<<  第一次打声讯电话的经历!! | 首页 | 脚上长的鸡眼终于好了!  >>

  • Windows 2003 AutoEnrollment 错误 - [系统相关]

    2009-04-10 | Tag:

    版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
    http://xmlog.blogbus.com/logs/37705149.html

    今天在公司的一台DC上发现了下面的错误日志:

    事件类型: 错误
    事件来源: AutoEnrollment
    事件类别: 无
    事件 ID: 13
    日期: date
    时间: time
    用户: N/A
    计算机: computer_name
    描述: 本地系统的自动证书注册未能完成对某个目录电子邮件复制证书的注册 (0x80070005)。拒绝访问。有关更多信息,请参见位于 http://support.microsoft.com 的“帮助和支持中心”。

    记得之前也碰到过这个问题,是在微软的网站上找到的,当时也没有记下来,问题是解决了。但今天又碰到这样的问题,忘了是怎么解决的,所以又查了一下,特地记录下来解决方法;

    参考微软KB地址:http://support.microsoft.com/kb/903220/zh-cn

    Windows Server 2003 证书服务使用 DCOM 协议提供注册和管理服务。证书服务提供了多个 DCOM 接口,以使注册和管理服务可用。为了正确访问和使用这些服务,证书服务假定 DCOM 接口设置为启用远程激活和访问权限。但是,在升级到 Windows Server 2003 SP1 时将应用 DCOM 默认安全设置,因此可能必须更新这些安全设置,以确保注册和管理服务可用。

    默认情况下,Windows Server 2003 SP1 中的所有 DCOM 接口都配置为授予管理员远程访问权限、远程启动权限和远程激活权限。但是,在升级到 Windows Server 2003 SP1 后,将对全局 DCOM 接口和 CertSrv Request DCOM 接口进行安全配置更改。进行这些更改的目的是为了使证书服务能够正常工作。

    注意:安装 Windows Server 2003 SP1 前对 CertSrv Request DCOM 接口安全设置所做的任何更改都会丢失。Windows Server 2003 SP1 安装程序会将 CertSrv Request DCOM 接口中的所有早期安全设置都重置为其默认的设置。

    在 Windows Server 2003 SP1 安装过程中,证书服务会自动更新如下 DCOM 安全设置:

    •  
      • 授予 Everyone 安全组本地和远程访问权限。
      • 授予 Everyone 安全组本地和远程激活权限。
      • 不授予 Everyone 安全组本地或远程启动权限。
      • CertSrv Request DCOM 接口
    • DCOM 计算机限制设置
      • 自动创建新的安全组 CERTSVC_DCOM_ACCESS。

        如果在成员服务器上安装了证书颁发机构,则将 CERTSVC_DCOM_ACCESS 创建为计算机本地组。将 Everyone 安全组添加到 CERTSVC_DCOM_ACCESS。

        如果证书颁发机构安装在域控制器上,则将 CERTSVC_DCOM_ACCESS 创建为域本地组。将证书颁发机构域中的 Domain Users 安全组和 Domain Computers 安全组添加到 CERTSVC_DCOM_ACCESS。如果域控制器需要访问此接口,以从证书颁发机构申请证书,则必须添加 Domain Controllers 安全组。必须执行此操作的原因是域控制器并没有包含在 Domain Computers 安全组中。
      • 授予 CERTSVC_DCOM_ACCESS 安全组本地和远程访问权限。
      • 授予 CERTSVC_DCOM_ACCESS 安全组本地和远程激活权限。
      • 不授予 CERTSVC_DCOM_ACCESS 安全组本地或远程启动权限。
      注意:如果证书颁发机构安装在域控制器上,且企业拥有多个域,则证书服务将不能为证书颁发机构域之外的注册人自动更新 DCOM 安全设置。因此,这些注册人将被拒绝授予对证书颁发机构的注册访问权限。

      要解决此问题,必须将这些用户手动添加到 CERTSVC_DCOM_ACCESS 安全组。由于 CERTSVC_DCOM_ACCESS 安全组是域本地组,因此您只能向它添加域组。例如,如果其他域(如 Contoso 域)的用户和计算机需要在证书颁发机构上进行注册,则必须手动将 Contoso\Domain Users 组和 Contoso\Domain Computers 组添加到 CERTSVC_DCOM_ACCESS 安全组。

      如果在安装 Windows Server 2003 SP1 后有任何注册人应该由证书颁发机构授权但是被拒绝授权,则可以用证书服务再次更新 DCOM 安全设置。为此,请在命令提示符处键入以下命令,并在每行命令后按 Enter。
      certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
      net stop certsvc
      net start certsvc
      DCOM_SECURITY_UPDATED_FLAG 是一个内部证书服务注册表标记,指示 DCOM 安全设置已成功更新。证书服务每次启动时都会检查此标记。上述命令会重置该标记,然后停止并启动证书服务。此行为会导致证书服务再次更新 DCOM 安全设置。

    注意:如果这些错误发生在域控制器上,则将 Domain Controllers 组添加到 CERTSVC_DCOM_ACCESS 安全组。域控制器不是 Domain Computers 全局组的成员,默认情况下不具备足够的 DCOM 权限。

    如果更改组成员身份以包括 Domain Controllers 组,则必须重新启动域控制器,以反映此更改。


    历史上的今天:


    随机文章:


    收藏到:Del.icio.us




    引用地址:
    小马 发表于12:14 | 编辑 | 继续话题 | 转发 | 分享 0