您目前已離線,請等候您的網際網路重新連線

當您從以 Service Pack 1 執行 Windows Server 2003 的電腦要求憑證時,出現錯誤訊息: 「 憑證要求失敗因之一下列 conditions… 」

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

929494
重要本文包含有關如何修改登錄的資訊。請確定您在修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
256986Microsoft Windows 登錄的描述
徵狀
當您使用 [憑證] 嵌入式管理單元來要求電腦憑證或使用者憑證時,可能會收到下列錯誤訊息:

訊息 1

憑證要求失敗,因為發生下列情況之一:
-憑證要求提交給未啟動一個,請參閱 「 註解。
-您沒有權限來要求憑證從可用的 CA。

訊息 2

憑證要求失敗,因為發生下列情況之一:
-此要求需要交換憑證從一個憑證授權單位 (CA) 未開始之。
-您沒有權限來要求憑證從可用的 CA。
以 Service Pack 1 (SP1) 執行 Microsoft Windows Server 2003 的主機電腦上啟用憑證服務時,可能就會發生這個問題。
發生的原因
如果用戶端電腦遺失 EnableDCOM 登錄項目,可能就會發生這個問題。

EnableDCOM 登錄項目位於下列登錄子機碼:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
解決方案
如果要解決這個問題,確認問題不出憑證授權單位 (CA)。然後,新增遺失的登錄項目。

請依照下列步驟執行以確定問題不出給 CA。

附註此程序需要您使用 Cominfo.exe 公用程式。若要取得 Cominfo.exe 公用程式,請連絡 Microsoft 客戶支援服務]。如需 Microsoft 客戶支援服務電話號碼及支援成本的相關資訊的完整清單,請造訪下列 Microsoft 網站]:
  1. 檢查 CA 及所有其父系 CA 憑證受信任且有效。
  2. 請確定憑證範本的判別存取控制清單 (DACL) 在 CA 上包含已驗證的使用者] 群組。如果已驗證的使用者群組中移除來自 DACL,CA 不再可以讀取在 Active Directory 中的範本。因此,CA 無法發行憑證。
  3. 用戶端上在命令提示字元中輸入下列命令。在每個命令之後按 ENTER。
    certutil –template
    certutil –dump
    附註第一個命令會顯示使用者的權限上可用的範本。 不能使用由目前登入使用者的各個憑證範本會出現 「 拒絕存取 」 的狀態。第二個命令會顯示一份企業 CA。
  4. 輸入下列命令以尋找在 CA 一般名稱 (CN) 並按下 ENTER:
    certutil –dump | findstr 組態
  5. 輸入下列命令並按下 ENTER:
    設定組態 = CAMachineDNSName \ CACommonName
  6. 輸入下列命令並按下 ENTER:
    certutil –config %組態 %–ping
    您可能會收到 「 拒絕存取 」 訊息。
  7. 輸入下列命令,匯出 CA 交換憑證,然後按下 ENTER:
    certutil –config %組態 %–cainfo xchg
    您可能會收到類似下列的訊息:
    匯出到 xchg.cer CA Exchange 憑證
  8. 輸入下列命令並按下 ENTER:
    certutil –config %組態 %–verify –urlfetch xchg.cer
    您可能會收到類似下列的訊息:
    CertUtil-請檢查指令失敗: 0x8009310b (ASN: 267)
  9. 執行 Cominfo.exe 公用程式,來收集 DCOM 的資訊。

    Cominfo.exe 公用程式可能會產生類似下列的輸出:
    已安裝的 DCOM
    值 EnableDCOM 不存在 HKEY_LOCAL_MACHINE\Software\Microsoft\Ole 之下。 [警告: 您很可能在這部機器中執行 DCOM 應用程式如果得到錯誤 RPC_E_REMOTE_DISABLED]
    此訊息會確認該問題出在遺漏登錄項目。
若要加入 EnableDCOM 登錄項目請依照下列步驟執行。

警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能需要重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並點選下列登錄子機碼:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
  3. 在 [編輯] 功能表上指向 [新增],然後按一下 [字串值]。
  4. 鍵入 EnableDCOM,並按下 ENTER。
  5. EnableDCOM,] 上按一下滑鼠右鍵,然後按一下 [修改]
  6. 輸入 [數值資料] 方塊中的 [Y,然後按一下 [確定]
  7. 結束登錄編輯程式。
其他相關資訊
如需有關類似問題的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
927066當用戶端電腦要求憑證以 Service Pack 1 執行 Windows Server 2003 的電腦時,出現錯誤訊息: 「 因為一或多個下列情況成立,所以無法啟動精靈 」
之後您 DCOM 安全性設定所做的變更相關的資訊對於安裝 Windows Server 2003 Service Pack 1,請按一下下列文章編號,檢視 「 Microsoft 知識庫 」 中的發行項件:
903220在您安裝 Windows Server 2003 Service Pack 1 之後的 DCOM 安全性設定變更的說明

警告:本文已自動翻譯

內容

文章識別碼:929494 - 最後檢閱時間:10/11/2007 02:25:01 - 修訂: 1.2

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • kbmt kberrmsg kbtshoot kbexpertiseadvanced kbprb KB929494 KbMtzh
意見反應