Partage via

[AD CS] Problème de connexions entre Service Web d'enrôlement et l'AC : The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)

Anonyme
2024-01-19T14:26:09+00:00

Bonjour,

J'ai installé une autorité de certification sur un serveur A et le Service Web d'enrôlement de certificats sur un autre serveur B.

Lorsque j'essaie de faire une demande de certificat de n'importe quelle template de certificats depuis l'interface Web, j'obtiens l'erreur suivante :

The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)

Le même utilisateur arrive à faire la demande sur ces templates depuis le magasin de certificats de sa machine sans erreur.

De plus, les ports 135 et les hautes ports (49152-65535) sont bien ouverts entre les deux machines.

Une analyse Wireshark de trames entre les deux machines montre que l'AC renvoie le code suivant : nca_s_fault_access_denied

Les étapes de vérifications de l'article suivant n'ont pas résolu ce problème :
https://learn.microsoft.com/fr-fr/troubleshoot/windows-server/identity/replication-error-1722-rpc-server-unavailable

Quels peuvent les actions permettant d'identifier la source de ce problème ?

Merci d'avance pour votre réponse.

Windows Server - Identité et accès

Question verrouillée. Cette question a été migrée à partir de la communauté de support Microsoft. Vous pouvez voter pour savoir si c’est utile, mais vous ne pouvez pas ajouter de commentaires ou de réponses ou suivre la question. Pour protéger la vie privée, les profils d’utilisateur(-trice) des questions migrées sont anonymisés.

0 commentaires

5 réponses

Trier par : Le plus utile
Le plus utile Plus récent Plus ancien
  1. Anonyme
    2024-01-22T03:13:59+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Bonjour Simon PROVOT,

    Merci d’avoir posté sur le forum de la communauté Microsoft.

    Sur la même machine, vérifiez si vous pouvez inscrire un certificat via MMC (connectez-vous à un compte d’utilisateur et ouvrez certmgr.msc et inscrivez un certificat d’utilisateur).

    Sur la même machine, vérifiez si vous pouvez inscrire un certificat via MMC (connectez-vous à un compte administrateur et ouvrez certlm.msc et inscrivez un certificat de machine).

    1.Sur le contrôleur de domaine, vérifiez que le groupe « Utilisateurs authentifiés » se trouve dans le groupe « Accès DCOM au service de certificat » dans Utilisateurs et ordinateurs Active Directory, il est correct.

    2.Sur le contrôleur de domaine, vérifiez que le groupe Built-in\Users inclut les groupes membres suivants : Utilisateurs authentifiés, Utilisateurs de domaine et INTERACTIF, c’est correct.

    3.Vérifiez la limite d’accès DCOM de « Poste de travail » du serveur CA. Si le bouton Modifier les limites est grisé.
    Image

    4.Vérifiez si nous avons déjà modifié la stratégie de groupe locale (ou la stratégie de domaine) sur le serveur de l’autorité de certification :
    4-1 Démarrer > exécuter > gpedit.msc > OK

    4-2 Développer : Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité

    4-3 Vérifiez le paramètre de sécurité de « DCOM : Restrictions d’accès machine dans la syntaxe SDDL (Security Descriptor Definition Language) » et « DCOM : Restrictions de lancement de machine dans la syntaxe SDDL (Security Descriptor Definition Language) » et « DCOM : Restrictions de lancement de machine dans la syntaxe SDDL (Security Descriptor Definition Language) ".
    4-4 Les paramètres de sécurité par défaut sont Non définis. Si les paramètres de sécurité des deux sont Non définis, vous n’avez rien à faire.
    4-5 Si nous avons modifié l’un d’entre eux et que le bouton Modifier les limites est grisé.

    Si ce n’est pas le cas, vous pouvez résoudre le problème en vous basant sur le fil de discussion similaire ci-dessous.
    Echec de l’inscription du certificat pour le système local. Le serveur RPC est : - Microsoft Community

    J’espère que les informations ci-dessus vous seront utiles.

    Si vous avez des questions ou des préoccupations, n’hésitez pas à nous en faire part.

