Fehlermeldung, wenn ein Clientcomputer von einem Computer ein Zertifikat anfordert, die Windows Server 2003 mit Service Pack 1 ausgeführt wird: "der Assistent kann nicht durch eine oder mehrere der folgenden Ursachen gestartet werden"

Problembeschreibung

Aktiviert die Zertifikatsdienste auf einem Microsoft Windows Server 2003 Service Pack 1 (SP1)-Computern. Wenn Sie die Konsole Zertifikate zum Anfordern eines Zertifikats auf einem Clientcomputer verwenden, wird die folgende Fehlermeldung angezeigt:
Der Assistent kann nicht durch eine oder mehrere der folgenden Ursachen gestartet werden:
-Es sind keine vertrauenswürdigen Zertifizierungsstellen (CAs) verfügbar.
-Sie verfügen nicht die Berechtigungen zum Anfordern von Zertifikaten von den verfügbaren Zertifizierungsstellen.
-Die verfügbaren Zertifizierungsstellen stellen Zertifikate für die Sie keine Berechtigungen besitzen.
Außerdem werden Ereignisse im Anwendungsprotokoll auf dem Server protokolliert, auf dem die Zertifizierungsstelle (CA) gehostet. Diese Ereignisse wie die folgenden: If automatische Registrierung von Zertifikaten in der Domäne aktivieren können Clientcomputer können keine Zertifikate automatisch beziehen. Darüber hinaus wird ein Ereignis etwa folgender Art im Anwendungsprotokoll protokolliert:

Ursache

Windows Server 2003 SP1 werden einige erweiterte Standardeinstellungen für das DCOM-Protokoll eingeführt. Insbesondere führt Windows Server 2003 SP1 Rechte, die einem Administrator unabhängige Kontrolle über lokale und Remote geben Berechtigungen für folgenden Aufgaben:
  • Component Object Model (COM) Server starten
  • Com-Einstellungen aktivieren
  • Zugriff auf COM-Server
Die Windows Server 2003 SP1-Installation erstellt eine neue Sicherheitsgruppe "CERTSVC_DCOM_ACCESS". Nach der Installation von Windows Server 2003 SP1 sollte die neue Sicherheitsgruppe entsprechenden DCOM-Zugriffsberechtigungen und DCOM-Start und Aktivierungsberechtigungen verfügen. Standardmäßig befinden sich in der Gruppe "Jeder" der globalen Gruppe Domänenbenutzer und globale Gruppe. Wenn die Zertifikatsdienste auf einem Domänencontroller ausgeführt wird, wird die Gruppe "CERTSVC_DCOM_ACCESS" als lokale Gruppe erstellt. Darüber hinaus sollte die Gruppe Domänencontroller Mitglied der Gruppe "Jeder". Dieses Problem tritt auf, wenn die Mitgliedschaft der Gruppe "Jeder" falsch konfiguriert ist.

Problemlösung

Gehen Sie folgendermaßen vor, um das Problem zu beheben:
  1. Stellen Sie sicher, dass die Gruppe "Jeder" in der Domäne vorhanden ist, der die Zertifizierungsstelle hostet. Diese Gruppe ist den CN = Users Container. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf
      Ausführen, geben Sie dsa.msc einund klicken Sie dann auf
      OK.
    2. Klicken Sie im linken Bereich auf den Container Users .
    3. Überprüfen Sie die Gruppe "Jeder" im rechten Fensterbereich. Ist die Gruppe "Jeder" nicht im rechten Fensterbereich, fahren Sie mit Schritt 4 fort.
  2. Stellen Sie sicher, dass die Gruppe "Jeder" die folgenden Elementgruppen enthält:
    • Domänenbenutzer
    • Computer
    Wenn diese Mitgliedergruppen in der Gruppe "Jeder" nicht vorhanden sind, fahren Sie mit Schritt 4 fort.

    Hinweis Wenn Benutzer oder Computer in anderen Domänen der Zertifizierungsstelle registrieren müssen, müssen Sie die Benutzer und Computer der Gruppe "CERTSVC_DCOM_ACCESS" hinzufügen. Tritt das aktuelle Problem auf einem Domänencontroller müssen Sie auch die Gruppe "Jeder" Gruppe Domänencontroller hinzufügen. Standardmäßig sind Domänencontroller nicht Mitglieder der globalen Gruppe. Domänencontroller haben daher nicht genügend DCOM-Berechtigungen.
  3. Stellen Sie sicher, dass die Gruppe "Jeder" die entsprechenden DCOM-Zugriffsberechtigungen und DCOM-Start und Aktivierungsberechtigungen auf dem Computer, der die Zertifizierungsstelle hostet.
    1. Klicken Sie auf Start, zeigen Sie auf
      Anwendung, Verwaltungund klicken Sie dann auf Komponentendienste.
    2. Erweitern Sie den Knoten Komponentendienste .
    3. Erweitern Sie den Knoten Computer .
    4. Maustaste auf Knoten Arbeitsplatz , und klicken Sie dann auf Eigenschaften.
    5. Klicken Sie auf die Registerkarte COM-Sicherheit .
    6. Klicken Sie unter Zugriffsberechtigungenauf
      Limits bearbeiten.
    7. Überprüfen Sie, ob die Gruppe "Jeder"
      Können lokale und Können RAS -Berechtigungen, und klicken Sie auf Abbrechen.
    8. Klicken Sie unter Start- und Aktivierungsberechtigungenauf Limits bearbeiten.
    9. Überprüfen Sie, ob die Gruppe "Jeder"
      Berechtigungen Können lokale Aktivierung und Remoteaktivierung zulassen und dann auf
      Abbrechen.
    10. Klicken Sie auf Abbrechen, und schließen Sie die
      Komponentendienste.
  4. Einstellung ist möglicherweise falsch, wenn eine der folgenden Situationen zutrifft:
    • Die Gruppe "Jeder" ist nicht vorhanden.
    • Die Standardmitgliedschaft der Gruppe "Jeder" ist falsch.
    • Die Gruppe "Jeder" die Berechtigungen keinen.
    Wenn eine Einstellung nicht korrekt ist, führen Sie die folgenden Befehle in der Befehlszeile. Drücken Sie nach jedem Befehl die EINGABETASTE.
    Certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
    Net Stop certsvc
    Net Start certsvc
  5. Wiederholen Sie die Schritte 1 bis 3, um sicherzustellen, dass alle Optionen richtig sind.

    Hinweis Beeinflussen die Gruppenmitgliedschaft für den Server der Zertifizierungsstelle müssen Sie den Server für die Änderungen wirksam werden neu starten.

Weitere Informationen

Weitere Informationen, wie Windows Server 2003 Service Pack 1 die DCOM-Sicherheitsvorlage ändert klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

903220 Beschreibung der Änderung auf DCOM-Sicherheit nach der Installation von Windows Server 2003 Service Pack 1

Eigenschaften

Artikelnummer: 927066 – Letzte Überarbeitung: 14.01.2017 – Revision: 1

Feedback