Erro 0x800706ba "O servidor RPC não está disponível" ao registrar um certificado

Quando você tenta registrar um certificado em um Windows Server, ele falha com o erro 0x800706ba "O servidor RPC não está disponível". Este artigo apresenta etapas para resolver esse problema.

Aplica-se a: Versões com suporte do Windows Server
Número original do KB: 4042719, 4516764, 5021150

Identificar o problema

Ao encontrar esse problema, você pode ver um ou mais dos seguintes sintomas.

Observação

Quando o problema ocorre, se adicionarmos a conta de usuário usada para solicitar o certificado ao grupo de administradores locais na autoridade de certificação (CA), o registro será bem-sucedido para um modelo baseado em usuário. No entanto, o registro em um modelo baseado em computador ainda retorna o mesmo erro.

Mensagens de erro

Você recebe mensagens de erro semelhantes às seguintes durante o registro do certificado.

Erro 1

Ocorreu um erro ao se inscrever para obter um certificado. A solicitação de certificado não pôde ser enviada à autoridade de certificação.
URL: <servidor de certificados FQDN>\MyPKI
Erro: O servidor RPC não está disponível. 0x800706ba (WIN32: 1322 RPC_S_SERVER_UNAVAILABLE)

Erro 2

Erro 3

Captura de rede

O rastreamento de rede mostra as consultas LDAP bem-sucedidas para a partição de configuração no Active Directory; Os modelos disponíveis são revelados no rastreamento.

Em seguida, o servidor solicitante tenta fazer uma chamada de procedimento remoto (RPC) para a CA e obtém a resposta "ACESSO NEGADO".

Por exemplo:

10167 <time> <requesting server IP address> <CA IP address> ISystemActivator 918 RemoteCreateInstance request  
10174 <time> <CA IP address> <requesting server IP address> DCERPC 86 Fault: call_id: 3, Fragment: Single, Ctx: 1, status: nca_s_fault_access_denied

Além disso, você pode encontrar a tentativa e o erro de associação da Microsoft Remote Procedure Call (MSRPC):

1093    <time>    92.5590216     (0)    SourceIP    52237 (0xCC0D)    DestIP    135 (0x87)    MSRPC    MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046}  Call=0x3  Assoc Grp=0x8A9E  Xmit=0x16D0  Recv=0x16D0  
1097    <time>    92.5940283     (652)    SourceIP    135 (0x87)    DestIP    52237 (0xCC0D)    MSRPC    MSRPC:c/o Bind Nack:  Call=0x3  Reject Reason: invalid_checksum

Em um rastreamento de rede, você encontra o seguinte erro:

Status: MSRPC:c/o Falha: Call=0x3 Context=0x1 Status=0x5 (Acesso negado)

Por exemplo:

<Certificate_Server> <Client> DCOM  DCOM:RemoteCreateInstance Request, DCOM Version=5.7  Causality Id={7CFF2CD3-3165-4098-93D6-4077D1DF7351}
<Client> <Certificate_Server> MSRPC MSRPC:c/o Fault:  Call=0x3  Context=0x1  Status=0x5  Cancels=0x0 

Log de eventos

Se a auditoria estiver ativada, um erro DCOM (Distributed Component Object Model) poderá ser observado no servidor CA detalhando uma tentativa de LOG ANÔNIMO :

Log Name: System  
Source: Microsoft-Windows-DistributedCOM  
Date: <date>  
Event ID: 10027  
Task Category: None  
Level: Warning  
Keywords: Classic  
User: ANONYMOUS LOGON  
Computer: <CA FQDN>

Description:  
The machine wide limit settings do not grant Remote Activation permission for COM Server applications to the user NT AUTHORITY\ANONYMOUS LOGON SID (S-1-5-7) from address <IP address> running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Observação

A ID do evento 82 será registrada nos logs do aplicativo se o registro automático estiver falhando com o mesmo erro.

Outros sintomas e logs

• A chamada deve ser feita com dce_c_authn_level_pkt_integrity nível de integridade RPC que impõe Kerberos ou NTLM (New Technology LAN Manager) como um mecanismo de autenticação. Esse comportamento é imposto por padrão a partir de 6B.22 KB5004442 — Gerenciar alterações para o desvio do recurso de segurança do servidor DCOM do Windows (CVE-2021-26414).
• Quando o cliente envia uma solicitação KRB_AP_REQ, ela é rejeitada pelo lado do servidor.
• O servidor tenta obter um token de acesso para o usuário que apresentou o TGS (Serviço de Concessão de Tíquete) Kerberos e falha com o 0xc000015b de erro, "STATUS_LOGON_TYPE_NOT_GRANTED".

Causa 1: configurações incorretas de política de grupo

Esse problema pode ocorrer devido a um dos seguintes motivos:

1. A política de grupo Acessar este computador da rede é definida e a conta de usuário usada para registrar o certificado não é adicionada. Por padrão, a política é preenchida pelos grupos: Administradores, Operadores de Backup, Todos e Usuários.
2. A política de grupo Negar acesso a este computador a partir da rede é definida e Todos, Usuários ou um grupo de segurança ao qual o usuário pertence é adicionado.

Essas políticas de grupo estão localizadas em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário.

