šablona certifikátu volitelný seznam řízení přístupu (DACL) v certifikační Autoritě zahrnuje skupiny Authenticated Users. Pokud skupina Authenticated Users je odebrán ze seznamu DACL, certifikační úřad již nemůže číst šablony ve službě Active Directory. Proto nelze certifikační úřad vydávat certifikáty.
  3. V klientském počítači zadejte na příkazovém řádku následující příkazy. Po každém příkazu stiskněte klávesu ENTER.
    certutil – šablona
    certutil – výpis
    Poznámka: První příkaz zobrazí dostupné šablony oprávnění uživatele. Pro každou šablonu certifikátu, kterou nelze použít aktuálně přihlášeného uživatele, zobrazí se stav "Přístup odepřen". Druhý příkaz zobrazí seznam certifikačních úřadů rozlehlé sítě.
  4. Příkaz Najít běžný název (CN) certifikačního úřadu a potom stiskněte klávesu ENTER:
    certutil – výpis | findstr config
  5. Zadejte následující příkaz a stiskněte klávesu ENTER:
    Konfigurace nastavení =CAMachineDNSName\CACommonName
  6. Zadejte následující příkaz a stiskněte klávesu ENTER:
    certutil – konfigurace "config %" – ping
    Můžete obdržet zprávu "Přístup odepřen".
  7. Zadejte následující příkaz, chcete-li exportovat certifikát CÚ serveru exchange a potom stiskněte klávesu ENTER:
    certutil – konfigurace "config %"-cainfo xchg
    Může se zobrazit zpráva podobná následující:
    Exportovat certifikát CÚ serveru Exchange xchg.cer
  8. Zadejte následující příkaz a stiskněte klávesu ENTER:
    certutil – konfigurace "config %" – xchg.cer urlfetch-ověření
    Může se zobrazit zpráva podobná následující:
    CertUtil-ověřit příkaz se nezdařil: 0x8009310b (ASN: 267)
  9. Spusťte nástroj Cominfo.exe shromažďovat informace o modelu DCOM.

    Nástroj Cominfo.exe může způsobit výstup podobný následujícímu:
    Nainstalován model DCOM
    Ve skupinovém rámečku HKEY_LOCAL_MACHINE\Software\Microsoft\Ole není hodnota EnableDCOM. [Upozornění: pravděpodobně zobrazí chybová zpráva RPC_E_REMOTE_DISABLED při spuštění aplikace DCOM v tomto počítači.]
    Tato zpráva potvrzuje, že problém souvisí s chybějící položka registru.
Chcete-li přidat položku registru EnableDCOM, postupujte takto.

Upozornění: Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
  3. V nabídce Úpravy přejděte na příkaz Novýa potom klepněte na tlačítko Řetězcová hodnota.
  4. Zadejte EnableDCOMa stiskněte klávesu ENTER.
  5. EnableDCOMklepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte Y a potom klepněte na tlačítko OK.
  7. Ukončete Editor registru.

Další informace

Další informace o podobném problému klepněte na následující číslo článku databáze Microsoft Knowledge Base:

927066 chybová zpráva při klientského počítače požaduje certifikát z počítače se systémem Windows Server 2003 s aktualizací Service Pack 1: "Průvodce nelze spustit z důvodu jeden nebo více následujících podmínek"

Další informace o změnách nastavení zabezpečení DCOM po můžete nainstalovat Windows Server 2003 Service Pack 1, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

Popis změn nastavení zabezpečení DCOM po instalaci Windows Server 2003 Service Pack 1 903220

Vlastnosti

ID článku: 929494 - Poslední kontrola: 14. 1. 2017 - Revize: 1

Váš názor