Dela via

Fel 0x800706ba "RPC-servern är inte tillgänglig" när du registrerar ett certifikat

När du försöker registrera ett certifikat på en Windows Server misslyckas det med felet 0x800706ba"RPC-servern är inte tillgänglig". I den här artikeln beskrivs steg för att lösa problemet.

Gäller för: Versioner av Windows Server som stöds
Ursprungligt KB-nummer: 4042719, 4516764, 5021150

Identifiera problemet

När du stöter på det här problemet kan du se ett eller flera av följande symtom.

Kommentar

När problemet uppstår, om vi lägger till användarkontot som används för att begära certifikatet till den lokala administratörsgruppen på certifikatutfärdare (CA), lyckas registreringen för en användarbaserad mall. Registrering mot en datorbaserad mall returnerar dock fortfarande samma fel.

Felmeddelanden

Du får felmeddelanden som liknar följande under certifikatregistreringen.

Fel 1

Ett fel uppstod när ett certifikat registrerades. Certifikatbegäran kunde inte skickas till certifikatutfärdare.
Url: <certifikatserverns FQDN>\MyPKI
Fel: RPC-servern är inte tillgänglig. 0x800706ba (WIN32: 1322 RPC_S_SERVER_UNAVAILABLE)

Fel 2

Skärmbild som visar förloppsfönstret för certifikatregistrering.

Fel 3

Skärmbild som visar felmeddelandet under certifikatregistreringen.

Nätverksinsamling

Nätverksspårningen visar lyckade LDAP-frågor (Lightweight Directory Access Protocol) till konfigurationspartitionen i Active Directory. de tillgängliga mallarna visas i spårningen.

Sedan försöker den begärande servern göra ett fjärrproceduranrop (RPC) till ca:n och får svaret "ÅTKOMST NEKAD".

Till exempel:

10167 <time> <requesting server IP address> <CA IP address> ISystemActivator 918 RemoteCreateInstance request  
10174 <time> <CA IP address> <requesting server IP address> DCERPC 86 Fault: call_id: 3, Fragment: Single, Ctx: 1, status: nca_s_fault_access_denied

Dessutom kan du hitta msrpc-bindningsförsöket (Microsoft Remote Procedure Call):

1093    <time>    92.5590216     (0)    SourceIP    52237 (0xCC0D)    DestIP    135 (0x87)    MSRPC    MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046}  Call=0x3  Assoc Grp=0x8A9E  Xmit=0x16D0  Recv=0x16D0  
1097    <time>    92.5940283     (652)    SourceIP    135 (0x87)    DestIP    52237 (0xCC0D)    MSRPC    MSRPC:c/o Bind Nack:  Call=0x3  Reject Reason: invalid_checksum

I en nätverksspårning hittar du följande fel:

Status: MSRPC:c/o Fault: Call=0x3 Context=0x1 Status=0x5 (åtkomst nekas)

Till exempel:

<Certificate_Server> <Client> DCOM  DCOM:RemoteCreateInstance Request, DCOM Version=5.7  Causality Id={7CFF2CD3-3165-4098-93D6-4077D1DF7351}
<Client> <Certificate_Server> MSRPC MSRPC:c/o Fault:  Call=0x3  Context=0x1  Status=0x5  Cancels=0x0

Händelseloggen

Om granskning är aktiverat kan ett DCOM-fel (Distributed Component Object Model) observeras på CA-servern som beskriver ett anonymt inloggningsförsök :

Log Name: System  
Source: Microsoft-Windows-DistributedCOM  
Date: <date>  
Event ID: 10027  
Task Category: None  
Level: Warning  
Keywords: Classic  
User: ANONYMOUS LOGON  
Computer: <CA FQDN>

Description:  
The machine wide limit settings do not grant Remote Activation permission for COM Server applications to the user NT AUTHORITY\ANONYMOUS LOGON SID (S-1-5-7) from address <IP address> running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Kommentar

Händelse-ID 82 loggas i programloggar om automatisk registrering misslyckas med samma fel.

Andra symtom och loggar

  • Anropet ska göras med dce_c_authn_level_pkt_integrity RPC-integritetsnivå som framtvingar Kerberos eller NTLM (New Technology LAN Manager) som en autentiseringsmekanism. Det här beteendet tillämpas som standard från och med 6B.22 KB5004442 – Hantera ändringar för förbikoppling av Windows DCOM Server-säkerhetsfunktioner (CVE-2021-26414).
  • När klienten skickar en KRB_AP_REQ begäran avvisas den av serversidan.
  • Servern försöker skaffa en åtkomsttoken för användaren som presenterade Kerberos Ticket Granting Service (TGS) och misslyckas med felet 0xc000015b "STATUS_LOGON_TYPE_NOT_GRANTED".

Orsak 1: Felaktiga grupprincipkonfigurationer

Det här problemet kan inträffa på grund av någon av följande orsaker:

  1. Grupprincipen Åtkomst till den här datorn från nätverket har angetts och det användarkonto som används för att registrera certifikatet läggs inte till. Som standard fylls principen i av grupperna: Administratörer, Säkerhetskopieringsoperatorer, Alla och Användare.
  2. Grupprincipen Neka åtkomst till den här datorn från nätverket har angetts och Alla, Användare eller en säkerhetsgrupp som användaren tillhör läggs till.

Dessa grupprinciper finns i Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter.

Kommentar

Du kan köra whoami /groups för att identifiera användarkontots grupper eller använda Active Directory-användare och datorer för att identifiera de grupper som tillhör användaren eller datorkontot.

