Криптопро tls ошибка 0x6ba при обращении к csp сервер rpc недоступен

eugenyb	#1 Оставлено : 2 ноября 2009 г. 17:51:41(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 02.11.2009(UTC) Сообщений: 1 Откуда: Moscow	Служба «CryptoPro CSP key storage» неожиданно прервана. Это произошло (раз): 1 КриптоПро TLS.Ошибка 0x6ba при обращении к CSP. Сервер RPC недоступен Происходит в разное время случайным образом на 2 ПК Windos 2003 SP2 КриптоПро CSP 3.0.3300.3 КС2 ДСЧ Биологический Судя по сообщению :http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=posts&t=771, это исправляется если перейти на КС1 или обновить до версии 3,6, но такой возможности нет. Что можно сделать еще? Отредактировано пользователем 2 ноября 2009 г. 20:07:59(UTC)  | Причина: Не указана
	WWW

Татьяна	#2 Оставлено : 9 ноября 2009 г. 20:12:00(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.02.2008(UTC) Сообщений: 1,491 Откуда: Крипто-Про Поблагодарили: 40 раз в 37 постах	Здравствуйте. Возможно, конфликт с каким-то ПО( или просто программой или драйвером устройства или вредоносным ПО). Если стои задача просто избавиться от ошибки, нажмите два раза на службу, перейдите на вкладку «восстановление» и назначте перезапуск после сбоев.
Татьяна ООО Крипто-Про

shaggy	#3 Оставлено : 4 февраля 2010 г. 12:37:22(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 04.02.2010(UTC) Сообщений: 1 Откуда: Красноярск	Столкнулся с таким весёлым% фактором появления этой ошибки, что даже не поленился зарегистрироваться и описать. Информация найдёт своего читателя. Итак, по порядку. Система: WinXP pro SP3 со всеми обновлениями КриптоПро CSP КС2 3.0.3300.3, сертификаты (контейнеры) на дискетах Антивирус: TrendMicro WorryFreeBusinessSecurity (сразу скажу, дело не в нём) Имеем в Логе приложений ошибку: Цитата: Источник: cpSSPAP Код (ID): 300 Описание: КриптоПро TLS. Ошибка 0x6ba при обращении к CSP: Сервер RPC недоступен. Соответственно приложения, использующие КриптоПро, не работают. Пишут, что сертификат/контейнер не найден и RPC не доступен. Идём в список служб и видим, что со службой Удалённый вызов процедур (RPC) всё в порядке, но вылетает (останавливается) служба CryptoPro CSP key storage. Попытки выставить в свойствах службы перезапуск ничего не дают. Она перезапускается, да. Но не даёт приложениям себя использовать, вылетая снова и снова. Идём в Панель управления, заходим в раздел КриптоПро CSP. Пробуем посмотреть сертификаты в контейнере — получаем ошибку. Если руками запустить службу CryptoPro CSP key storage, то посмотреть МОЖНО, и служба НЕ падает. Но при попытке использовать сертификат для подписи служба вылетает снова. Тратим полчаса на проверку обновлений Windows, поиск прорвавшихся вирусов — всё чисто. Пробуем выгружать антивирус — безрезультатно. Идём пить кофе и читать этот форум. Решения нет. Снова идём, садимся за проблемный компьютер. Делаем глубокий вдох/выдох, и начинаем наконец думать головой, а не действовать на автомате. Наконец видим в одном из окон с сообщением об ошибке КриптоПро, появляющихся при попытке подписи, волшебную кнопку Дополнительно. Нажимаем её, и видим, что Носитель доступен только для чтения. Понимаем, что КриптоПро нужен туда доступ на запись. Вытаскиваем дискету, снимаем защиту, вставляем обратно. И всё начинает работать. Теперь, собственно, как всё было. Вчера позвонил бухгалтер, сообщил об этой ошибке. Пришёл, вспомнил, что такое было полгода назад. Служба КриптоПро CSP останавливалась. Запустил службу, зашёл в Панель управления, раздел КриптоПро CSP, убедился, что сертификаты на дискете видно. Вот только, вытащив для осмотра дискету (та ли?), я машинально включил на ней защиту от записи. Дело в том, что у нас используется несколько банк-клиентов с ключами на дискетах. Надо ли говорить, что на всех этих дискетах защита от записи включена. Включил и здесь. И получил повод написать это сообщение. Основная задержка в установлении причины связана с разным поведения КриптоПро: — компонент КриптоПро Панели управления нормально показывает сертификаты на дискете с включенной защитой от записи — но при попытке поставить подпись нужен уже доступ на запись, и служба вылетала Интересно только, зачем КриптоПро полный доступ на дискету с ключами? Для временных файлов существует чудесная папка %temp%. И как ведёт себя в таких ситуациях версия 3.6? Отредактировано пользователем 4 февраля 2010 г. 12:38:45(UTC)  | Причина: Не указана

