Compartir a través de

Error 0x800706ba "El servidor RPC no está disponible" al inscribir un certificado

Al intentar inscribir un certificado en windows Server, se produce un error 0x800706ba, "El servidor RPC no está disponible". En este artículo se presentan los pasos para resolver este problema.

Se aplica a: Versiones compatibles de Windows Server
Número de KB original: 4042719, 4516764, 5021150

Identificación del problema

Cuando se produce este problema, es posible que vea uno o varios de los síntomas siguientes.

Nota:

Cuando se produce el problema, si agregamos la cuenta de usuario que se usa para solicitar el certificado al grupo de administradores locales en la entidad de certificación (CA), la inscripción se realiza correctamente para una plantilla basada en el usuario. Sin embargo, la inscripción en una plantilla basada en máquina sigue devuelve el mismo error.

Mensajes de error

Recibirá mensajes de error similares a los siguientes durante la inscripción de certificados.

Error 1

Error al inscribirse para un certificado. No se pudo enviar la solicitud de certificado a la entidad de certificación.
Dirección URL: <FQDN> del servidor de certificados\MyPKI
Error: El servidor RPC no está disponible. 0x800706ba (WIN32: 1322 RPC_S_SERVER_UNAVAILABLE)

Error 2

Captura de pantalla que muestra la ventana de progreso de la inscripción de certificados.

Error 3

Captura de pantalla que muestra el mensaje de error durante la inscripción de certificados.

Captura de red

El seguimiento de red muestra las consultas correctas del Protocolo ligero de acceso a directorios (LDAP) a la partición de configuración en Active Directory; Las plantillas disponibles se muestran en el seguimiento.

A continuación, el servidor solicitante intenta realizar una llamada a procedimiento remoto (RPC) a la ENTIDAD de certificación y obtiene la respuesta "ACCESS DENIED".

Por ejemplo:

10167 <time> <requesting server IP address> <CA IP address> ISystemActivator 918 RemoteCreateInstance request  
10174 <time> <CA IP address> <requesting server IP address> DCERPC 86 Fault: call_id: 3, Fragment: Single, Ctx: 1, status: nca_s_fault_access_denied

Además, puede encontrar el intento de enlace de llamada a procedimiento remoto de Microsoft (MSRPC) y el error:

1093    <time>    92.5590216     (0)    SourceIP    52237 (0xCC0D)    DestIP    135 (0x87)    MSRPC    MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046}  Call=0x3  Assoc Grp=0x8A9E  Xmit=0x16D0  Recv=0x16D0  
1097    <time>    92.5940283     (652)    SourceIP    135 (0x87)    DestIP    52237 (0xCC0D)    MSRPC    MSRPC:c/o Bind Nack:  Call=0x3  Reject Reason: invalid_checksum

En un seguimiento de red, encontrará el siguiente error:

Estado : MSRPC:c/o Fault: Call=0x3 Context=0x1 Status=0x5 (Acceso denegado)

Por ejemplo:

<Certificate_Server> <Client> DCOM  DCOM:RemoteCreateInstance Request, DCOM Version=5.7  Causality Id={7CFF2CD3-3165-4098-93D6-4077D1DF7351}
<Client> <Certificate_Server> MSRPC MSRPC:c/o Fault:  Call=0x3  Context=0x1  Status=0x5  Cancels=0x0

Registro de eventos

Si la auditoría está habilitada, se puede observar un error modelo de objetos de componente distribuido (DCOM) en el servidor de CA que detalla un intento DE INICIO DE SESIÓN ANÓNIMO:

Log Name: System  
Source: Microsoft-Windows-DistributedCOM  
Date: <date>  
Event ID: 10027  
Task Category: None  
Level: Warning  
Keywords: Classic  
User: ANONYMOUS LOGON  
Computer: <CA FQDN>

Description:  
The machine wide limit settings do not grant Remote Activation permission for COM Server applications to the user NT AUTHORITY\ANONYMOUS LOGON SID (S-1-5-7) from address <IP address> running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Nota:

El identificador de evento 82 se registra en Registros de aplicación si se produce un error en la inscripción automática con el mismo error.

Otros síntomas y registros

  • La llamada debe realizarse con dce_c_authn_level_pkt_integrity nivel de integridad rpc que aplica Kerberos o New Technology LAN Manager (NTLM) como mecanismo de autenticación. Este comportamiento se aplica de forma predeterminada a partir de la KB5004442 6B.22: administrar los cambios para la omisión de características de seguridad de Windows DCOM Server (CVE-2021-26414).
  • Cuando el cliente envía una solicitud de KRB_AP_REQ, se rechaza en el lado servidor.
  • El servidor intenta adquirir un token de acceso para el usuario que presentó el servicio de concesión de vales de Kerberos (TGS) y produce un error 0xc000015b, "STATUS_LOGON_TYPE_NOT_GRANTED".

Causa 1: Configuraciones de directiva de grupo incorrectas

Este problema puede producirse debido a uno de los siguientes motivos:

  1. La directiva de grupo Acceso a este equipo desde la red se establece y no se agrega la cuenta de usuario usada para inscribir el certificado. De forma predeterminada, los grupos rellenan la directiva: administradores, operadores de copia de seguridad, todos y usuarios.
  2. La directiva de grupo Denegar acceso a este equipo desde la red se establece y Todos, Usuarios o un grupo de seguridad al que pertenece el usuario se agrega.

Estas directivas de grupo se encuentran en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario.

