Você está offline; aguardando reconexão

Mensagem de erro quando um computador cliente solicita um certificado de um computador que está executando o Windows Server 2003 com Service Pack 1: "O assistente não pode ser iniciado devido a um ou mais das seguintes condições"

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 927066
Sintomas
Você tiver ativado os serviços de certificados em um Microsoft Windows Server 2003 Service Pack 1 (SP1) - com base em computador. Quando você usa o console certificados em um computador cliente para solicitar um certificado, você receber a seguinte mensagem de erro:
O assistente não pode ser iniciado devido a um ou mais das seguintes condições:
-Há não autoridades de certificação (CAs confiáveis) disponíveis.
-Você não é necessário as permissões para solicitar certificados de CAs disponíveis.
-O disponível CAs emitem certificados para o qual você não tem permissões.
Além disso, eventos são registrados no aplicativo faça logon no servidor que hospeda a autoridade de certificação (CA). Esses eventos semelhante ao seguinte:

Tipo de evento: aviso
Origem do evento: CertSvc
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 53
Data: data
Tempo: hora
Usuário: N/d
Computador: ServerName
Descrição: Serviços de certificados negou a solicitação 5 porque o modelo de certificado solicitado não é suportado por esta autoridade de certificação. 0x80094800 (-2146875392). Obter informações adicionais: negado pelo módulo de diretiva 0x80094800. A solicitação foi para um modelo de certificado não dá suporte a diretiva de serviços de certificados: SubCA.

Tipo de evento: erro
Origem do evento: CertSvc
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 21
Data: data
Tempo: hora
Usuário: N/d
Computador: ServerName
Descrição: Serviços de certificados não podem processar a solicitação 5 devido a um erro: status atual a solicitação não permite esta operação. 0x80094003 (-2146877437).

Se você habilitar o registro automático de certificados no domínio, computadores cliente não podem obter certificados automaticamente. Além disso, um evento semelhante à seguinte é registrado no aplicativo do log:

Tipo de evento: erro
Origem do evento: inscrição automática
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 13
Data: data
Tempo: hora
Usuário: N/d
ComputerName do computador:
Descrição:

Causa
Windows Server 2003 SP1 apresenta algumas configurações de segurança avançada padrão para o protocolo DCOM. Especificamente, o Windows Server 2003 SP1 apresenta os direitos que fornecem um administrador controle independente sobre o local e remoto permissões para as seguintes tarefas:
  • Iniciando servidores COM (Component Object Model)
  • Ativar configurações de servidor COM
  • Acessando COM servidores
O processo de instalação do Windows Server 2003 SP1 cria um novo grupo de segurança CERTSVC_DCOM_ACCESS. Após a instalação do Windows Server 2003 SP1, esse novo grupo de segurança deve ter permissões de acesso de DCOM apropriadas e DCOM de inicialização e permissões de ativação. Por padrão, o grupo global usuários do domínio e o grupo global computadores do domínio residem no grupo CERTSVC_DCOM_ACCESS. Se estiver executando os serviços de certificados em um controlador de domínio, o grupo CERTSVC_DCOM_ACCESS é criado como um grupo local de domínio. Além disso, o grupo Enterprise controladores de domínio deve ser membro do grupo CERTSVC_DCOM_ACCESS. Esse problema ocorre se a participação do grupo CERTSVC_DCOM_ACCESS estiver configurada incorretamente.
Resolução
Para resolver o problema, execute essas etapas:
  1. Verifique se o grupo CERTSVC_DCOM_ACCESS existe no domínio que hospeda a autoridade de certificação. Esse grupo é no CN = usuários recipiente. Para fazer isso, execute as seguintes etapas:
    1. Clique em Iniciar , clique em Executar , digite dsa.msc e, em seguida, clique em OK .
    2. No painel esquerdo, clique em usuários recipiente.
    3. Verifique se o CERTSVC_DCOM_ACCESS grupo é no painel à direita. Se o grupo CERTSVC_DCOM_ACCESS não está no painel direito, vá para a etapa 4.
  2. Verifique se o grupo CERTSVC_DCOM_ACCESS inclui os seguintes grupos de membros:
    • Usuários do domínio
    • Computadores do domínio
    Se esses grupos de membros não existirem no grupo CERTSVC_DCOM_ACCESS, vá para a etapa 4.

    Observação Se os usuários ou computadores em outros domínios necessário registrar-se contra a autoridade de certificação, você também deve adicionar os usuários e computadores ao grupo CERTSVC_DCOM_ACCESS. Se o atual problema ocorrer em um controlador de domínio, você também deve adicionar o grupo controladores de domínio de empresa para o grupo CERTSVC_DCOM_ACCESS. Por padrão, os controladores de domínio não são membros do grupo global computadores do domínio. Portanto, os controladores de domínio não tem permissões DCOM suficientes.
  3. Verifique se o grupo CERTSVC_DCOM_ACCESS tem as permissões DCOM de inicialização e ativação e permissões de acesso de DCOM apropriadas no computador que hospeda a autoridade de certificação.
    1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e clique em Serviços de componente .
    2. Expanda os Serviços de componentes do nó.
    3. Expanda o nó de computadores .
    4. Clique com o botão direito no nó Meu computador e, em seguida, clique em Propriedades .
    5. Clique na guia COM segurança .
    6. Em Permissões de acesso , clique em Editar limites .
    7. Verifique se o grupo CERTSVC_DCOM_ACCESS tem permissões Permitir acesso local e Permitir acesso remoto e, em seguida, clique em Cancelar .
    8. Em inicialização e ativação permissões , clique em Editar limites .
    9. Verifique se o grupo CERTSVC_DCOM_ACCESS tem permissões Permitir ativação local e Ativação remota permitir e, em seguida, clique em Cancelar .
    10. Clique em Cancelar e feche o console de Serviços de componentes .
  4. Configurações podem estar incorretas se qualquer uma das seguintes condições for verdadeira:
    • O grupo CERTSVC_DCOM_ACCESS não existe.
    • A participação padrão do grupo CERTSVC_DCOM_ACCESS é incorreta.
    • O grupo CERTSVC_DCOM_ACCESS não tem as permissões corretas.
    Se qualquer uma configuração estiver incorreta, execute os seguintes comandos em um prompt de comando. Pressione ENTER após cada comando.
    certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
  5. Repita as etapas 1 a 3 para verificar todas as configurações estão corretas.

    Observação Se as alterações afetarem a associação de grupo do servidor de autoridade de certificação, você deve reiniciar o servidor para que as alterações tenham efeito.
Mais Informações
Para obter mais informações sobre como o Windows Server 2003 Service Pack 1 altera as configurações de segurança do DCOM, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
903220Descrição das alterações às configurações de segurança DCOM depois que você instala o Windows Server 2003 Service Pack 1

Propriedades

ID do Artigo: 927066 - Última Revisão: 10/11/2007 02:14:00 - Revisão: 1.2

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbmt kbtshoot kbprb KB927066 KbMtpt
Comentários
=">t>");