Eftersom användarkontot som används för certifikatregistrering inte autentisering med hjälp av Kerberos nedgraderas autentiseringsmekanismen till "anonym inloggning". Inloggningen misslyckas på DCOM-nivå.

Identifiera problemet

  1. Öppna en upphöjd kommandotolk på certifikatservern.

  2. Kör kommandot gpresult /h. Exempel: gpresult /h appliedgpo.html

  3. Öppna den .html fil som genereras och granska avsnittet:
    Inställningar \ Principer \ Windows-inställningar \ Lokala principer \ Tilldelning av användarrättigheter

    • Få åtkomst till den här datorn från nätverket
    • Neka åtkomst till den här datorn från nätverket

  4. Anteckna det vinnande grupprincipobjektets namn.

    Skärmbild som visar gpresult-utdata.

Lös problemet genom att redigera det vinnande grupprincipobjektet.

Kommentar

Inställningarna som konfigurerats för grupprincip-objekt (GPO: er) är av en anledning, så du bör prata med säkerhetsteamet innan du gör några ändringar.

Lägg till lämpliga användargrupper i åtkomsten till den här datorn från nätverksgruppens princip. Till exempel:

Skärmbild som visar egenskapsfönstret för grupprincipen Åtkomst till den här datorn från nätverket.

Ta sedan bort den grupp som användarkontot eller datorkontot tillhör från Neka åtkomst till den här datorn från nätverksgruppens princip.

Mer information finns i Access this computer from the network - security policy setting (Åtkomst till den här datorn från nätverket – säkerhetsprincipinställning).

Orsak 2: "NT Authority\Authenticated Users" saknas i gruppen "Användare" på certifikatservern eller andra standardbehörigheter

Här är standardbehörigheterna:

  • Contoso\Domänanvändare
  • NT AUTHORITY\Authenticated Users
  • NT AUTHORITY\INTERACTIVE

Lös problemet genom att öppna Lokala användare och grupper på certifikatservern, leta upp gruppen Användare och lägga till de grupper som saknas.

Orsak 3: "NT AUTHORITY\Authenticated Users" saknas från den lokala gruppen "Certificate Service DCOM Access" på certifikatservern

Följ dessa anvisningar för att lösa problemet:

  1. Öppna Lokala användare och grupper på certifikatservern.
  2. Leta upp DCOM-åtkomstgruppen för certifikattjänsten.
  3. Lägg till NT AUTHORITY\Autentiserade användare.

Orsak 4: EnableDCOM är inte inställt på Y på klienten och CA-servern

Följ dessa anvisningar för att lösa problemet:

  1. Leta upp den här registernyckeln HKEY_LOCAL_MACHINE\Software\Microsoft\OLE.
  2. Kontrollera om data för Registervärdet EnableDCOM har angetts till Y.
  3. Om det är N ändrar du det till Y och startar sedan om datorn.

Orsak 5: Begränsningar för fjärrproceduranrop tillämpas inte på certifikatservern

Kontrollera att grupprincipobjektet tillämpas på certifikatservern för att identifiera problemet. Följ de här stegen:

  1. Öppna en upphöjd kommandotolk på certifikatservern.

  2. Kör kommandot gpresult /h. Exempel: gpresult /h appliedgpo.html

  3. Öppna filen .html och identifiera det vinnande grupprincipobjektet där grupprincipen Begränsningar för oautentiserad RPC-klient har konfigurerats till Inte konfigurerad.

    Grupprincipen finns i Administrativa mallar \ System \ Fjärrproceduranrop \ Begränsningar för oautentiserad RPC-klient.

Orsak 6: "DCOM-åtkomst för certifikattjänsten saknas" från COM-säkerhetsåtkomstbehörigheter eller start- och aktiveringsbehörigheter

När Active Directory Certificate Services-rollen är installerad på en server beviljas den lokala DCOM-åtkomstgruppen för certifikattjänsten automatiskt behörighet till det administrativa verktyget Komponenttjänster. Om dessa standardbehörigheter har tagits bort kan du uppleva de symptom som beskrivs i den här artikeln. Följ dessa steg för att kontrollera att rätt behörigheter finns på plats:

  1. Öppna snapin-modulen Component Services Microsoft Management Console (MMC) under Administrationsverktyg för Windows.
  2. I den vänstra rutan expanderar du Component Services>Computers.
  3. Högerklicka på Min dator, välj Egenskaper och välj sedan fliken COM-säkerhet .
  4. Under Åtkomstbehörigheter väljer du Redigera gränser.
  5. Kontrollera att den lokala DCOM-åtkomstgruppen för certifikattjänsten visas i listan Grupp- eller användarnamn och beviljas både behörigheter för lokal åtkomst och fjärråtkomst . Om inte lägger du till den och beviljar lämpliga behörigheter. Välj OK för att stänga dialogrutan Åtkomstbehörighet .
  6. Under Start- och aktiveringsbehörigheter väljer du Redigera gränser.
  7. Kontrollera att den lokala DCOM-åtkomstgruppen för certifikattjänsten visas i listan Grupp- eller användarnamn och beviljas både behörigheter för lokal aktivering och fjärraktivering . Om inte lägger du till den och beviljar lämpliga behörigheter. Välj OK för att stänga dialogrutan Starta och aktiveringsbehörigheter .

Referens

Mer information finns i Begränsningar för oautentiserade RPC-klienter: Den grupprincip som slår din domän i ansiktet.