Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al intentar inscribir un certificado en windows Server, se produce un error 0x800706ba, "El servidor RPC no está disponible". En este artículo se presentan los pasos para resolver este problema.
Se aplica a: Versiones compatibles de Windows Server
Número de KB original: 4042719, 4516764, 5021150
Identificación del problema
Cuando se produce este problema, es posible que vea uno o varios de los síntomas siguientes.
Nota:
Cuando se produce el problema, si agregamos la cuenta de usuario que se usa para solicitar el certificado al grupo de administradores locales en la entidad de certificación (CA), la inscripción se realiza correctamente para una plantilla basada en el usuario. Sin embargo, la inscripción en una plantilla basada en máquina sigue devuelve el mismo error.
Mensajes de error
Recibirá mensajes de error similares a los siguientes durante la inscripción de certificados.
Error 1
Error al inscribirse para un certificado. No se pudo enviar la solicitud de certificado a la entidad de certificación.
Dirección URL: <FQDN> del servidor de certificados\MyPKI
Error: El servidor RPC no está disponible. 0x800706ba (WIN32: 1322 RPC_S_SERVER_UNAVAILABLE)
Error 2
Error 3
Captura de red
El seguimiento de red muestra las consultas correctas del Protocolo ligero de acceso a directorios (LDAP) a la partición de configuración en Active Directory; Las plantillas disponibles se muestran en el seguimiento.
A continuación, el servidor solicitante intenta realizar una llamada a procedimiento remoto (RPC) a la ENTIDAD de certificación y obtiene la respuesta "ACCESS DENIED".
Por ejemplo:
10167 <time> <requesting server IP address> <CA IP address> ISystemActivator 918 RemoteCreateInstance request
10174 <time> <CA IP address> <requesting server IP address> DCERPC 86 Fault: call_id: 3, Fragment: Single, Ctx: 1, status: nca_s_fault_access_denied
Además, puede encontrar el intento de enlace de llamada a procedimiento remoto de Microsoft (MSRPC) y el error:
1093 <time> 92.5590216 (0) SourceIP 52237 (0xCC0D) DestIP 135 (0x87) MSRPC MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046} Call=0x3 Assoc Grp=0x8A9E Xmit=0x16D0 Recv=0x16D0
1097 <time> 92.5940283 (652) SourceIP 135 (0x87) DestIP 52237 (0xCC0D) MSRPC MSRPC:c/o Bind Nack: Call=0x3 Reject Reason: invalid_checksum
En un seguimiento de red, encontrará el siguiente error:
Estado : MSRPC:c/o Fault: Call=0x3 Context=0x1 Status=0x5 (Acceso denegado)
Por ejemplo:
<Certificate_Server> <Client> DCOM DCOM:RemoteCreateInstance Request, DCOM Version=5.7 Causality Id={7CFF2CD3-3165-4098-93D6-4077D1DF7351}
<Client> <Certificate_Server> MSRPC MSRPC:c/o Fault: Call=0x3 Context=0x1 Status=0x5 Cancels=0x0
Registro de eventos
Si la auditoría está habilitada, se puede observar un error modelo de objetos de componente distribuido (DCOM) en el servidor de CA que detalla un intento DE INICIO DE SESIÓN ANÓNIMO:
Log Name: System
Source: Microsoft-Windows-DistributedCOM
Date: <date>
Event ID: 10027
Task Category: None
Level: Warning
Keywords: Classic
User: ANONYMOUS LOGON
Computer: <CA FQDN>
Description:
The machine wide limit settings do not grant Remote Activation permission for COM Server applications to the user NT AUTHORITY\ANONYMOUS LOGON SID (S-1-5-7) from address <IP address> running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
Nota:
El identificador de evento 82 se registra en Registros de aplicación si se produce un error en la inscripción automática con el mismo error.
Otros síntomas y registros
- La llamada debe realizarse con dce_c_authn_level_pkt_integrity nivel de integridad rpc que aplica Kerberos o New Technology LAN Manager (NTLM) como mecanismo de autenticación. Este comportamiento se aplica de forma predeterminada a partir de la KB5004442 6B.22: administrar los cambios para la omisión de características de seguridad de Windows DCOM Server (CVE-2021-26414).
- Cuando el cliente envía una solicitud de KRB_AP_REQ, se rechaza en el lado servidor.
- El servidor intenta adquirir un token de acceso para el usuario que presentó el servicio de concesión de vales de Kerberos (TGS) y produce un error 0xc000015b, "STATUS_LOGON_TYPE_NOT_GRANTED".
Causa 1: Configuraciones de directiva de grupo incorrectas
Este problema puede producirse debido a uno de los siguientes motivos:
- La directiva de grupo Acceso a este equipo desde la red se establece y no se agrega la cuenta de usuario usada para inscribir el certificado. De forma predeterminada, los grupos rellenan la directiva: administradores, operadores de copia de seguridad, todos y usuarios.
- La directiva de grupo Denegar acceso a este equipo desde la red se establece y Todos, Usuarios o un grupo de seguridad al que pertenece el usuario se agrega.
Estas directivas de grupo se encuentran en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario.
