現在オフラインです。再接続するためにインターネットの接続を待っています

Windows Server 2003 Service Pack 1 を実行しているコンピューターからクライアント コンピューター証明書を要求すると、エラー メッセージ:"、ウィザードを 1 つまたは複数、次の条件のため起動できません"

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

927066
現象
[証明書サービスを有効にしている、Microsoft Windows Server 2003 Service Pack 1 (SP1)-ベースのコンピューターにします。使用すると、証明書コンソールのクライアント コンピューターに証明書を要求すると、表示されます。次のエラー メッセージ。
ウィザードことはできません。1 つまたは複数、次の条件のための開始。
-があります。信頼できる証明機関 (Ca) 使用できません。
-ことができない、利用可能な Ca から証明書を要求するアクセス許可。
-利用可能ですCAs アクセス許可をいないする証明書を発行します。
また、イベントが記録されます。アプリケーションでは、サーバー上でホストの証明書をログインします。機関 (CA)。これらのイベントは、次のように。

イベントの種類: 警告
イベントソース: CertSvc
イベント カテゴリ: なし
イベント ID: 53
作成日:日付
時刻: 時刻
ユーザー: 該当なし
コンピューター: サーバー名
説明:証明書のサービスを拒否するため 5 を要求、要求された証明書この CA. 0x80094800 (-2146875392) のテンプレートはサポートされていません。その他情報: ポリシー モジュール 0x80094800 によって拒否されました。要求ので、証明書テンプレートは証明書サービス ポリシーでサポートされていません。SubCA。

イベントの種類: エラー
イベントソース: CertSvc
イベント カテゴリ: なし
イベント ID: 21
作成日:日付
時刻: 時刻
ユーザー: 該当なし
コンピューター: サーバー名
説明:証明書をサービスで要求 5 のためにエラーを処理できませんでした: 要求の現在の状態は、この操作は許可されていません。0x80094003 (-2146877437)。

証明書の自動登録を有効にすると、ドメインは、クライアント コンピューターが証明書を自動的に取得できません。アプリケーションでは、次のようなイベントが記録されますさらに、ログ:

イベントの種類: エラー
イベント ソース:自動登録
イベント カテゴリ: なし
イベント ID: 13
作成日:日付
時刻: 時刻
ユーザー: 該当なし
コンピューター: コンピューター名
説明:

原因
Windows Server 2003 SP1 にはいくつか高度な既定のセキュリティ設定は、DCOM プロトコルについて説明します。具体的には、Windows Server 2003 SP1 を与える権利を紹介します。管理者独立して制御ローカルおよびリモートのアクセス許可を次の作業:
  • コンポーネント オブジェクト モデル (COM) サーバーを開始します。
  • COM サーバーの設定をアクティブにします。
  • COM へのアクセスサーバーにエージェントをインストールしています
は、Windows Server 2003 SP1 のインストール処理は、新しい CERTSVC_DCOM_ACCESS セキュリティ グループを作成します。Windows Server 2003 SP1 のインストール後に、この新しいセキュリティ グループは、DCOM のアクセス許可を適切な DCOM の起動とアクティブ化のアクセス許可が必要です。既定では、Domain Users グローバル グループ、およびコンピューターのドメインのグローバル グループを配置するのにはCERTSVC_DCOM_ACCESS グループです。証明書サービスが実行されている場合は、ドメイン コント ローラー、CERTSVC_DCOM_ACCESS グループをドメイン ローカルに作成します。グループです。さらに、エンタープライズのドメイン コント ローラー グループ CERTSVC_DCOM_ACCESS グループのメンバーをはずです。CERTSVC_DCOM_ACCESS グループのメンバーシップが正しく構成されていない場合は、この問題が発生します。
解決方法
この問題を解決するには、次の手順を実行します。
  1. CERTSVC_DCOM_ACCESS グループであることを確認、証明機関をホストするドメイン。このグループには、 CN = ユーザー コンテナーです。これを行うには、次の手順を実行します。
    1. クリックしてください。 開始をクリックして 実行、タイプ 「Dsa.msc」、し [OK].
    2. 左側のウィンドウでをクリックして、 ユーザーコンテナーです。
    3. いることを確認、 CERTSVC_DCOM_ACCESSグループは、右側のウィンドウでです。場合は、 CERTSVC_DCOM_ACCESS 右側のウィンドウで、手順 4 に進みますのグループではありません。
  2. いることを確認、CERTSVC_DCOM_ACCESS グループ次のグループのメンバーは次のとおりです。
    • ドメイン ユーザー
    • Domain Computers
    メンバー グループ CERTSVC_DCOM_ACCESS グループ内に存在しない場合は、ステップ 4 に進みます。

