Сбой автоматической регистрации сертификатов локальная система 0x800706ba

Сбой автоматической регистрации сертификатов локальная система 0x800706ba

Вы можете столкнуться с ошибкой Сервер RPC недоступен (Исключение из HRESULT: 0x800706BA) / The RPC server is unavailable (Exception from HRESULT: 0x800706BA) при попытке подключения к удаленному компьютеру или серверу через определенную MMC оснастку управления, WMI инструмент, PowerShell WinRM или другой протокол удаленного управления.

Проще всего проверить доступность службы RPC на удаленном компьютере с помощью простого WMI запроса. В моем случае я попытаюсь опросить удалённый компьютер через WMI из консоли PowerShell.

Get-WmiObject Win32_ComputerSystem –ComputerName 192.168.0.114

На скриншоте, видно, что удаленный компьютер не доступен по RPC.

Get-WmiObject : Сервер RPC недоступен. (Исключение из HRESULT: 0x800706BA)
строка:1 знак:1
+ Get-WmiObject Win32_ComputerSystem –ComputerName 192.168.0.114
+

+ CategoryInfo : InvalidOperation: (:) [Get-WmiObject], COMException
+ FullyQualifiedErrorId : GetWMICOMException,Microsoft.PowerShell.Commands.GetWmiObjectCommand

Что нужно проверить, чтобы исправить ошибку «Сервер RPC недоступен 0x800706BA»:

  1. Проверьте, возможно вы указали неверный IP адрес / имя компьютера, или удаленный компьютер находится в состоянии выключения или еще только загружается.
  2. Убедитесь, что на удаленном компьютере запушены службы Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC) ) и Инструментарий управления Windows (Windows Management Instrumentation). Вы можете проверить статус служб с помощью команд: sc query Winmgmt и sc query rpcss . В том случае, если эти службы запущены команды вернут Состояние: 4 RUNNING. Если службы остановлены, запустите их командой: net start rpcss & net start Winmgmt
  3. Возможно доступ к удаленному компьютеру через порты RPC блокируется на сетевом уровне файерволом (это очень распространённая причина). В том случае, если в вашей сети нет файерволов, попробуйте временно отключить Windows Firewall (а также антивирусы, т.к. файервол может быть встроен в них) на стороне клиента и сервера и проверить соединение. Дополнительно, для работы протокола RPC вы должны проверить доступность TCP порта 135 на стороне сервера. Проще всего это сделать командлетом Test-NetConnection: Test-NetConnection 192.168.1.15 -port 135 . Если служба RPC включена и доступ к ней не блокируется межсетевым экранов, в строке TcpTestSucceeded будет указано True.
Читайте также:  Debian 9 minimal iso

Если вы столкнулись с ошибкой «Сервер RPC недоступен 0x800706BA» при выполнении автоматической регистрации сертификата на контроллере домена или в центре сертификации, то при этом в журнале приложений сервера скорее всего присутствует такая ошибка:

Source: CertificateServicesClient-CertEnroll Event ID: 13

Certificate enrollment for Local system failed to enroll for a DomainController certificate with request ID N/A from mskCA.vmblog.ru mskCA (The RPC server is unavailable. 0x800706ba (WIN32: 1722))

Source: CertificateServicesClient-AutoEnrollment EventID: 6
Automatic certificate enrollment for local system failed (0x800706ba) The RPC server is unavailable.

У данной проблемы может быть несколько вариантов решения, но в большинстве случае причина ошибки заключается в том, что у вашего сервера отсутствует доступ к DCOM на сервере со службой сертификации либо на DCOM установлены некорректные права.