Nota:
Puede ejecutar whoami /groups
para identificar los grupos de la cuenta de usuario o usar usuarios y equipos de Active Directory para identificar los grupos que pertenecen al usuario o a la cuenta de equipo.
Dado que la cuenta de usuario usada para la inscripción de certificados produce un error de autenticación mediante Kerberos, el mecanismo de autenticación se degrada a "inicio de sesión anónimo". Se produce un error en el inicio de sesión en el nivel DCOM.
Cómo identificarlo
Abra un símbolo del sistema con privilegios elevados en el servidor de certificados.
Ejecute el comando
gpresult /h
. Por ejemplo,gpresult /h appliedgpo.html
.Abra el archivo .html que se genera y revise la sección:
Configuración \ Directivas \ Configuración de Windows \ Directivas locales \ Asignación de derechos de usuario- Obtener acceso a este equipo desde la red
- Denegar el acceso desde la red a este equipo
Anote el nombre del GPO ganador.
Para resolver este problema, edite el GPO ganador.
Nota:
La configuración configurada en los objetos de directiva de grupo (GPO) es por un motivo, por lo que debe comunicarse con el equipo de seguridad antes de realizar cambios.
Agregue los grupos de usuarios adecuados al equipo Acceso a este equipo desde la directiva de grupo de red . Por ejemplo:
A continuación, quite el grupo al que pertenece la cuenta de usuario o la cuenta de equipo del acceso Denegado a este equipo de la directiva de grupo de red .
Para obtener más información, consulte Acceso a este equipo desde la configuración de directiva de seguridad de red.
Causa 2: Falta "NT Authority\Authenticated Users" en el grupo "Usuarios" del servidor de certificados o cualquier otro permiso predeterminado
Estos son los permisos predeterminados:
- Contoso\Domain Users
- NT AUTHORITY\Usuarios autenticados
- NT AUTHORITY\INTERACTIVE
Para resolver este problema, abra Usuarios y grupos locales en el servidor de certificados, busque el grupo Usuarios y agregue los grupos que faltan.
Causa 3: Falta "NT AUTHORITY\Usuarios autenticados" del grupo local "Acceso DCOM del servicio de certificados" del servidor de certificados
Para resolver el problema, siga estos pasos:
- Abra Usuarios y grupos locales en el servidor de certificados.
- Busque el grupo de acceso DCOM del servicio de certificados.
- Agregue los usuarios NT AUTHORITY\Authenticated.
Causa 4: EnableDCOM no está establecido en Y en el cliente y el servidor de CA
Para resolver el problema, siga estos pasos:
- Busque esta clave
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
del Registro . - Compruebe si los datos del valor del Registro EnableDCOM están establecidos en Y.
- Si es N, cámbielo a Y y, a continuación, reinicie el equipo.
Causa 5: Las restricciones de llamada a procedimiento remoto no se aplican en el servidor de certificados
Para identificar el problema, compruebe que el GPO se aplica al servidor de certificados. Siga estos pasos:
Abra un símbolo del sistema con privilegios elevados en el servidor de certificados.
Ejecute el comando
gpresult /h
. Por ejemplo,gpresult /h appliedgpo.html
.Abra el archivo .html e identifique el GPO ganador en el que la directiva de grupo De clientes RPC sin autenticar está configurada en No configurado.
La directiva de grupo se encuentra en Plantillas administrativas \ Sistema \ Llamada a procedimiento remoto \ Restricciones para el cliente RPC no autenticado.
Causa 6: Falta "Acceso DCOM del servicio de certificados" de permisos de acceso de seguridad COM o Permisos de inicio y activación
Cuando el rol Servicios de certificados de Active Directory está instalado en un servidor, el grupo de acceso DCOM del servicio de certificados local se concede automáticamente derechos a la herramienta administrativa Servicios de componentes. Si se han quitado estos permisos predeterminados, puede experimentar los síntomas descritos en este artículo. Para comprobar que los permisos correctos están en vigor, siga estos pasos:
- Abra el complemento Microsoft Management Console (MMC) de Servicios de componentes en Herramientas administrativas de Windows.
- En el panel izquierdo, expanda Equipos de servicios>de componentes.
- Haga clic con el botón derecho en Mi equipo, seleccione Propiedades y, a continuación, seleccione la pestaña Seguridad COM.
- En Permisos de acceso, seleccione Editar límites.
- Compruebe que el grupo de acceso DCOM del servicio de certificados local aparece en la lista Nombres de usuario o grupo y se le conceden permisos de acceso local y acceso remoto. Si no es así, agréguelo y conceda los permisos adecuados. Seleccione Aceptar para cerrar el cuadro de diálogo Permiso de acceso.
- En Permisos de inicio y activación, seleccione Editar límites.
- Compruebe que el grupo de acceso DCOM del servicio de certificados local aparece en la lista Nombres de usuario o grupo y se le conceden permisos de activación local y activación remota. Si no es así, agréguelo y conceda los permisos adecuados. Seleccione Aceptar para cerrar el cuadro de diálogo Permisos de inicio y activación.
Referencia
Para obtener más información, vea Restricciones para clientes RPC no autenticados: la directiva de grupo que puntea el dominio en la cara.