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Ошибки 0x000006ba, 0x000006be, 0x000006d9 в операционной системе Windows

Системные ошибки не возникают сами собой, и для того чтобы решить каждую необходимо выяснить причину её появления.
Ошибки 0x000006ba, 0x000006be, 0x000006d9 имеют общее происхождение, а именно распечатка файла на принтере.

0x000006ba “Невозможно завершение операции. Подсистема печати недоступна”

Ошибка возникает при отправке файлов на печать, так как служба не запущена или не может быть запущена. Модифицирование (изменение) или удалении файла запуска службы печати в основном и приводит к этой ошибке. В некоторых случаях это связано с появлением вредоносного ПО (вирусы, трояны и пр.).

0x000006be “Windows не удается подключиться к принтеру”

Эта ошибка появляется при попытке распечатать файл на сетевом принтере. Ошибка является конфликтом версий драйвера, где версии сервера (где подключен принтер) и пользователя (отправителя файла) не совпадают.

0x000006d9 “Не удалось сохранить параметры принтера. Невозможно завершить операцию”

Данная проблема появляется при попытке сделать принтер общедоступным в сети. Брандмауэр Windows — это система безопасности которая работает по принципу фильтра (Firewall), для защиты ОС от внешних сетевых угроз. И у неё есть набор своих правил общего доступа к принтерам и файлам. Если сказать проще, то отключение брандмауэра не даст Вам создать полноценную общедоступную сеть, и следовательно Вы не сможете открыть принтер для других пользователей.

Выше указанные проблемы начали появляться со времен выхода Windows XP, и также встречаются в современной Windows 10. В этом отрезке операционных систем от WinXP до Win10 встречаются эти ошибки, а виной этому:

Все три ошибки одновременно встречаются крайне редко, и все же давайте их решим все по порядку.
Ошибка 0x000006ba, как нам уже стало известно она появляется в следствии то что, служба отвечающая за отправку файлов на печать не работает. Решение будет следующим:

Если после проделанных манипуляций ничего не получается распечатать, необходимо проверить системную папку Windows на вирусы. А также проверить на сайте производителя Вашего принтера, наличие более свежих драйверов, если таковые имеются то обязательно обновить драйвер.

Ошибка 0x000006be указывает на несоответствие драйверов двух и более компьютеров. Как было сказано выше, компьютер на котором установлен принтер имеет драйвер отличимый от остальных. Появление такой проблемы иногда связано из-за обновления старых компьютеров и разных версиях операционных систем. Решение этой ошибки довольно простое:

Ошибка 0x000006d9, как и предыдущая возникает только в сетевом окружении семейства Windows из-за отключенного брандмауэра. Для того чтобы ее устранить необходимо:

Включить брандмауэр Windows

После включения брандмауэра рекомендуется объединить все компьютеры сети в одну сетевую группу.

Все эти ошибки можно избежать если своевременно обновлять драйвер оборудования и соблюдать безопасность в своем сетевом окружении, не отключать брандмауэр, а также иметь актуальное антивирусное ПО.

