none
AutoEnrollment, Код (ID): 13, (0x80070005) RRS feed

  • Общие обсуждения

  • Ситуация такова. Имеем лес, корневой домен, 2 дочерних. По одному контроллеру из этих трех доменов настроен Certification Authority.
    Подняли дочерний домен к одной дочке. Она в своем сайте, настроена репликация. Сертификацию не трогали (не запущена). В логах имеем ошибки -

    AutoEnrollment, Код (ID): 13, Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005).  Отказано в доступе.

    По статье http://support.microsoft.com/default.aspx/kb/903220
    и рекомендуют для решения проблемы необходимо добавить проблемный контроллер домена или группу Контроллеры домена в группы CERTSVC_DCOM_ACCESS
    . Но такая группа есть только в доменах с поднятыми Certification Authority.
    Как исправить?
    • Изменен тип Nikita PanovModerator 8 апреля 2010 г. 8:40 нет реакции автора
    1 апреля 2009 г. 11:11

Все ответы

  • а можно dcdiag, netdiag с корневого и одного из проблемных. Как между ними организована связь? firewall? что открыто?
    6 апреля 2009 г. 16:03
  • посмотрите, не висят ли у вас в ЦА сертификаты в статусе Pending или Failed. И где они висят - на ЦА домена первого уровня, или же на первом дочернем домене. Не совсем понятно, сколько у вас собственно ЦА - 1 корневой или по 1 на каждый домен. Посмотрите порты на брандмауэре  -скорее всего, 443 порт в нижнем домене у вас блокирован
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    7 апреля 2009 г. 9:47
    Модератор
  • Ситуация такова. Имеем лес, корневой домен, 2 дочерних. По одному контроллеру из этих трех доменов настроен Certification Authority.
    Подняли дочерний домен к одной дочке. Она в своем сайте, настроена репликация. Сертификацию не трогали (не запущена). В логах имеем ошибки -

    AutoEnrollment, Код (ID): 13, Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005).  Отказано в доступе.

    По статье http://support.microsoft.com/default.aspx/kb/903220
    и рекомендуют для решения проблемы необходимо добавить проблемный контроллер домена или группу Контроллеры домена в группы CERTSVC_DCOM_ACCESS
    . Но такая группа есть только в доменах с поднятыми Certification Authority.
    Как исправить?

    Вы говорите CA не трогали (не запущен)? откуда тогда заявки на AutoEnrollment?
    7 апреля 2009 г. 10:07
  • Имеем 2 домена 4 контроллера.
    CA установлен в корневом на WS2003sp2.
    В дочернем домене на обоих КД валится ошибка запроса сертификата.

    AutoEnrollment Event ID 13
    Description: Automatic certificate enrollment for local system failed to enroll for one Workstation Authentication certificate (0x80070005). Access is denied.

    Руками делаю запрос через ммс консоль пишет нет доступа.
    Статья http://support.microsoft.com/kb/903220 не помогает.
    Есть у кого мысли как это лечить???


    MCSE:S, MCSE:M, MCITP, MCTS, CCNA Expert of: Exchange, OCS, System Center, Virtualisation.
    • Объединено Nikita PanovModerator 20 апреля 2009 г. 11:54 схожая проблема
    20 апреля 2009 г. 8:13
  • DACL на шаблон "Контроллер домена" - какой?

    20 апреля 2009 г. 8:25
    Отвечающий
  • Для группы контроллеры домена из дочернего домена дал разрешение Enroll вроде как помогло.
    Но после перезагрузки на 2003м получилось руками выписать.
    На 2008м вечером попробую, и обязательно отпишусь.
    MCSE:S, MCSE:M, MCITP, MCTS, CCNA Expert of: Exchange, OCS, System Center, Virtualisation.
    20 апреля 2009 г. 8:36
  • А подробнее можно что за разрешения и как с 2008 обстоят дела?
  • DJ Spy , простите за некропост :-)) Вы хоть отпишитесь как там у Вам все закончилось. Я же знаю, что Вы всегда где-то рядом.
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    5 апреля 2010 г. 7:13
    Модератор
  • Думаю надо сделать так:

    http://support.microsoft.com/kb/947237/en-us

    и все будет хорошо :)


    А все могло быть и лучше...
    5 апреля 2010 г. 17:29