Certificate enrollment for Local system failed
Diese Fehlermeldung kam früher öfter vor und zwar dann, wenn die Zertifizierungsstelle auf einem Domain Controller installiert wurde. Zur Lösung des Problems musste der Domain Controller noch der Sicherheitsgruppe CERTSVC_DCOM_ACCESS hinzugefügt werden.
Fehlte der DC in der Sicherheitsgruppe, so konnte er mittels des DCOM-Protokolls nicht auf die Registrierungs- und Verwaltungsdienste zugreifen. Neustart des DCs nicht vergessen!
Wenn Veränderungen an der Sicherheitsgruppe CERTSVC_DCOM_ACCESS vorgenommen worden sind oder neu angelegt wurde, so muss die Sicherheitsgruppe auf der CA noch aktualisiert werden.
The RPC server is unavailable 0x800706ba (WIN32: 1722)
certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc & net start certsvc
Die Domänen lokale Gruppe CERTSVC_DCOM_ACCESS befindet sich in der OU=Users.
Mitglieder der Sicherheitsgruppe CERTSVC_DCOM_ACCESS sind in der Regel die Gruppen Domain Users, Domain Computers und in diesem speziellen Fall auch die Gruppe Domain Controllers.
Kontrolliert werden sollten auch die Komponentendienste. So sollte es aussehen wenn alles in Ordnung ist.
Ein Client fragt wie folgt ein Zertifikat an
Der Client fragt das Active Directory nach einer Liste verfügbarer Zertifizierungsstellen und Zertifikatsvorlagen ab und bekommt nur die Informationen zurück auf die er Leserechte hat.
Der Client stellt nun mithilfe einer Kerberos-Authentifizierung eine RPC-Verbindung zur CA her und nutzt dafür die ICertRequest-DCOM-Schnittstelle.
Erweitertes Logging
Wer im Zusammenhang mit der automatischen Registrierung weitere Informationen in der Ereignisanzeige sehen möchte, der muss das Logging erweitern.
Aktivieren des Debug-Loggings auf einer Zertifizierungsstelle.