Источник

Локальная подсистема печати не выполняется: как исправить ошибку?

Вы можете столкнуться с ошибкой «Локальная подсистема печати не выполняется» как при попытке подключить новый принтер, так и при открытии настроек уже настроенного локального принтера или при отправке на печать любого документа. Эта ошибка может появиться как в Windows 10, так и в Win 7 или 8.1.

Текст сообщения об ошибке может немного отличаться в зависимости от того, какое действие вы пытаетесь выполнить с объектами в подсистеме печати. Например:

Windows не удается подключиться к принтеру.

Локальная подсистема печати не выполняется. Перезапустите подсистему или перезагрузите компьютер.

В английской версии Windows ошибка может выглядеть так:

В первую очередь нужно проверить, запушена ли служба печати (Print Spooler). При отключенной службы печати вы можете столкнуться с ошибкой 0x000006ba.

Так же вы можете проверить статус службы печати из командной строки, выполнив команду:

В этом примере видно, что служба запушена (Running).

Если служба «Диспетчер печати» отсутствует или не запускается, попробуйте очистить очередь печати и удалить файлы в папке C:windowssystem32spoolPrinters (при остановленной службе печати). Затем проверьте, включен ли компонент печати Windows:

Если ошибка «Локальная подсистема печати не выполняется» появляется при попытке подключения общего сетевого принтера с другого компьютера, попробуйте подключить сетевой принтер через локальный порт (в качестве имени порта используется адрес принтера в формате PCName1HP2000). Процедура подключения сетевого принтера через локальный порт подробно описана в статье Печать на сетевом принтере на Windows 10 из-под XP.

Источник

Как исправить ошибку 0x000006BA в Windows 10?

Много пользователей Windows 10 при попытке распечатать документ получают ошибку с кодом 0x000006BA. Также этот сбой может проявляться при подключении принтера к компьютеру или при добавлении нового устройства для печати в существующую сеть. Порой даже при активации службы печати проявляется данная поломка. С чем это может быть связано и как исправить данную ошибку – тема нашего текущего руководства.

Причины ошибки 0x000006BA в Windows 10

Может быть довольно много поломок, которые приводят к ошибке 0x000006BA, среди них:

Как исправить ошибку 0x000006BA?

Выяснив причины данной проблемы, стоит перейти к методикам ее исправления. В этом списке только те решения, которые уже сработали на практике у других пользователей. Скорее всего, что-то из этого будет действенно и в вашем случае.

Способ 1: используем средство устранения неполадок

Глупо игнорировать комплексный инструмент исправления сбоев с принтером, который присутствует в Windows 10. Он не только эффективный, но и прост в использовании. Большинство банальных проблем отпадут сами собой, тем более, разработчики обновляют этот инструмент и своевременно реагируют на новые неполадки.

Как устранить сбой с кодом 0x000006BA в Windows 10:

В некоторых случаях могут потребоваться дополнительные действия, но обычно в мастере устранения неполадок есть инструкция, что и как нужно сделать.

Способ 2: перезагружаем диспетчер печати

Если встроенный инструмент не установил природу проблемы, причина может быть в службе печати. Перезапуск «Диспетчера печати» часто срабатывает как у тех, кто столкнулся с ошибкой 0x000006BA, так и у пользователей с большинством проблем печати.

Способ 3: очистка кэша в папке PRINTERS

Если ранее подключенные принтеры не были полностью удалены, а практически всегда так и есть, некоторые данные не перезаписываются. Их запрашивает новое устройство, не может обработать из-за отличия производителей и моделей, и высвечивает ошибку. Если удалить временные файлы в целевой папке, они будут сгенерированы повторно, но в этот раз – должны быть исправными.

Способ 4: сканирование системы

Скорее всего что-то из перечисленного ранее должно помочь. Если этого не случилось, можем сделать вывод, что проблема в повреждении системных файлов. Несмотря на серьезность поломки, ее реально исправить самостоятельно при помощи SFC и DISM.