  1. Убедитесь, что в вашем домене AD с центром сертификации существует группа CERTSVC_DCOM_ACCESS или Certificate Service DCOM Access.
  2. Добавьте в группу CERTSVC_DCOM_ACCESS/Certificate Service DCOM Access следующие доменные группы: Domain Users, Domain Controllers, Domain Computers.
  3. Выполните обновление настроек безопасности DCOM на сервере с ролью центра сертификации с помощью команд:
    certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
  4. На хосте с развернутым центром сертификации проверьте разрешения во вкладке безопасность COM. Для указанной выше группы должны быть разрешены Удаленный доступ и Удаленная активация.

После этого попробуйте перезагрузить компьютер и проверить выдачу сертификата.

Microsoft, Linux, Lync и etc……

Симптом: при попытке запросить в ручном режиме сертификат пользователи или сертификат компьютера мы получаем ошибку 0x800706ba (Сервер RPC недоступен).

Журнал WindowsПриложение регистрирует EventId 13, уровень Error:

Регистрация сертификата для Локальная система: не удалось зарегистрировать сертификат Machine с ИД запроса N/A от DC01.eaglenn.ruCEntCA (Сервер RPC недоступен. 0x800706ba (WIN32: 1722)).

Решение

У данной проблемы может быть несколько вариантов решения, но корень проблемы заключается в том, что нет группы доступа к DCOM (Доступ DCOM службы сертификации) либо нарушены права. Для начала убедитесь в наличии группы, для этого откройте Active Directory — пользователи и компьютеры, перейдите в OU Builtin и найдите группу Доступ DCOM службы сертификации:

Читайте также:  Windows 7 ultimate x64 rutor

Далее необходимо проверить членство в группе «Прошедшие проверку»

Откроем ПускАдминистрированиеСлужбы компонентов

Разверните правое меню Службы компонентовКомпьютерыМой компьютер, нажмите правой кнопкой мыши Мой компьютер и выберете Свойства:

В появившемся окне в разделе права доступа нажмите кнопку Изменить ограничения и проверьте присутствие группы Доступ DCOM службы сертификации и ее разрешения:

Так же необходимо проверить наличие группы и ее разрешения в параметре Разрешения на запуск и активацию.

Почему может пропасть доступ к DCOM

Одной из причин отсутствия доступа к DCOM центра сертификации может быть банальное удаления группы, но наряду с этим может прекратиться доступ и в результате конфигурирования групповой политики: DCOM: ограничения компьютера на запуск в синтаксисе SDDL. По умолчанию, при вызове редактора не происходит добавления группы Доступ DCOM службы сертификации, не зависимо от того, установлен у вас центр сертификации или нет.

Администратору необходимо помнить, что если в компании используется внутренний центр сертификации и происходит конфигурирование данной политики GPO (DCOM: ограничения компьютера на запуск в синтаксисе SDDL), группу отвечающую за доступ к DCOM необходимо добавить вручную.

(Event ID: 13 Source: Microsoft-Windows-CertificateServicesClient-CertEnroll)

Симптомы

Имя журнала: Application
Источник: Microsoft-Windows-CertificateServicesClient-CertEnroll
Дата:
Код события: 13
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: система
Компьютер:
Описание:
Регистрация сертификата для Локальная система: не удалось зарегистрировать сертификат DomainController с ИД запроса N/A от … (Сервер RPC недоступен. 0x800706ba (WIN32: 1722)).

Решение

1. На домен контроллере, на котором развернута служба сертификации, нужно убедиться что существует группа CERTSVC_DCOM_ACCESS. Для этого нужно:
Запустить оснастку Пользователи и компьютеры (Dsa.msc).
Открыть папку Users.
Проверить, что группа CERTSVC_DCOM_ACCESS существует.

2. Добавить группу CERTSVC_DCOM_ACCESS для:
Пользователи домена
Компьютеры домена
Контроллеры домена

Читайте также:  Как обновить ios на макбуке

3. Для обновления настроек безопасности DCOM sдля центра сертификации, требуется запустить следующие команды:

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc

Дополнительная информация

О причинах возникновения ошибки можно прочесть здесь.

Ссылка на основную публикацию
Adblock detector