Aracılığıyla paylaş

Sertifika kaydederken "RPC Sunucusu kullanılamıyor" hatası 0x800706ba

Windows Server'a bir sertifika kaydetmeye çalıştığınızda, "RPC Sunucusu kullanılamıyor" hatasını 0x800706ba başarısız oluyor. Bu makalede bu sorunu çözmeye yönelik adımlar tanıtılacaktır.

Şunlar için geçerlidir: Windows Server'ın desteklenen sürümleri
Özgün KB numarası: 4042719, 4516764, 5021150

Sorunu tanımlama

Bu sorunla karşılaştığınızda aşağıdaki belirtilerden birini veya daha fazlasını görebilirsiniz.

Not

Sorun oluştuğunda, sertifikayı istemek için kullanılan kullanıcı hesabını sertifika yetkilisinde (CA) yerel yöneticiler grubuna eklersek, kayıt kullanıcı tabanlı bir şablon için başarılı olur. Ancak makine tabanlı bir şablona kayıt yine de aynı hatayı döndürür.

Hata iletileri

Sertifika kaydı sırasında aşağıdakine benzer hata iletileri alırsınız.

Hata 1

Sertifikaya kaydedilirken bir hata oluştu. Sertifika isteği sertifika yetkilisine gönderilemedi.
Url: <sertifika sunucusu FQDN>\MyPKI
Hata: RPC sunucusu kullanılamıyor. 0x800706ba (WIN32: 1322 RPC_S_SERVER_UNAVAILABLE)

2. Hata

Sertifika kaydının ilerleme durumunu gösteren ekran görüntüsü.

Hata 3

Sertifika kaydı sırasında hata iletisini gösteren ekran görüntüsü.

Ağ yakalama

Ağ izlemesi, Active Directory'deki yapılandırma bölümüne yapılan başarılı Basit Dizin Erişim Protokolü (LDAP) sorgularını gösterir; kullanılabilir şablonlar izlemede gösterilir.

Ardından, istekte bulunan sunucu CA'ya bir uzak yordam çağrısı (RPC) yapmayı dener ve "ERİşİm REDDEDİLEN" yanıtını alır.

Örneğin:

10167 <time> <requesting server IP address> <CA IP address> ISystemActivator 918 RemoteCreateInstance request  
10174 <time> <CA IP address> <requesting server IP address> DCERPC 86 Fault: call_id: 3, Fragment: Single, Ctx: 1, status: nca_s_fault_access_denied

Ayrıca, Microsoft Uzaktan Yordam Çağrısı (MSRPC) bağlama girişimini ve hatasını bulabilirsiniz:

1093    <time>    92.5590216     (0)    SourceIP    52237 (0xCC0D)    DestIP    135 (0x87)    MSRPC    MSRPC:c/o Bind: IRemoteSCMActivator(DCOM) UUID{000001A0-0000-0000-C000-000000000046}  Call=0x3  Assoc Grp=0x8A9E  Xmit=0x16D0  Recv=0x16D0  
1097    <time>    92.5940283     (652)    SourceIP    135 (0x87)    DestIP    52237 (0xCC0D)    MSRPC    MSRPC:c/o Bind Nack:  Call=0x3  Reject Reason: invalid_checksum

Bir ağ izlemesinde aşağıdaki hatayı bulursunuz:

Durum : MSRPC:c/o Hata: Call=0x3 Context=0x1 Status=0x5 (Erişim reddedildi)

Örneğin:

<Certificate_Server> <Client> DCOM  DCOM:RemoteCreateInstance Request, DCOM Version=5.7  Causality Id={7CFF2CD3-3165-4098-93D6-4077D1DF7351}
<Client> <Certificate_Server> MSRPC MSRPC:c/o Fault:  Call=0x3  Context=0x1  Status=0x5  Cancels=0x0

Olay günlüğü

Denetim etkinleştirilirse, CA sunucusunda ANONIM OTURUM AÇMA girişiminin ayrıntılarını gösteren bir Dağıtılmış Bileşen Nesne Modeli (DCOM) hatası gözlemlenebilir:

Log Name: System  
Source: Microsoft-Windows-DistributedCOM  
Date: <date>  
Event ID: 10027  
Task Category: None  
Level: Warning  
Keywords: Classic  
User: ANONYMOUS LOGON  
Computer: <CA FQDN>

Description:  
The machine wide limit settings do not grant Remote Activation permission for COM Server applications to the user NT AUTHORITY\ANONYMOUS LOGON SID (S-1-5-7) from address <IP address> running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Not

Otomatik kayıt aynı hatayla başarısız oluyorsa, Uygulama günlüklerinde Olay Kimliği 82 günlüğe kaydedilir.