Главное – не отключать компьютер во время сканирования, это может сильно нарушить работоспособность системы.

Способ 5: активируем общий доступ к принтеру

Если поломка произошла при подключении к принтеру внутри локальной сети, проблема может быть в неактивности Windows в качестве хоста. Часть пользователей смогли решить проблему через панель «Принтеры и сканеры» на компьютере и включение функции совместного использования. Только нужно все делать на главном компьютере сети.

Вот, как это нужно сделать:

Если все делали согласно инструкции, ошибка с кодом 0x000006BA в Windows 10 появляться не должна. По крайней мере перечисленные способы помогали всем. Если у вас есть еще какие-то решения проблемы или вопросы, пишите в комментариях.

Источник

Ошибка: «Локальная подсистема печати не выполняется в операционной системе Windows» и способы ее устранения

В Windows 10 разработчики предусмотрели очень удобную встроенную утилиту для печати: можно использовать любой принтер без установки драйверов и дополнительного ПО. К сожалению, в более ранних версиях такая преференция отсутствует: стоит допустить малейшую ошибку в настройке, и тут же выскакивает окошко с уведомлением: «локальная подсистема печати не выполняется в операционной системе Windows 7». Иногда такая неприятность может случиться и с Windows 10 из-за сбоев в функционировании компьютера. Ниже мы разберем причины неполадки и способы ее устранения.

Способы решения ошибки Как решить ошибку «Локальная подсистема печати не выполняется в Windows».

Причины возникновения проблемы

Источники возникновения ошибки:

Способы решения

Самая распространенная причина сбоя печати под кодом 000006 (ошибка 0x000006ba) – отключение ответственной службы, поэтому первым делом проверяем данную вероятность, а затем переходим к другим.

Проверяем «Диспетчер печати»

Обычно для Windows 10 этих мер достаточно, чтобы нормализовать процесс выведения данных на бумагу.

Сканирование на вирусы

Нередко помехой для печати служат вирусы. Для эффективной очистки войдите в систему в «Безопасном режиме»:

Можно также скачать антивирусную утилиту и запустить сканирование с флешки.

Чистка очереди печати

Обычный способ

Принудительная очистка

Если в ответ на попытку очистить реестр печати появляется сообщение о невозможности выполнить операцию, придется прибегнуть к другому способу.

Перезагрузите компьютер и попробуйте распечатать какой-нибудь документ, чтобы убедиться, что все работает нормально.

Восстановление системы

Стоит также проверить состояние системных файлов. Для этого:

Теперь ОС продиагностирует и исправит неполадки самостоятельно.

Переустановка принтера

Для «Виндовс» более ранних версий, нужно скачивать драйвера с сайта той фирмы, чье имя носит ваше оборудование, и устанавливать их:

Перед началом печати лучше перезагрузить ОС.

Источник

Как исправить: ошибка 0x000006BA в Windows 10

Обновление: Перестаньте получать сообщения об ошибках и замедляйте работу своей системы с помощью нашего инструмента оптимизации. Получите это сейчас на эту ссылку

Вы разочарованы ошибкой 0x000006BA в Windows 10? Вы можете столкнуться с ошибкой «Служба локального диспетчера очереди печати не запущена» при попытке установить новый принтер, при открытии настроек настроенного локального принтера или при попытке распечатать файл. Эта ошибка может возникать в Windows 10, Win 8.1 или 7.

Текст сообщения об ошибке может незначительно отличаться в зависимости от того, что вы делаете с объектами в подсистеме диспетчера очереди печати. Например:

Windows не может открыть «Добавить принтер.
Локальная служба диспетчера очереди печати не работает. Пожалуйста, перезапустите диспетчер очереди печати или перезагрузите компьютер.

Windows не может подключиться к принтеру.
Локальная служба диспетчера очереди печати не работает.

Что вызывает ошибку 0x000006BA в Windows 10?

