域服务器申请计算机证书提示：RPC服务器不可用

Question

CA服务器：CA server 2016已安装目前最新补丁。

客户端：server 2008 R2在MMC，个人-证书-申请新证书，选择计算机模版证书，提示RPC服务器不可用，网络已排除不存在问题。

客户端：server 2016在MMC，个人-证书-申请新证书，选择计算机模版证书，成功

总结为server 2008无法在CA申请证书，但是server 2016能正常申请CA证书。

在网上查询过相关内容，不知道是否和这个链接有关：https://learn.microsoft.com/zh-cn/troubleshoot/mem/configmgr/console-management/dcom-hardening-change-effect?source=recommendations

Answer 1

尊敬的客户，您好！

感谢您在Q&A论坛发帖。

1.根据这句话“客户端：server 2016在MMC，个人-证书-申请新证书，选择计算机模版证书，成功”，请问您提到的客户端server 2016是指的CA这台服务器本身吗？还是另一台域成员服务器？

2.如果您指的是CA服务器本身的话，请问您在其他的不是CA的机器上都不能成功申请证书，对吗？

3.如果是的话，请问报错是一样的“RPC服务器不可用”吗？并且请提供详细的报错信息截图，谢谢！

请检查如下信息：

1.检查“经过身份验证的用户（Authenticated Users）”组是否位于“Active Directory 用户和计算机”中的“证书服务 DCOM 访问”组中。

2.检查内置的Users 组是否包含以下成员组：Authenticated Users、Domain Users 和 INTERACTIVE。

3.检查CA服务器“我的电脑”的DCOM访问限制。

4.检查我们之前是否在CA服务器上编辑过本地组策略：

4-1开始>运行 > gpedit.msc >正常

4-2展开：计算机配置> Windows 设置>安全设置>本地策略>安全选项

4-3检查“DCOM：安全描述符定义语言 （SDDL） 语法中的计算机访问限制”和“DCOM：安全描述符定义语言 （SDDL） 语法中的计算机启动限制”的安全设置。

4-4默认的安全设置为“未定义”。如果两者的安全设置均未定义，则无需执行任何操作。

4-5如果我们编辑了其中任何一个，则上图中的“编辑限制”按钮将显示为灰色。

5.请检查端口 135、88 和 389 （如果只有1台客户端不能申请证书，请检查客户端的端口，如果很多客户端不能申请证书，请检查CA服务器的端口）。

我希望以上信息对您有所帮助。

如果您有任何问题或疑虑，请随时告诉我们。

此致敬意

Daisy Zhou

============================================

如果答案有帮助，请点击“接受答案”并点赞。

Answer 2

尊敬的客户，您好！

感谢您的回复。

1.请问CA服务器上的下面两个本地策略都是“未定义”吗？

或者您检查看看域策略是否配置了上面截图中的两条策略。

要在 gpresult 中检查计算机配置，我们可以按照以下步骤操作。

使用管理员帐户登录此计算机。

打开 CMD（以管理员身份运行）。

键入 gpresult /h C:\gpo.html 并单击 Enter。

打开gpo.html并检查“计算机详细信息”下的gpo设置。

2.CA服务器上的“Edit Limits”是灰色的（就是不能编辑的状态）吗？

Best Regards,
Daisy Zhou