none
Проблемы с сервером сертификатов RRS feed

  • Общие обсуждения

  • Добрый день.

    CA перестал выдавать/обновлять сертификаты.Сервер 2008R2, вторичный контроллер домена.

    При локальном запросе на самом сервере все ок, на клиентских машинах Win7 ошибки :

    EventID 6 Сбой автоматической регистрации сертификатов Локальная система (0x800706ba) Сервер RPC недоступен.
    EventID 13 Регистрация сертификата для Локальная система: не удалось зарегистрировать сертификат Machine с ИД запроса N/A от DC.*\*-DC-CA (Сервер RPC недоступен. 0x800706ba (WIN32: 1722)).

    На машинах с Win 8 также ошибка

    EventID 82 Не удалось зарегистрировать сертификат для Локальная система при проверке подлинности для всех URL-адресов сервера регистрации, связанного с идентификатором политики: {23CEEECE-5F6A-4DD0-8E5D-D5BDC75B0E13} (Сервер RPC недоступен. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)). Сбой регистрации для шаблона: Machine

    Настройки брандмауэра проверены (да и с выключенным та же ситуация), также проверены настройки и разрешения DCOM, состав групп Доступ DCOM службы сертификации и CERTSVC_DCOM_ACCESS, права /Configuration/Services/Public Key Services.

    Команда certutil -ping -config dc.*\*-dc-ca
    Подключение к dc.*l\*-dc-ca ...
    Интерфейс сервера "*-DC-CA" ICertRequest2 действует
    CertUtil: -ping - команда успешно выполнена.

    При запросе обновления сертификата с клиента (10.0.6.96) получаем в  Network Monitor 3.4 с фильтром по MSRCP:

    3547      8:26:01 05.03.2014          25.0105795         System 10.0.6.96             dc.*       MSRPC MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046}  Call=0x4  Assoc Grp=0x0  Xmit=0x16D0  Recv=0x16D0    {MSRPC:580, TCP:579, IPv4:1}

    3558      8:26:01 05.03.2014          25.0277493         System dc.*       10.0.6.96             MSRPC MSRPC:c/o Bind Ack:  Call=0x4  Assoc Grp=0x5D5C  Xmit=0x16D0  Recv=0x16D0           {MSRPC:580, TCP:579, IPv4:1}

    3562      8:26:01 05.03.2014          25.0289850         System 10.0.6.96             dc.*       MSRPC MSRPC:c/o Alter Cont: IRemoteSCMActivator(DCOM)  UUID{000001A0-0000-0000-C000-000000000046}  Call=0x4         {MSRPC:580, TCP:579, IPv4:1}

    3563      8:26:01 05.03.2014          25.0294149         System dc.*       10.0.6.96             MSRPC MSRPC:c/o Alter Cont Resp:  Call=0x4  Assoc Grp=0x5D5C  Xmit=0x16D0  Recv=0x16D0              {MSRPC:580, TCP:579, IPv4:1}

    3566      8:26:01 05.03.2014          25.0301720         System 10.0.6.96             dc.*       DCOM  DCOM:RemoteCreateInstance Request, DCOM Version=5.7  Causality Id={03482147-1110-44C8-B12C-89F42C814CAC}               {MSRPC:580, TCP:579, IPv4:1}

    3567      8:26:01 05.03.2014          25.0302933         System dc.*       10.0.6.96             MSRPC MSRPC:c/o Fault:  Call=0x4  Context=0x0  Status=0x5  Cancels=0x0                 {MSRPC:580, TCP:579, IPv4:1}

    3578      8:26:01 05.03.2014          25.0316118         System 10.0.6.96             dc.*       MSRPC MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046}  Call=0x5  Assoc Grp=0x0  Xmit=0x16D0  Recv=0x16D0    {MSRPC:584, TCP:583, IPv4:1}

    3579      8:26:01 05.03.2014          25.0317908         System dc.*       10.0.6.96             MSRPC MSRPC:c/o Bind Ack:  Call=0x5  Assoc Grp=0x5D5D  Xmit=0x16D0  Recv=0x16D0           {MSRPC:584, TCP:583, IPv4:1}

    3580      8:26:01 05.03.2014          25.0321534         System 10.0.6.96             dc.*       DCOM  DCOM:RemoteCreateInstance Request, DCOM Version=5.7  Causality Id={03482147-1110-44C8-B12C-89F42C814CAC}               {MSRPC:584, TCP:583, IPv4:1}

    3581      8:26:01 05.03.2014          25.0323394         System dc.*       10.0.6.96             MSRPC MSRPC:c/o Fault:  Call=0x5  Context=0x0  Status=0x5  Cancels=0x0                 {MSRPC:584, TCP:583, IPv4:1}

    5 марта 2014 г. 6:33

Все ответы

  • Привет,

    В основном, ошибка RPC сервер недоступен относится к проблеме с DNS,настройках брандмауера или уже проблемами с сетью


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    6 марта 2014 г. 6:11
    Модератор
  • Привет.

    Не вижу проблем с DNS или сетью (см. выше, certutil -ping нормально проходит), а отключение брандмауэра, напоминаю, не помогает.

    6 марта 2014 г. 6:32
  • Добрый день.

    Так что, нет никаких идей ни у кого?

    Перерыл множество информации, никакие действия из

    http://support.microsoft.com/default.aspx?scid=kb;en-us;825750

    http://blogs.msdn.com/b/windowsvistanow/archive/2008/04/08/troubleshooting-certificate-enrollment.aspx

    http://www.eventid.net/display.asp?eventid=13&eventno=2719&source=AutoEnrollment&phase=1

    не помогают.

    12 марта 2014 г. 7:05
  • Примерно в то же время появилась абсолютно такая же проблема. Также победить пока не получается.
    18 марта 2014 г. 13:48
  • Подозреваю, что, возможно, появление проблемы связано с очередным обновлением.
    18 марта 2014 г. 13:58
  • Есть тоже такое подозрение.

    Ещё примерно в это время добавлял сервер Exchange 2013 SP1, может с этим связано..

    18 марта 2014 г. 14:00
  • У меня проблема решилась удалением в реестре на сервере CA по пути "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsNT\DCOM"

    параметров: MachineAccessRestriction и MachineLaunchRestriction

    Оказывается я проверял разрешения DCOM "Edit default..." вместо "Edit limits..." - последняя кнопка была заблокирована.

    После удаления параметров кнопки "Edit Limits..." стали активны и внутри появились нужные группы.


    18 марта 2014 г. 16:03
  • Непонятно почему, но с обеда вчерашнего дня начал работать). При этом никаких действий с серверами не производилось. В общем, вопрос пока закрыт, но в чём была проблема - непонятно.)
    19 марта 2014 г. 8:17
  • что делать если ветки DCOM нету вообще....????
    20 декабря 2016 г. 12:24