    メモ ユーザーまたはコンピューターに他のドメインを登録する必要がある、証明機関、CERTSVC_DCOM_ACCESS グループにこれらのユーザーとコンピューターを追加する必要がありますも。場合は、ドメイン コント ローラーでは、現在の問題が発生する、エンタープライズのドメイン追加することもする必要があります。コント ローラーのグループを CERTSVC_DCOM_ACCESS グループです。既定では、ドメインコント ローラーは、コンピューターのドメインのグローバル グループのメンバーではないです。そのため、ドメイン コント ローラーは DCOM のための十分なアクセス許可を必要はありません。
  3. CERTSVC_DCOM_ACCESS グループは、適切な DCOM アクセス許可および DCOM の起動とアクティブ化のアクセス許可証明機関をホストするコンピューター上でいることを確認します。
    1. クリックしてください。 開始、ポイント プログラム、ポイント 管理ツール、、をクリックして、 コンポーネント サービス.
    2. 展開、 コンポーネント サービスノードです。
    3. 展開、 コンピューター ノードです。
    4. 右クリックし、 マイ コンピューター ノードとをクリックして、 プロパティ.
    5. クリックして、 COM セキュリティ タブします。
    6. 下にあります。 アクセス許可をクリックして 制限を編集します。.
    7. CERTSVC_DCOM_ACCESS グループを持っていることを確認してください。 ローカルのアクセスを許可します。リモート アクセスを許可します。アクセス許可、およびクリック [キャンセル].
    8. 下にあります。 起動とアクティブ化アクセス許可をクリックして 制限を編集します。.
    9. CERTSVC_DCOM_ACCESS グループを持っていることを確認してください。 ローカルのアクティベーションを許可します。リモートを許可します。ライセンス認証 アクセス許可、およびクリック [キャンセル].
    10. クリックしてください。 [キャンセル]、終値は コンポーネント サービス コンソール。
  4. 設定は、次のいずれかの場合は、正しくない場合があります。条件が成立します。
    • CERTSVC_DCOM_ACCESS グループはありません。存在します。
    • CERTSVC_DCOM_ACCESS グループの既定の構成メンバー不正解です。
    • CERTSVC_DCOM_ACCESS グループは、適切ながありません。アクセスを許可します。
    1 つの設定が不正な場合は、コマンド プロンプトで次のコマンドを実行します。各コマンドの後 ENTER を押します。
    certutil-setreg SetupStatus-SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
  5. 手順 1 ~ 3 がいることを確認するのには、すべての設定を繰り返します正解です。

    メモ 証明機関サーバーのグループのメンバーシップの変更の影響は、変更を有効にするのには、サーバーを再起動してください。
詳細
Windows Server 2003 Service Pack 1 が DCOM セキュリティ設定を変更する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
903220インストールした後、DCOM のセキュリティ設定への変更の説明Windows Server 2003 Service Pack 1

警告: この資料は、自動翻訳されています

プロパティ

文書番号:927066 - 最終更新日: 08/08/2011 13:12:00 - リビジョン: 3.0

  • kbtshoot kbprb kbmt KB927066 KbMtja
フィードバック