Эта ошибка может возникнуть при попытке запустить проверку системных файлов на компьютере с Windows. Это также может быть вызвано неправильной конфигурацией системы и повреждением файлов реестра на вашем компьютере. Эта ошибка является примером многих сбоев и поломок ПК.

Эта ошибка 0x000006ba также может возникать, когда сервер RPC недоступен. Эта ошибка возникает, когда вы пытаетесь установить принтер на компьютер с Windows, а затем получаете ошибку такого типа. Эта ошибка включает сбои системы, сбои и заражение критическими вирусами.

Причины ошибки «Операция не может быть завершена» 0x000006ba Проблема Windows:

Как исправить ошибку 0x000006BA в Windows 10

Сканируйте системные файлы на вашем компьютере с Windows

Это поможет вам исправить ошибку 0x000006ba «Операция не может быть завершена» на вашем компьютере.

Возврат принтера к настройкам по умолчанию

Обновите драйверы Windows на вашем компьютере

Эти простые шаги помогут вам исправить ошибку Windows 0 диспетчера очереди печати 00006x10ba на вашем устройстве.

Обновление Windows

Часто задаваемые вопросы

Как мне исправить тот факт, что локальный диспетчер очереди печати не работает?

Как исправить ошибку диспетчера очереди печати принтера?

Как очистить диспетчер очереди печати?

Как исправить диспетчер очереди печати в Windows 10?

Источник

Различные версии Windows слишком часто пишут, что «сервер RPC недоступен». Это может случаться как просто при запуске какой-то программы, так и при входе в систему, попытке выполнить команду через PowerShell и очень часто – в момент подключения к принтеру. Тот самый таинственный RPC-сервер – это служба удаленного подключения к другим устройствам, которая не смогла запуститься, связаться с аппаратом на той стороне или имеет какие-то системные неполадки. Мы постараемся помочь всем: как тем, кто столкнулся с ошибкой «сервер RPC недоступен» в пользовательских версиях Windows 10, 8, 7, XP, так и в серверных разновидностях Windows Server 2012, 2008.

Смысл сообщения в том, что система не в состоянии связаться с другим компьютером или иным устройством. Это может потребоваться при развертывании сетей, открытии удаленного доступа к ПК или даже по причине взлома операционной системы. Порой причина в программе, которая требует те или иные полномочия. Если ошибка появляется при входе в систему, но никто из пользователей ПК не настраивал автоматическое подключение – дело плохо, нужно срочно искать вредоносный софт. В остальных случаях все легко исправить.

Причины ошибки:

• второе устройство сейчас недоступно, скорее всего – оно выключено;
• служба RPC отключена в системе;
• брандмауэр или провайдер блокирует порты, использованные при подключении;
• указаны неправильные параметры подключения;
• скопился неправильный кэш DNS.

Разновидности проблемы

Какие бывают вариации ошибки «сервер RPC недоступен»:

• Появляется при запуске программы. Она пытается установить связь с вторым устройством, завершить процедуру не получается и высвечивается ошибка.
• В момент включения системы. Настроено автоматическое подключение на пользовательской версии Windows.
• Не получается использовать WMI-инструмент, PowerShell WinRM или подключиться к серверу в Windows Server.
• Ошибка «Сервер RPC недоступен» во время запуска ABBYY FineReader Licensing Service.

Вариантов проблемы много, мы начнем с исправления тех, что возникают в обычных Windows 7, 10, затем перейдем к проблемам в серверных ОС и в конце рассмотрим оставшиеся разновидности.

Читайте также: Ошибка «Не обнаружен XINPUT1_3.dll»

Как исправить ошибку в Windows 10, 8, 7, XP?

Если при печати или подключении к другому ПК на любой Windows, начиная с XP, появляется данная ошибка, следует проверить доступность устройства. Девайс обязан быть включенным и отзываться на команду ping. Чаще всего именно неактивность принтера, компьютера или сервера является причиной проблемы. После его выхода в сеть, все пройдет. Дальнейшие процедуры имеет смысл проводить в том случае, если оба устройства активны и откликаются на команду ping, но ошибка все равно появляется.

