电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 4704|回复: 0

本地系统的自动证书注册在注册一个域控制器证书时失败的解决办法

[复制链接]
admin 发表于 2010-8-25 10:10:29 | 显示全部楼层 |阅读模式
在Windows 2003的域环境中,搭建证书颁发机构,默认的有一个可以在域控制器上自动注册的证书“域控制器”,假如你的CA本身就是一个DC,注册没有问题,但是如果是其他DC在注册的时候,往往出现一个自动注册证书失败的错误,Event记录如下

事件类型: 错误
事件来源: AutoEnrollment
事件种类: 无
事件 ID: 13
日期:  2007-8-26
事件:  16:24:14
用户:  N/A
计算机: AD
描述:
本地系统 的自动证书注册在注册一个 域控制器 证书 (0x80070005)时失败。拒绝访问。


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
导致这个问题的原因,微软在KB中如下所写

Windows Server 2003 证书服务使用 DCOM 协议提供注册和管理服务。证书服务提供了多个 DCOM 接口,以使注册和管理服务可用。为了正确访问和使用这些服务,证书服务假定 DCOM 接口设置为启用远程激活和访问权限。但是,在升级到 Windows Server 2003 SP1 时将应用 DCOM 默认安全设置,因此可能必须更新这些安全设置,以确保注册和管理服务可用。

默认情况下,Windows Server 2003 SP1 中的所有 DCOM 接口都配置为授予管理员远程访问权限、远程启动权限和远程激活权限。但是,在升级到 Windows Server 2003 SP1 后,将对全局 DCOM 接口和 CertSrv Request DCOM 接口进行安全配置更改。进行这些更改的目的是为了使证书服务能够正常工作。

注意:安装 Windows Server 2003 SP1 前对 CertSrv Request DCOM 接口安全设置所做的任何更改都会丢失。Windows Server 2003 SP1 安装程序会将 CertSrv Request DCOM 接口中的所有早期安全设置都重置为其默认的设置。

在 Windows Server 2003 SP1 安装过程中,证书服务会自动更新如下 DCOM 安全设置:   CertSrv Request DCOM 接口 • 授予 Everyone 安全组本地和远程访问权限。
• 授予 Everyone 安全组本地和远程激活权限。
• 不授予 Everyone 安全组本地或远程启动权限。

• DCOM 计算机限制设置 • 自动创建新的安全组 CERTSVC_DCOM_ACCESS。

如果在成员服务器上安装了证书颁发机构,则将 CERTSVC_DCOM_ACCESS 创建为计算机本地组。将 Everyone 安全组添加到 CERTSVC_DCOM_ACCESS。

如果证书颁发机构安装在域控制器上,则将 CERTSVC_DCOM_ACCESS 创建为域本地组。将证书颁发机构域中的 Domain Users 安全组和 Domain Computers 安全组添加到 CERTSVC_DCOM_ACCESS。如果域控制器需要访问此接口,以从证书颁发机构申请证书,则必须添加 Domain Controllers 安全组。必须执行此操作的原因是域控制器并没有包含在 Domain Computers 安全组中。
• 授予 CERTSVC_DCOM_ACCESS 安全组本地和远程访问权限。
• 授予 CERTSVC_DCOM_ACCESS 安全组本地和远程激活权限。
• 不授予 CERTSVC_DCOM_ACCESS 安全组本地或远程启动权限。

注意:如果证书颁发机构安装在域控制器上,且企业拥有多个域,则证书服务将不能为证书颁发机构域之外的注册人自动更新 DCOM 安全设置。因此,这些注册人将被拒绝授予对证书颁发机构的注册访问权限。


那么要解决这个问题,请使用微软提供的以下方法

如果在安装 Windows Server 2003 SP1 后有任何注册人应该由证书颁发机构授权但是被拒绝授权,则可以用证书服务再次更新 DCOM 安全设置。为此,请在命令提示符处键入以下命令,并在每行命令后按 Enter。 (在证书服务器上运行)

certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc
DCOM_SECURITY_UPDATED_FLAG 是一个内部证书服务注册表标记,指示 DCOM 安全设置已成功更新。证书服务每次启动时都会检查此标记。上述命令会重置该标记,然后停止并启动证书服务。此行为会导致证书服务再次更新 DCOM 安全设置。

另外在DC上面的ADUC里面,为 CERTSVC_DCOM_ACCESS 组添加成员“Domain controller”
另外,如果有多台DC的话,请根据以下步骤检查信任计算机作为委派:
(1)使用域管理员登录到DC上。
(2)在“查看”菜单中,单击“用户、组和计算机作为容器”,然后单击“高级功能”。
(3)在控制台树中,右键单击适用的域控制器。
(4)单击“属性”。
(5)在“常规”页上,选中“信任计算机作为委派”复选框。
6、如果更改组成员身份以包括 Domain Controllers 组,则必须重新启动域控制器,以反映此更改。

附微软KB:http://support.microsoft.com/kb/903220/zh-cn
这样重新启动DC就可以解除上面的错误
您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-11-27 11:42 , Processed in 0.093035 second(s), 21 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表