none
CA не выдает сертификат RRS feed

  • Вопрос

  • Добрый день. Прошу помочь в решении проблемы т.к. опыта очень мало и не могу найти вариант решения.

    Перестал выполняться запрос на выпуск или продление сертификата пользователя.  При попытке выдает: «Сервер RPC недоступен. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)».

    Как я это делаю. Например пытаюсь выпустить новый сертификат Агента запроса для другого пользователя. Делаю это со своего доменного компьютера через оснастку «Сертификаты» в «Сертификаты –текущий пользователь» выбираю Личное – сертификаты и нажимаю там пкм – выбираю - Все задачи – Дополнительные операции – Зарегистрироваться от имени… - Далее «Политика регистрации Active Directory» - далее выбираю сертификат «Агент запроса сертификата» - далее выбираю политику регистрации AD (например «Агент регистрации») – далее выбираю пользователя из AD – нажимаю «заявка» и получаю окошко «Ошибка: Сервер RPC недоступен. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)». Есть также политика "Вход со смарт-картой Rutoken 1y" она выдает то же самое.

    Проверил  службы «Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC) )» и «Инструментарий управления Windows (Windows Management Instrumentation)» на CA обе работают. Попробовал проверить доступность через PS, получил:

    Get-WmiObject Win32_ComputerSystem -ComputerName 192.168.200.195
    Get-WmiObject : Отказано в доступе.                 строка:1 знак:1
    Get-WmiObject Win32_ComputerSystem –ComputerName 192.168.200.195 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    
    CategoryInfo          : NotSpecified: (:) [Get-WmiObject], UnauthorizedAccessException    
    FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.GetWmiObjectCommand

    Выполнил от администратора:
    certutil –pulse
    CertUtil: -pulse — команда успешно выполнена.

    Почитал здесь материалы с подобной проблемой и пропробовал:

    Отключал на обоих машинах фаервол и антивирус, не помогло.
    Проверил группу «Доступ DCOM службы сертификации» на AD и в ней есть  domain computers, domain controlles,  domain users и прошедшие проверку.
    На всякий случай проверил сниффером wireshark обмен между CA и компьютером запрашивающего и вот что отвечает CA
    DCERPC               86           Fault: call_id: 4, Fragment: Single, Ctx: 1, status: nca_s_fault_access_denied   51282

    Самое интересное что раньше все работало, т.е на этом же CA и через этого же пользователя с этим же сертификатом Агента все работало нормально.
    15 августа 2022 г. 2:14