| 证书注册过程中出现错误0x800706ba | 您所在的位置:网站首页 › 证书注册器已经就绪了怎么办 › 证书注册过程中出现错误0x800706ba |
|
注册证书时出现错误0x800706ba“RPC 服务器不可用”
项目02/27/2024
尝试在 Windows Server 上注册证书时,证书失败并出现错误0x800706ba“RPC 服务器不可用”。本文介绍解决此问题的步骤。 适用于: 支持的 Windows Server 版本 原始 KB 编号: 4042719、4516764、5021150 确定问题遇到此问题时,可能会看到以下一个或多个症状。 注意 发生此问题时,如果将用于请求证书的用户帐户添加到证书颁发机构 (CA) 上的本地管理员组,则注册基于用户的模板会成功。 但是,针对基于计算机的模板进行注册仍返回相同的错误。 错误消息在证书注册期间收到类似于以下内容的错误消息。 错误 1注册证书时出错。 无法向证书颁发机构提交证书请求。 URL: \MyPKI 错误:RPC 服务器不可用。 0x800706ba (WIN32:1322 RPC_S_SERVER_UNAVAILABLE) 错误 2错误 3 网络捕获 网络跟踪显示对 Active Directory 中的配置分区的成功轻型目录访问协议 (LDAP) 查询;跟踪中显示了可用的模板。 然后,请求服务器尝试对 CA 执行远程过程调用 (RPC) ,并获取响应“ACCESS DENIED”。 例如: 10167 ISystemActivator 918 RemoteCreateInstance request 10174 DCERPC 86 Fault: call_id: 3, Fragment: Single, Ctx: 1, status: nca_s_fault_access_denied此外,还可以找到 MICROSOFT 远程过程调用 (MSRPC) 绑定尝试和错误: 1093 92.5590216 (0) SourceIP 52237 (0xCC0D) DestIP 135 (0x87) MSRPC MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046} Call=0x3 Assoc Grp=0x8A9E Xmit=0x16D0 Recv=0x16D0 1097 92.5940283 (652) SourceIP 135 (0x87) DestIP 52237 (0xCC0D) MSRPC MSRPC:c/o Bind Nack: Call=0x3 Reject Reason: invalid_checksum在网络跟踪中,你发现以下错误: 状态:MSRPC:c/o 错误:Call=0x3 Context=0x1 Status=0x5 (访问被拒绝) 例如: DCOM DCOM:RemoteCreateInstance Request, DCOM Version=5.7 Causality Id={7CFF2CD3-3165-4098-93D6-4077D1DF7351} MSRPC MSRPC:c/o Fault: Call=0x3 Context=0x1 Status=0x5 Cancels=0x0 事件日志如果启用了审核,则可以在 CA 服务器上观察到分布式组件对象模型 (DCOM) 错误,详细说明 了匿名登录 尝试: Log Name: System Source: Microsoft-Windows-DistributedCOM Date: Event ID: 10027 Task Category: None Level: Warning Keywords: Classic User: ANONYMOUS LOGON Computer: Description: The machine wide limit settings do not grant Remote Activation permission for COM Server applications to the user NT AUTHORITY\ANONYMOUS LOGON SID (S-1-5-7) from address running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.注意 如果自动注册失败并出现相同的错误,则会在应用程序日志中记录事件 ID 82。 其他症状和日志 调用应使用 dce_c_authn_level_pkt_integrity RPC 完整性级别进行,该级别强制 Kerberos 或新技术 LAN 管理器 (NTLM) 作为身份验证机制。 从 6B.22 KB5004442 开始默认强制实施此行为 — 管理 Windows DCOM 服务器安全功能绕过 (CVE-2021-26414) 的更改 。 当客户端发送KRB_AP_REQ请求时,服务器端会拒绝该请求。 