    Sinceres salutations
    Daisy Zhou

    0 commentaires
  2. Anonyme
    2024-01-31T09:40:47+00:00

    Bonjour,

    Merci pour votre retour.

    • Un utilisateur peut inscrire un certificat via MMC sans erreur (avec un compte utilisateur et un compte administrateur)
    • Les comptes "Built-in\Users" et "Certificate Services DCOM Access" sont bien configurés sur le contrôleur de domaine .
    • La limite d’accès DCOM de « Poste de travail » du serveur CA est configurée conformément à la capture d'écran de votre réponse.
    • Les paramètres de sécurité de « DCOM : Restrictions d’accès machine dans la syntaxe SDDL (Security Descriptor Definition Language) » et « DCOM : Restrictions de lancement de machine dans la syntaxe SDDL (Security Descriptor Definition Language) » et « DCOM : Restrictions de lancement de machine dans la syntaxe SDDL (Security Descriptor Definition Language)" ne sont pas activés.

    De plus, le fil de discussion mentionné dans votre réponse ne me permet pas de résoudre ce problème.

    Merci d'avance pour votre réponse.

    Simon Provot

    0 commentaires
  3. Anonyme
    2024-02-01T05:31:42+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Bonjour Simon PROVOT,

    Si vous souhaitez demander un certificat d’ordinateur, vous devez fournir les informations d’identification de l’administrateur.

    Vous pouvez essayer de désactiver le paramètre de pare-feu sur cette machine.

    Voici un lien avec l’erreur 0x800706ba « Le serveur RPC n’est pas disponible » lorsque vous inscrivez un certificat à titre de référence.

    Erreur 0x800706ba lors de l’inscription du certificat - Windows Server | Microsoft Learn

    Si vous avez des questions ou des préoccupations, n’hésitez pas à nous en faire part.

    Cordialement
    Daisy Zhou

    0 commentaires
  4. Anonyme
    2024-02-01T10:39:15+00:00

    Bonjour,

    Merci de votre retour.

    1. Si vous souhaitez demander un certificat d’ordinateur, vous devez fournir les informations d’identification de l’administrateur.

    La demande de certficat ordinateuer avec les informations d'identification d'un administrateur fonctionne et un certificat est délivré

    1. Vous pouvez essayer de désactiver le paramètre de pare-feu sur cette machine.

    Les pares-feux locaux de deux machines sont désactivés. Aucun flux entre les deux machines ne sont bloqués par le pare-feu physique

    1. Voici un lien avec l’erreur 0x800706ba « Le serveur RPC n’est pas disponible » lorsque vous inscrivez un certificat à titre de référence.

    Lors d'une analyse du traffic avec Wireshark, je vois bien l'erreur "status: nca_s_fault_access_denied"

    • La GPO "Access this computer from the network" possède le groupe "Adminsitrators" (qui contient le compte qui effectue la demande)

    - "NT Authority\Authenticated Users" est présent dans le groupe "Users" de l'Active Directory et du serveur d'autorité

    - "NT Authority\Authenticated Users" est présent dans le groupe local "Certificate Service DCOM Access" du serveur d'autorité de certification

    - La clé de registre HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\EnableDCOM est fixé à "Y"

    - Les restrictions RPC sont appliqués au serveur d'autorité de certification

    - "Accès DCOM au service de certificat" est présent dans les autorisations d'accès à la sécurité COM ou les autorisations de lancement et d'activation

    Merci d'avance de votre réponse,

    Simon PROVOT

    0 commentaires
  5. Anonyme
    2024-02-02T07:37:40+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Bonjour Simon PROVOT,

    Veuillez vérifier si vous inscrivez le certificat via l’inscription Web sur d’autres machines, pouvez-vous inscrire le certificat avec succès ?

    Si le problème ne se produit que sur cette machine problématique, il se peut que ce soit n’importe quel paramètre de cette machine qui soit à l’origine du problème.

    Si le problème se produit sur plusieurs machines de domaine, il se peut que ce soit n’importe quel paramètre du serveur CA qui soit à l’origine du problème.

    Sinceres salutations
    Daisy Zhou

    0 commentaires