Nota:

Puede ejecutar whoami /groups para identificar los grupos de la cuenta de usuario o usar usuarios y equipos de Active Directory para identificar los grupos que pertenecen al usuario o a la cuenta de equipo.

Dado que la cuenta de usuario usada para la inscripción de certificados produce un error de autenticación mediante Kerberos, el mecanismo de autenticación se degrada a "inicio de sesión anónimo". Se produce un error en el inicio de sesión en el nivel DCOM.

Cómo identificarlo

  1. Abra un símbolo del sistema con privilegios elevados en el servidor de certificados.

  2. Ejecute el comando gpresult /h. Por ejemplo, gpresult /h appliedgpo.html.

  3. Abra el archivo .html que se genera y revise la sección:
    Configuración \ Directivas \ Configuración de Windows \ Directivas locales \ Asignación de derechos de usuario

    • Obtener acceso a este equipo desde la red
    • Denegar el acceso desde la red a este equipo

  4. Anote el nombre del GPO ganador.

    Captura de pantalla que muestra la salida de gpresult.

Para resolver este problema, edite el GPO ganador.

Nota:

La configuración configurada en los objetos de directiva de grupo (GPO) es por un motivo, por lo que debe comunicarse con el equipo de seguridad antes de realizar cambios.

Agregue los grupos de usuarios adecuados al equipo Acceso a este equipo desde la directiva de grupo de red . Por ejemplo:

Captura de pantalla que muestra la ventana de propiedades de la directiva de grupo

A continuación, quite el grupo al que pertenece la cuenta de usuario o la cuenta de equipo del acceso Denegado a este equipo de la directiva de grupo de red .

Para obtener más información, consulte Acceso a este equipo desde la configuración de directiva de seguridad de red.

Causa 2: Falta "NT Authority\Authenticated Users" en el grupo "Usuarios" del servidor de certificados o cualquier otro permiso predeterminado

Estos son los permisos predeterminados:

  • Contoso\Domain Users
  • NT AUTHORITY\Usuarios autenticados
  • NT AUTHORITY\INTERACTIVE

Para resolver este problema, abra Usuarios y grupos locales en el servidor de certificados, busque el grupo Usuarios y agregue los grupos que faltan.

Causa 3: Falta "NT AUTHORITY\Usuarios autenticados" del grupo local "Acceso DCOM del servicio de certificados" del servidor de certificados

Para resolver el problema, siga estos pasos:

  1. Abra Usuarios y grupos locales en el servidor de certificados.
  2. Busque el grupo de acceso DCOM del servicio de certificados.
  3. Agregue los usuarios NT AUTHORITY\Authenticated.

Causa 4: EnableDCOM no está establecido en Y en el cliente y el servidor de CA

Para resolver el problema, siga estos pasos:

  1. Busque esta clave HKEY_LOCAL_MACHINE\Software\Microsoft\OLEdel Registro .
  2. Compruebe si los datos del valor del Registro EnableDCOM están establecidos en Y.
  3. Si es N, cámbielo a Y y, a continuación, reinicie el equipo.

Causa 5: Las restricciones de llamada a procedimiento remoto no se aplican en el servidor de certificados

Para identificar el problema, compruebe que el GPO se aplica al servidor de certificados. Siga estos pasos:

  1. Abra un símbolo del sistema con privilegios elevados en el servidor de certificados.

  2. Ejecute el comando gpresult /h. Por ejemplo, gpresult /h appliedgpo.html.

  3. Abra el archivo .html e identifique el GPO ganador en el que la directiva de grupo De clientes RPC sin autenticar está configurada en No configurado.

    La directiva de grupo se encuentra en Plantillas administrativas \ Sistema \ Llamada a procedimiento remoto \ Restricciones para el cliente RPC no autenticado.

Causa 6: Falta "Acceso DCOM del servicio de certificados" de permisos de acceso de seguridad COM o Permisos de inicio y activación

Cuando el rol Servicios de certificados de Active Directory está instalado en un servidor, el grupo de acceso DCOM del servicio de certificados local se concede automáticamente derechos a la herramienta administrativa Servicios de componentes. Si se han quitado estos permisos predeterminados, puede experimentar los síntomas descritos en este artículo. Para comprobar que los permisos correctos están en vigor, siga estos pasos:

  1. Abra el complemento Microsoft Management Console (MMC) de Servicios de componentes en Herramientas administrativas de Windows.
  2. En el panel izquierdo, expanda Equipos de servicios>de componentes.
  3. Haga clic con el botón derecho en Mi equipo, seleccione Propiedades y, a continuación, seleccione la pestaña Seguridad COM.
  4. En Permisos de acceso, seleccione Editar límites.
  5. Compruebe que el grupo de acceso DCOM del servicio de certificados local aparece en la lista Nombres de usuario o grupo y se le conceden permisos de acceso local y acceso remoto. Si no es así, agréguelo y conceda los permisos adecuados. Seleccione Aceptar para cerrar el cuadro de diálogo Permiso de acceso.
  6. En Permisos de inicio y activación, seleccione Editar límites.
  7. Compruebe que el grupo de acceso DCOM del servicio de certificados local aparece en la lista Nombres de usuario o grupo y se le conceden permisos de activación local y activación remota. Si no es así, agréguelo y conceda los permisos adecuados. Seleccione Aceptar para cerrar el cuadro de diálogo Permisos de inicio y activación.

Referencia

Para obtener más información, vea Restricciones para clientes RPC no autenticados: la directiva de grupo que puntea el dominio en la cara.