Diğer belirtiler ve günlükler

  • Çağrı, kimlik doğrulama mekanizması olarak Kerberos veya Yeni Teknoloji LAN Yöneticisi'ni (NTLM) zorlayan dce_c_authn_level_pkt_integrity RPC Bütünlüğü düzeyiyle yapılmalıdır. Bu davranış varsayılan olarak 6B.22 KB5004442—Windows DCOM Server Güvenlik Özelliği Atlama (CVE-2021-26414) değişikliklerini yönetme'den başlayarak uygulanır.
  • İstemci bir KRB_AP_REQ isteği gönderdiğinde, sunucu tarafı tarafından reddedilir.
  • Sunucu, Kerberos Anahtar Verme Hizmeti'ni (TGS) sunan ve "STATUS_LOGON_TYPE_NOT_GRANTED" hatasını 0xc000015b başarısız olan kullanıcı için bir erişim belirteci sağlamaya çalışır.

Neden 1: Yanlış grup ilkesi yapılandırmaları

Bu sorun aşağıdaki nedenlerden biri nedeniyle oluşabilir:

  1. Bu bilgisayara ağdan eriş grup ilkesi ayarlanır ve sertifikayı kaydetmek için kullanılan kullanıcı hesabı eklenmez. Varsayılan olarak, ilke gruplar tarafından doldurulur: Yöneticiler, Yedekleme İşleçleri, Herkes ve Kullanıcılar.
  2. Ağdan bu bilgisayara erişimi reddet grup ilkesi ayarlanır ve Herkes, Kullanıcılar veya kullanıcının ait olduğu bir güvenlik grubu eklenir.

Bu grup ilkeleri Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Kullanıcı Hakları Ataması konumunda bulunur.

Not

Kullanıcı hesabının gruplarını tanımlamak için komutunu çalıştırabilir whoami /groups veya Active Directory Kullanıcıları ve bilgisayarları kullanarak kullanıcıya veya bilgisayar hesabına ait grupları tanımlayabilirsiniz.

Sertifika kaydı için kullanılan kullanıcı hesabı Kerberos kullanarak kimlik doğrulamasında başarısız olduğundan, kimlik doğrulama mekanizması "anonim oturum açma" olarak düşürülebilir. Oturum açma işlemi DCOM düzeyinde başarısız oluyor.

Nasıl tanımlanır?

  1. Sertifika sunucusunda yükseltilmiş bir komut istemi açın.

  2. gpresult /h komutunu çalıştırın. Örneğin, gpresult /h appliedgpo.html.

  3. Oluşturulan .html dosyasını açın ve bölümünü gözden geçirin:
    Ayarlar \ İlkeler \ Windows Ayarları \ Yerel İlkeler \ Kullanıcı Hakları Ataması

    • Bu bilgisayara ağdan erişin
    • Bu bilgisayara ağdan erişimi reddet

  4. Kazanan GPO adını not edin.

    gpresult çıkışını gösteren ekran görüntüsü.

Bu sorunu çözmek için Kazanan GPO'yu düzenleyin.

Not

Grup İlkesi Nesnelerinde (GPO' lar) yapılandırılan ayarların bir nedeni vardır, bu nedenle herhangi bir değişiklik yapmadan önce güvenlik ekibinizle konuşmalısınız.

grubu ilkesinden Bu bilgisayara eriş'e uygun kullanıcı gruplarını ekleyin. Örneğin:

'Bu bilgisayara ağdan eriş' grup ilkesinin özellikler penceresini gösteren ekran görüntüsü.

Ardından, kullanıcı hesabının veya bilgisayar hesabının ait olduğu grubu Ağ grubu ilkesinden Bu bilgisayara erişimi reddet ilkesinden kaldırın.

Daha fazla bilgi için bkz . Bu bilgisayara ağdan erişme - güvenlik ilkesi ayarı.

Neden 2: Sertifika sunucusunun "Kullanıcılar" grubunda veya diğer varsayılan izinlerde "NT Authority\Authenticated Users" eksik

Varsayılan izinler şunlardır:

  • Contoso\Domain Users
  • NT AUTHORITY\Kimliği Doğrulanmış Kullanıcılar
  • NT AUTHORITY\INTERACTIVE

Bu sorunu çözmek için sertifika sunucusunda Yerel Kullanıcılar ve Gruplar'ı açın, Kullanıcılar grubunu bulun ve eksik grupları ekleyin.