服务器尝试为提供 Kerberos 票证授予服务 (TGS) 的用户购买访问令牌,但失败并出现错误0xc000015b“STATUS_LOGON_TYPE_NOT_GRANTED”。 原因 1:组策略配置不正确由于以下原因之一,可能会出现此问题: 组策略 “从网络访问此计算机 ”已设置,并且不会添加用于注册证书的用户帐户。 默认情况下,策略由组填充: 管理员、 备份操作员、 每个人和 用户。 组策略 “拒绝从网络访问此计算机 ”已设置,并添加 “所有人”、“ 用户 ”或用户所属的安全组。这些组策略位于 “计算机配置\Windows 设置\安全设置\本地策略\用户权限分配”中。 注意 可以运行 whoami /groups 来标识用户帐户的组,或使用 Active Directory 用户和计算机 来标识属于该用户或计算机帐户的组。 由于用于证书注册的用户帐户使用 Kerberos 的身份验证失败,因此身份验证机制降级为“匿名登录”。登录在 DCOM 级别失败。 如何识别在证书服务器上打开提升的命令提示符。 运行 gpresult /h 命令。 例如,gpresult /h appliedgpo.html。 打开生成的 .html 文件,并查看部分: 设置 \ 策略 \ Windows 设置 \ 本地策略 \ 用户权限分配 从网络访问此计算机 拒绝从网络访问此计算机记下 “获奖 GPO 名称”。
若要解决此问题,请编辑 获胜 GPO。 注意 组策略 对象 (GPO) 配置设置是出于原因,因此,在进行任何更改之前,应与安全团队联系。 将相应的用户组添加到 “从网络访问此计算机” 组策略。 例如:
然后,从 “拒绝从网络访问此计算机 ”组策略中删除用户帐户或计算机帐户所属的组。 有关详细信息,请参阅 从网络访问此计算机 - 安全策略设置。 原因 2:证书服务器的“用户”组中缺少“NT Authority\Authenticated Users”或任何其他默认权限下面是默认权限: Contoso\域用户 NT AUTHORITY\Authenticated Users NT AUTHORITY\INTERACTIVE若要解决此问题,请在证书服务器上打开 “本地用户和组 ”,找到 “用户组” ,然后添加缺少的组。 原因 3:证书服务器的“证书服务 DCOM 访问”本地组中缺少“NT AUTHORITY\经过身份验证的用户”若要解决此问题,请按照下列步骤操作: 在证书服务器上打开 “本地用户和组 ”。 找到 “证书服务 DCOM 访问 ”组。 添加 NT AUTHORITY\Authenticated 用户。 原因 4:客户端和 CA 服务器上的 EnableDCOM 未设置为 Y若要解决此问题,请按照下列步骤操作: 找到此注册表项 HKEY_LOCAL_MACHINE\Software\Microsoft\OLE。 验证 EnableDCOM 注册表值的数据是否设置为 Y。 如果是 N,请将其更改为 Y,然后重新启动计算机。 原因 5:证书服务器上未应用远程过程调用限制若要确定问题,请验证 GPO 是否已应用于证书服务器。 请按照下列步骤操作: 在证书服务器上打开提升的命令提示符。 运行 gpresult /h 命令。 例如,gpresult /h appliedgpo.html。 打开 .html 文件,并标识已将 “未经身份验证 RPC 客户端的限制” 组策略配置为“ 未配置”的获胜 GPO。 组策略位于 “管理模板”\“系统”\“远程过程调用”\“对未经身份验证的 RPC 客户端的限制”。 原因 6:COM 安全访问权限或启动和激活权限中缺少“证书服务 DCOM 访问权限”在服务器上安装 Active Directory 证书服务角色时,会自动向本地 证书服务 DCOM 访问 组授予对组件服务管理工具的权限。 如果删除了这些默认权限,可能会遇到本文中所述的症状。 若要验证是否具有正确的权限,请执行以下步骤: 在 Windows 管理工具下打开组件服务 Microsoft 管理控制台 (MMC) 管理单元。 在左窗格中,展开 “组件服务>计算机”。 右键单击“ 我的电脑”,选择“ 属性”,然后选择“ COM 安全性 ”选项卡。 在 “访问权限”下,选择“ 编辑限制”。 验证本地 证书服务 DCOM 访问 组是否显示在 “组或用户名” 列表中,并且是否被授予 “本地访问 ”和 “远程访问” 权限。 如果没有,请添加它并授予相应的权限。 选择 “确定” 关闭“ 访问权限 ”对话框。 在 “启动和激活权限”下,选择 “编辑限制”。 验证本地 证书服务 DCOM 访问 组是否显示在 “组或用户名” 列表中,并且是否被授予 “本地激活 ”和“ 远程激活” 权限。 如果没有,请添加它并授予相应的权限。 选择 “确定” 以关闭 “启动和激活权限 ”对话框。 参考有关详细信息,请参阅 对未经身份验证的 RPC 客户端的限制:在脸上打入域的组策略。 |
| CopyRight 2018-2019 实验室设备网 版权所有 |