Hallo, hier wieder Rol mit einem Beitrag aus der Feder von Kollege Tobias aus dem Fachbereich PKI, zu einem Fehler der wohl häufiger auftritt, bis dato aber nicht näher dokumentiert ist - also ein guter Grund für einen Blog.

Wenn man beim Anfordern eines Zertifikates eine ähnliche Fehlermeldung wie die folgende bekommt:

„DCOM got an error 2147942405 from the computer <servername> when attempting to activate the server: {D99E6E74-FC88-11D0-B498-00A0C90312F3}“

oder eines der System Events, am Client:

Source: Microsoft-Windows-CertificateServicesClient-CertEnroll
Date: Date
Event ID: 13
Task Category: None
Level: Error
Keywords: Classic
User: User SID
Computer: <Computer>
Description:
Certificate enrollment for Local system failed to enroll a template certificate from certification authority . (The RPC server is unavailable. 0x800706ba. (Win32:1722))

oder auf dem CA Server:

Source: Microsoft-Windows-DistributedCOM
Event ID: 10016
User: <domain>\<user>
Computer: <Computer>
Description:
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID {D99E6E74-FC88-11D0-B498-00A0C90312F3}
and APPID {D99E6E74-FC88-11D0-B498-00A0C90312F3} to the user <domain>\<user> SID (<SID-number>) from address LocalHost (Using LRPC). This security permission can be modified using the Component Services administrative tool.

dann ist der Zusammenhang der, dass die DCOM Class ID : {D99E6E74-FC88-11D0-B498-00A0C90312F3} auf das DCOM Interface „CertSrv Request“ verweist, Ref. KB 246208 "Certification Authority Does Not Start and Returns Error Code 0x80004015, http://support.microsoft.com/default.aspx?scid=kb;EN-US;246208, und die Fehlermeldung „2147942405“ ein „Access is denied“ bedeutet.

Zudem sagt uns ja auch das Event noch "This security permission can be modified using the Component Services administrative tool".

Deswegen sind folgende Berechtigungen für das DCOM Interface „CertSrv Request“ auf einem Windows Server 20008 R2 zu überprüfen:

1. Starten von DCOMCNFG auf dem betroffenen Server (hier: „Certificate Authority“)

2. Auswahl der “Component Services“:
---Computers
----My Computer
------DCOM Config
------- CertSrv Request

Beispiel:

clip_image001

3. Öffnen der jeweiligen Eigenschaften und Überprüfen der Sicherheitseinstellungen von:
+ Launch and Activation Permissions (Sollwert: Customize --Everyone --- Allow "Local Activation" und "Remote Activation")
+ Access Permissions (Sollwert: Customize --Everyone --- Allow "Local Access" und "Remote Access")
+ Configuration Permissions (Sollwert: Customize --Users --- Allow "Read" und "Special permissons")

Beispiel:
Launch and Activation Permissions:

clip_image002

Access Permissions:

clip_image003

Configuration Permissions:

clip_image004

Des Weiteren muss folgendes bzgl. den Gruppenzugehörigkeiten überprüft werden:

  • Prüfen, ob im Active Directory die Gruppe [Certificate Service DCOM Access] existiert. Das ist der Fall, wenn die CA auf einem Domain Controller installiert wurde.
    Die Gruppe muss mindestens folgende Mitglieder haben:

    [Authenticated Users]
    [Domain Users]
    [Domain Controllers]
    [Domain Computers]

    Hinweis: Wenn die CA auf einem Member Server der Domäne installiert ist:
    • muss auf der CA die lokale Gruppe [Certificate Service DCOM Access] folgende Mitglieder haben:

      [Authenticated Users]

    • muss die Active Directory Gruppe [Builtin\Users] zumindest folgende Mitglieder haben:

      [Authenticated Users]

      [Interactive]
      [Domain Users]

  • Prüfen, ob im Active Directory die Gruppe [Authenticated Users] folgende Mitglieder hat:

    [Certificate Service DCOM Access]
    [Users]

    Dazu geht man wie folgt vor (SID Referenz KB 243330 "Well-known security identifiers in Windows operating systems", http://support.microsoft.com/default.aspx?scid=kb;EN-US;243330):

-> MMC Snap-In "Active Directory Users and Computers" (View->Advanced Features)
-> <Domain>
-> ForeignSecurityPrincipals
-> S-1-5-11
-> Properties
-> Members Of
-> Add...
-> „Certificate Service DCOM Access
-> „Users

Mit obigen Berechtigungen und Mitgliedschaften, nach deren Änderung zur Sicherheit ein Neustart des CA Servers zum Bilden einen neuen Tokens sinnvoll ist, sollte nun der Fehler 2147942405 („Access is denied“) nicht mehr auftreten.

Damit gutes Gelingen und weiterhin eine schöne vorweihnachtliche Zeit.
Euer Rol