RPC 服务器不可用。 0x800706ba(WIN32:1722 RPC_S_SERVER_UNAVAILABLE)

问题描述 投票:0回答:3

我想在独立的证书颁发机构请求证书,但我遇到了下一个问题: RPC 服务器不可用。 0x800706ba(WIN32:1722 RPC_S_SERVER_UNAVAILABLE) 我完成了这些任务,但问题如下:

  • 禁用 CA 上的防火墙(确定)
  • 获取 WmiObject Win32_ComputerSystem –计算机名(确定)
  • netstat -ano |找到“135”(确定)
  • sc查询Winmgmt和sc查询rpcss(OK)
  • 服务远程过程调用 (RPC) 正在运行(正常)
  • 测试网络连接 IP -端口 135(正常)
  • Test-NetConnection IP -端口 49703(警告:TCP 连接到(IP:49703)失败)
  • 事件查看器:安全(应用程序特定的权限设置不会授予 COM 服务器本地激活权限 具有 CLSID {D99E6E74-FC88-11D0-B498-00A0C90312F3} 的应用程序和 APPID {D99E6E74-FC88-11D0-B498-00A0C90312F3} 到用户 SID (S-1-5-21-2052401950-75243191-622671684-9855) 来自地址 LocalHost (使用LRPC)在应用程序容器中运行不可用的SID (不可用)。可以使用以下命令修改此安全权限 组件服务管理工具。)
  • 将域用户、域控制器、域计算机组添加到证书服务 DCOM 访问
  • 使用 CA 角色更新服务器上的 DCOM 安全设置 (certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG / net 停止 certsvc 并网络启动 certsvc)
  • Nltest /服务器:dc01 /查询(确定)
  • Certutil -ping(确定)

非常感谢。

windows server active-directory certificate
3个回答
0
投票

我建议您检查客户端的TCP RPC Dynamic Ports。 RPC 动态端口范围为49152-65535。还要确保TCP 端口 135 与 RPC 动态端口一起打开。这些端口应从从证书颁发机构请求证书的系统到域控制器和 CA 服务器的出站开放。

另外,请检查'Windows远程管理'服务是否设置为'手动'以及是否应该启动它。请确保请求证书的系统上的“后台情报传输服务”状态相同。一旦完成上述规定,您在请求证书时的问题就应该得到解决。

0
投票

当我从远程客户端(带有 Chrome 的 macOS)通过 

Invalid pointer 0x80004003 (-2147467261 E_POINTER)
URL 访问服务器时,我收到错误 
https://<CA-IP>/certsrv
;当通过 
The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
(带有 IE 的 Server 2012 R2)本地访问服务器时,我收到错误 
https://localhost/certsrv
。我的测试结果与你的相同 - 一切似乎都正常,正如预期的那样。我找到的解决方案是以我的用户身份通过 RDP 登录 AD CS,打开 
certmgr.msc
,右键单击 
Personal
文件夹 > 
All Tasks
> 
Request New Certificate
。之后,我将带有私钥的证书导出以供我自己的需要。

编辑:对我来说也有效的是通过

https://localhost/certsrv
(带有IE的服务器2012 R2)请求本地访问服务器的证书,但我已将URL
https://localhost
添加到IE受信任的站点列表中。另请注意,将使用 AD 用户 
CN
来请求证书。您可以使用 
certmgr.msc
> 个人 > 证书从计算机导出证书及其私钥(可选)。

请不要使用其他浏览器或操作系统来请求证书,因为该页面使用仅在 IE 上支持的 ActiveX(我相信它可以在 Edge 模式下工作)。使用其他浏览器请求证书的后果之一是无法选择 

Key Strenght
字段,并且在请求用户证书时抛出错误 
Invalid pointer 0x80004003 (-2147467261 E_POINTER)

通过 Server 2012 R2 IE 浏览器请求证书时,我还在 System 日志上收到事件查看器日志 ID 

36874
(An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.),但我注意到如果 IE 浏览器,它并没有阻止请求证书设置为禁用 TLS 1.2 并改用 TLS 1.1。但如果您收到此事件日志并想要修复它,您可以检查下面的链接以在 Windows Vista/7/Server 2008 (R2)/Server 2012 (R2) 中启用 TLS 1.2:

  1. https://support.microsoft.com/en-us/topic/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-winhttp-在-windows-c4bd73d2-31d7-761e-0178-11268bb10392#bkmk_easy
  2. https://improveandrepeat.com/2019/10/how-to-activate-tls-1-2-on-windows-server-2008-r2-and-iis-7-5/
  3. https://support.laserfiche.com/kb/1013919/configuration-information-for-tls-1-2

或者,如果您愿意,不久前我编写了一个可以自动为您启用 TLS 1.2 的脚本:https://github.com/eduardomozart/ScriptUtil/tree/master/Scripts/Windows/EnableTLS12

0
投票

对于“-2147467261 E_POINTER”并且当您请求用户证书时“密钥的功率”没有值,请尝试使用旧的 Web 浏览器 (Firefox 35.0)。 对我来说,这就是解决方案。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.