Neden 3: Sertifika sunucusunun "Sertifika Hizmeti DCOM Erişimi" yerel grubunda "NT AUTHORITY\Authenticated Users" eksik

Bu sorunu çözmek için şu adımları izleyin:

  1. Sertifika sunucusunda Yerel Kullanıcılar ve Gruplar'ı açın.
  2. Sertifika Hizmeti DCOM Erişim grubunu bulun.
  3. NT AUTHORITY\Kimliği doğrulanmış kullanıcılar ekleyin.

Neden 4: EnableDCOM İstemci ve CA Sunucusunda Y olarak ayarlanmadı

Bu sorunu çözmek için şu adımları izleyin:

  1. Bu kayıt defteri anahtarını HKEY_LOCAL_MACHINE\Software\Microsoft\OLEbulun.
  2. EnableDCOM kayıt defteri değerinin verilerinin Y olarak ayarlandığını doğrulayın.
  3. N ise, Y olarak değiştirin ve bilgisayarı yeniden başlatın.

Neden 5: Uzaktan Yordam Çağrısı kısıtlamaları Sertifika sunucusuna uygulanmaz

Sorunu tanımlamak için, GPO'un sertifika sunucusuna uygulandığını doğrulayın. Şu adımları izleyin:

  1. Sertifika sunucusunda yükseltilmiş bir komut istemi açın.

  2. gpresult /h komutunu çalıştırın. Örneğin, gpresult /h appliedgpo.html.

  3. .html dosyasını açın ve Kimliği Doğrulanmamış RPC İstemcisi için Kısıtlamalar grup ilkesinin Yapılandırılmadı olarak yapılandırıldığı kazanan GPO'yu belirleyin.

    Grup ilkesi Yönetim Şablonları \ Sistem \ Uzaktan Yordam Çağrısı \ Kimliği Doğrulanmamış RPC İstemcisi için Kısıtlamalar konumunda bulunur.

Neden 6: COM Güvenlik Erişim İzinlerinde veya Başlatma ve Etkinleştirme İzinlerinde "Sertifika Hizmeti DCOM Erişimi" eksik

Active Directory Sertifika Hizmetleri rolü bir sunucuya yüklendiğinde, yerel Sertifika Hizmeti DCOM Erişim grubuna Bileşen Hizmetleri yönetim aracına otomatik olarak haklar verilir. Bu varsayılan izinler kaldırıldıysa, bu makalede açıklanan belirtilerle karşılaşabilirsiniz. Doğru izinlerin yerinde olduğunu doğrulamak için şu adımları izleyin:

  1. Windows Yönetim Araçları altında Bileşen Hizmetleri Microsoft Yönetim Konsolu (MMC) ek bileşenini açın.
  2. Sol bölmede Bileşen Hizmetleri>Bilgisayarları'nı genişletin.
  3. Bilgisayarım'a sağ tıklayın, Özellikler'i ve ardından COM Güvenliği sekmesini seçin.
  4. Erişim İzinleri'nin altında Sınırları Düzenle'yi seçin.
  5. Yerel Sertifika Hizmeti DCOM Erişim grubunun Grup veya kullanıcı adları listesinde göründüğünü ve hem Yerel Erişim hem de Uzaktan Erişim izinleri verildiğini doğrulayın. Eklenmiyorsa, ekleyin ve uygun izinleri verin. Erişim İzni iletişim kutusunu kapatmak için Tamam'ı seçin.
  6. Başlatma ve Etkinleştirme İzinleri'nin altında Sınırları Düzenle'yi seçin.
  7. Yerel Sertifika Hizmeti DCOM Erişim grubunun Grup veya kullanıcı adları listesinde göründüğünü ve hem Yerel Etkinleştirme hem de Uzaktan Etkinleştirme izinlerinin verildiğini doğrulayın. Eklenmiyorsa, ekleyin ve uygun izinleri verin. Başlat ve Etkinleştirme İzinleri iletişim kutusunu kapatmak için Tamam'ı seçin.

Başvuru

Daha fazla bilgi için bkz . Kimliği Doğrulanmamış RPC İstemcileri için Kısıtlamalar: Etki alanınızın yüzüne yumruk atan grup ilkesi.