The RPC server is unavailable

The RPC server is unavailable 0x800706ba (WIN32: 1722)

Zertifikate

Certificate enrollment for Local system failed

Diese Fehlermeldung kam früher öfter vor und zwar dann, wenn die Zertifizierungsstelle auf einem Domain Controller installiert wurde. Zur Lösung des Problems musste der Domain Controller noch der Sicherheitsgruppe CERTSVC_DCOM_ACCESS hinzugefügt werden.

Fehlte der DC in der Sicherheitsgruppe, so konnte er mittels des DCOM-Protokolls nicht auf die Registrierungs- und Verwaltungsdienste zugreifen. Neustart des DCs nicht vergessen!

Wenn Veränderungen an der Sicherheitsgruppe CERTSVC_DCOM_ACCESS vorgenommen worden sind oder neu angelegt wurde, so muss die Sicherheitsgruppe auf der CA noch aktualisiert werden.

The RPC server is unavailable 0x800706ba (WIN32: 1722)

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc & net start certsvc

SETUP_DCOM_SECURITY_UPDATED_FLAG

Die Domänen lokale Gruppe CERTSVC_DCOM_ACCESS befindet sich in der OU=Users.

Mitglieder der Sicherheitsgruppe CERTSVC_DCOM_ACCESS sind in der Regel die Gruppen Domain Users, Domain Computers und in diesem speziellen Fall auch die Gruppe Domain Controllers.

Kontrolliert werden sollten auch die Komponentendienste. So sollte es aussehen wenn alles in Ordnung ist.

The RPC server is unavailable 0x800706ba (WIN32: 1722)

Ein Client fragt wie folgt ein Zertifikat an

Der Client fragt das Active Directory nach einer Liste verfügbarer Zertifizierungsstellen und Zertifikatsvorlagen ab und bekommt nur die Informationen zurück auf die er Leserechte hat.

Der Client stellt nun mithilfe einer Kerberos-Authentifizierung eine RPC-Verbindung zur CA her und nutzt dafür die ICertRequest-DCOM-Schnittstelle.

Erweitertes Logging

Wer im Zusammenhang mit der automatischen Registrierung weitere Informationen in der Ereignisanzeige sehen möchte, der muss das Logging erweitern.

Erweitertes Logging automatische Registrierung

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEExpress]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\AutoEnrollment]
“AEEventLogLevel”=dword:00000000
“LogLevel”=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
“AutoEnrollmentRefreshTime”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment]
“AEEventLogLevel”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
“CallFailureLogginLevel”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
“ActivationFailureLogginLevel”=dword:00000001

Aktivieren des Debug-Loggings auf einer Zertifizierungsstelle.

Debug Logging auf einer CA aktivieren

Aktivieren

certutil.exe -f -setreg ca\debug 0xffffffff
certutil -setreg ca\loglevel 4
net stop certsvc & net start certsvc

Deaktivieren

certutil -delreg ca\debug
certutil -setreg ca\loglevel 3
net stop certsvc & net start certsvc

Die Logs findet man anschließend unter C:\Windows\certsrv.log und in der Ereignisanzeige unter Anwendung.

https://www.der-windows-papst.de/2020/07/29/certificate-authority-rpc-error-1722/