Observação

Você pode executar whoami /groups para identificar os grupos da conta de usuário ou usar Usuários e computadores do Active Directory para identificar os grupos pertencentes ao usuário ou à conta do computador.

Como a conta de usuário usada para registro de certificado falha na autenticação usando Kerberos, o mecanismo de autenticação é rebaixado para "logon anônimo". O logon falha no nível DCOM.

Como identificar

1. Abra um prompt de comando com privilégios elevados no servidor de certificados.

2. Execute o comando gpresult /h. Por exemplo, gpresult /h appliedgpo.html.

3. Abra o arquivo .html gerado e examine a seção:
   Configurações \ Políticas \ Configurações do Windows \ Políticas Locais \ Atribuição de Direitos do Usuário

   • Acesso a este computador da rede
   • Negar acesso a este computador pela rede

4. Observe o nome do GPO vencedor.

   

Para resolver esse problema, edite o GPO vencedor.

Observação

As configurações definidas nos GPOs (Objetos de Política de Grupo) são por um motivo, portanto, você deve conversar com sua equipe de segurança antes de fazer qualquer alteração.

Adicione os grupos de usuários apropriados à diretiva de grupo Acessar este computador a partir da rede . Por exemplo:

Em seguida, remova o grupo ao qual a conta de usuário ou a conta de computador pertence da política de grupo Negar acesso a este computador da rede .

Para obter mais informações, consulte Acessar este computador na configuração de diretiva de rede - segurança.

Causa 2: Falta "Autoridade NT\Usuários Autenticados" no grupo "Usuários" do servidor de certificados ou qualquer outra permissão padrão

Aqui estão as permissões padrão:

• Contoso\Usuários de Domínio
• NT AUTHORITY\Usuários Autenticados
• AUTORIDADE DO NT\INTERATIVO

Para resolver esse problema, abra Usuários e Grupos Locais no servidor de certificados, localize o grupo Usuários e adicione os grupos ausentes.

Causa 3: Ausente "NT AUTHORITY\Usuários Autenticados" do grupo local "Acesso DCOM do Serviço de Certificado" do servidor de certificados

Para resolver esse problema, siga estas etapas:

1. Abra Usuários e Grupos Locais no servidor de certificados.
2. Localize o grupo Acesso DCOM do Serviço de Certificado.
3. Adicione NT AUTHORITY\Usuários autenticados.

Causa 4: EnableDCOM não está definido como Y no cliente e no servidor CA

Para resolver esse problema, siga estas etapas:

1. Localize esta chave HKEY_LOCAL_MACHINE\Software\Microsoft\OLEdo Registro .
2. Verifique se os dados do valor do Registro EnableDCOM estão definidos como Y.
3. Se for N, altere-o para Y e reinicie o computador.

Causa 5: as restrições de chamada de procedimento remoto não são aplicadas no servidor de certificados

Para identificar o problema, verifique se o GPO está aplicado ao servidor de certificados. Siga estas etapas:

1. Abra um prompt de comando com privilégios elevados no servidor de certificados.

2. Execute o comando gpresult /h. Por exemplo, gpresult /h appliedgpo.html.

3. Abra o arquivo .html e identifique o GPO vencedor em que a política de grupo Restrições para Cliente RPC Não Autenticado está configurada como Não Configurada.

   A política de grupo localiza-se em Modelos Administrativos \ Sistema \ Chamada de Procedimento Remoto \ Restrições para Cliente RPC Não Autenticado.

Causa 6: "Acesso DCOM do Serviço de Certificado" ausente das permissões de acesso de segurança COM ou das permissões de inicialização e ativação

Quando a função Serviços de Certificados do Active Directory é instalada em um servidor, o grupo de Acesso DCOM do Serviço de Certificados local recebe automaticamente direitos para a ferramenta administrativa dos Serviços de Componentes. Se essas permissões padrão tiverem sido removidas, você poderá enfrentar os sintomas descritos neste artigo. Para verificar se as permissões corretas estão em vigor, siga estas etapas:

1. Abra o snap-in do MMC (Console de Gerenciamento Microsoft) dos Serviços de Componentes em Ferramentas Administrativas do Windows.
2. No painel esquerdo, expanda Computadores dos Serviços de>Componentes.
3. Clique com o botão direito do mouse em Meu Computador, selecione Propriedades e, em seguida, selecione a guia Segurança COM.
4. Em Permissões de acesso, selecione Editar limites.
5. Verifique se o grupo de acesso DCOM do serviço de certificado local aparece na lista de nomes de grupo ou de usuário e se recebe permissões de acesso local e acesso remoto. Caso contrário, adicione-o e conceda as permissões apropriadas. Selecione OK para fechar a caixa de diálogo Permissão de acesso.
6. Em Permissões de inicialização e ativação, selecione Editar limites.
7. Verifique se o grupo de acesso DCOM do serviço de certificado local aparece na lista de nomes de grupo ou de usuário e se recebe as permissões de ativação local e de ativação remota. Caso contrário, adicione-o e conceda as permissões apropriadas. Selecione OK para fechar a caixa de diálogo Permissões de inicialização e ativação.

Referência

Para obter mais informações, consulte Restrições para clientes RPC não autenticados: a política de grupo que dá um soco na cara do seu domínio.