クライアント コンピューターが Windows Server 2003 Service Pack 1 を実行しているコンピューターから証明書を要求するとエラー メッセージ:「次の条件の 1 つ以上は、ウィザードを開始できません」

現象

Microsoft Windows Server 2003 Service Pack 1 (SP1) では、証明書サービスを有効にする-ベースのコンピューター。証明書を要求するクライアント コンピューターの証明書コンソールを使用するときは、次のエラー メッセージが表示されます。
ウィザードは、次の条件の 1 つ以上起動できません。
-がない信頼された証明機関 (Ca) 利用可能です。
-必要はありません、アクセス許可証明書を要求する利用可能な Ca から。
-利用可能な Ca 証明書を発行のアクセス許可がありません。
また、イベントは、証明機関 (CA) をホストしているサーバーのアプリケーション ログに記録されます。これらのイベント、次のように、ドメイン内の証明書の自動登録を有効にする、クライアント コンピューターが自動的に証明書を取得することはできません。さらに、次のようなイベントがアプリケーション ログに記録されます。

原因

Windows Server 2003 SP1 では、DCOM プロトコルの拡張の既定のセキュリティ設定について説明します。Windows Server 2003 SP1 がローカルを独立して制御し、リモートの管理者をできる権限を導入する具体的には、次のタスクのアクセス許可。
  • コンポーネント オブジェクト モデル (COM) サーバーの起動
  • COM サーバーの設定をアクティブにします。
  • COM サーバーへのアクセス
Windows Server 2003 SP1 のインストール プロセスでは、新しい CERTSVC_DCOM_ACCESS セキュリティ グループを作成します。Windows Server 2003 SP1 をインストールした後この新しいセキュリティ グループは、適切な DCOM アクセス許可および DCOM の起動とアクティブ化アクセス許可が必要です。 既定では、Domain Users グローバル グループとドメインのコンピューターのグローバル グループが、CERTSVC_DCOM_ACCESS グループに存在します。証明書サービスがドメイン コント ローラーで実行している場合、CERTSVC_DCOM_ACCESS グループは、ドメイン ローカル グループとして作成されます。さらに、エンタープライズ ドメイン コント ローラー グループでは、CERTSVC_DCOM_ACCESS グループのメンバーをする必要があります。CERTSVC_DCOM_ACCESS グループのメンバーシップが正しく構成されていない場合、この問題が発生します。

解決策

問題を解決するには、次の手順を実行します。
  1. CERTSVC_DCOM_ACCESS グループは、証明機関をホストしているドメインに存在することを確認します。このグループが、 CN = ユーザーのコンテナーです。これを行うには、以下の手順を実行します。
    1. [スタート] ボタンをクリックしてください
      実行するには、 「dsa.msc」と入力] をクリックしてし、
      OK.
    2. 左側のウィンドウで、 [Users ] コンテナーをクリックします。
    3. CERTSVC_DCOM_ACCESSグループが右側のウィンドウであることを確認します。CERTSVC_DCOM_ACCESSグループが右側のウィンドウでない場合は、手順 4 に進みます。
  2. CERTSVC_DCOM_ACCESS グループに次のメンバー グループが含まれていることを確認します。
    • ドメイン ユーザー
    • Domain Computers
    CERTSVC_DCOM_ACCESS グループにこれらのグループのメンバーが存在しない場合は、手順 4 に進みます。

    ユーザーまたは他のドメイン内のコンピューターは、証明機関に登録する必要がある場合、CERTSVC_DCOM_ACCESS グループにこれらのユーザーとコンピューターを追加する必要がありますもします。ドメイン コント ローラーでは、現在の問題が発生する場合は、CERTSVC_DCOM_ACCESS グループにもエンタープライズ ドメイン コント ローラー グループを追加する必要があります。既定では、ドメイン コント ローラーでは、ドメインのコンピューターのグローバル グループのメンバーです。したがって、ドメイン コント ローラーには、DCOM のアクセス許可が十分ではありません。
  3. CERTSVC_DCOM_ACCESS グループで証明機関をホストするコンピューターに適切な DCOM アクセス許可および DCOM の起動とアクティブ化のアクセス許可を持つことを確認します。
    1. [スタート] ボタンをポイントし、
      プログラムでは、 [管理ツール] をポイントし、[コンポーネント サービス] をクリックします。
    2. [コンポーネント サービス] ノードを展開します。
    3. [コンピューター ] ノードを展開します。
    4. [マイ コンピューター ] ノードを右クリックし、[プロパティ] をクリックします。
    5. [ COM セキュリティ] タブをクリックします。
    6. [アクセス許可] をクリックします。
      制限の編集をします。
    7. CERTSVC_DCOM_ACCESS グループを持っていることを確認します。
      ローカル アクセスの許可リモート アクセスを許可するアクセスを許可し、[キャンセル] をクリックします。
    8. [起動とアクティブ化のアクセス許可]、 [制限の編集をクリックします。
    9. CERTSVC_DCOM_ACCESS グループを持っていることを確認します。
      ローカル アクティベーションを許可し、リモート アクティベーションを許可するアクセスを許可しをクリック
      キャンセルします。
    10. [キャンセル] をクリックし閉じます、
      コンポーネント サービスコンソールです。
  4. 設定は、次の条件のいずれかが true の場合は、正しいことがあります。
    • CERTSVC_DCOM_ACCESS グループは存在しません。
    • CERTSVC_DCOM_ACCESS グループの既定のメンバーシップが正しくないです。
    • CERTSVC_DCOM_ACCESS グループには、適切なアクセス許可がありません。
    1 つの設定が正しくない場合、コマンド プロンプトで次のコマンドを実行します。各コマンドの後、enter キーを押します。
    certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
  5. 手順 1 ~ 3 のすべての設定が正しいことを確認するのには.

    証明機関サーバーのグループのメンバーシップの変更に影響する場合は、変更を反映させるためにサーバーを再起動してください。

詳細

Windows Server 2003 Service Pack 1 で DCOM セキュリティ設定を変更する方法に関する詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

903220の説明を Windows Server 2003 Service Pack 1 をインストールした後に、DCOM セキュリティ設定の変更

プロパティ

文書番号:927066 - 最終更新日: 2017/02/02 - リビジョン: 1

フィードバック