Полезно! Стоит попробовать запустить средство устранения неполадок, которое исправит большинство системных неполадок, которые сможет найти. Это позволит значительно сократить время. Что использовать инструмент, нужно зайти в «Панель управления» на вкладку «Устранение неполадок» и выбрать «Использование принтера».

Решение 1: активируем службы RPC

При ошибке 1722 «сервер RPC недоступен» следует проверить активность основных служб, которые нужны для использования удаленного подключения.

Что нужно делать:

1. Нажимаем Win + R и в появившуюся строку вводим services.msc.
2. Ищем службу «Локатор удаленного вызова процедур (RPC)» и дважды кликаем по ней.
3. Выбираем «Тип запуска» в положение «Автоматически».
4. Запускаем «Средство построения конечных точек».
5. Активируем службу «Модуль запуска процессом DCOM-сервера».
6. То же самое делаем для «Диспетчера печати».

Скорее всего error 1722 в Windows и ряд других ошибок будет устранен уже на этом этапе.

Решение 2: открываем порты

Переходя к этому пункту, мы рекомендуем сначала отключить брандмауэр Windows полностью, это позволит понять, дело действительно в фаерволе или он не имеет к ошибке никакого отношения. Если после выключения этого инструмента защиты наблюдается улучшение, рекомендуем провести следующую процедуру.

Инструкция:

1. Открываем «Панель управления» из меню, которое открывается Win + X.
2. Переходим в «Брандмауэр Windows» и нажимаем на «Разрешение взаимодействия…» из левого меню.
3. Устанавливаем флаги возле «Удаленного помощника», если их там нет.
4. Проверяем, открыт ли нужный порт с помощью команды TNC msk-mail1 -Port 25 (ее нужно вводить в PowerShell, которую можно найти через поиск). Если он открыт, должно появиться сообщение TcpTestSucceeded:True. Когда ответ отрицательный, нужно открыть порт.
5. Возвращаемся в «Брандмауэр Windows» и нажимаем на пункт «Дополнительные параметры».
6. В разделе «Правила для исходящего подключения» выбираем вариант «Для порта».
7. Устанавливаем протокол TCP и в строку «Определенные порты» вставляем цифру нужного.
8. Выбираем «Разрешить подключение» и завершаем созданием правила.

Решение 3: включаем протоколы связи

Реже, но бывает такое, что в протоколах связи неактивны несколько важных параметров.

Как это исправить:

1. Через «Панель управления» переходим в «Сетевые подключения».
2. Жмем по подключенной сети правой кнопкой мыши и выбираем «Свойства».
3. Включаем «Общий доступ к файлам и принтерам», а также – «IP версии 6».

Решение 4: чистим DNS

Простой способ, который тоже может помочь. Достаточно в командную строку с повышенными привилегиями вставить ipconfig /flushdns и задействовать команду кнопкой Enter.  Если в недавнем прошлом изменялось имя ПК, к которому происходит подключение, следует перерегистрировать DNS с помощью команды ipconfig /registerdns.

Читайте также: Как исправить ошибку «An operating system wasn’t found» при запуске Windows 7, 8, 10?

Способы решения для Windows Server 2008, 2012

В Windows Server есть еще одна разновидность ошибки – «Сервер RPC недоступен (Исключение из HRESULT: 0x800706BA)». Она тоже высвечивается в момент попытки выполнения команды с использованием подключения к удаленному ПК. Сначала нужно проверить доступность устройства, это просто сделать с использованием строки: «Get-WmiObject Win32_ComputerSystem –ComputerName 192.168.0.114», где IP и название компьютера указываем своего сервера.

Как можно исправить ошибку с кодом 0x800706ba (0x6ba):

• Удостоверяемся в активности устройства по другую сторону.
• Проверяем правильность IP-адреса или имени компьютера.
• По необходимости включаем «Удаленный вызов процедур (RPC)» и «Инструментарий управления Windows» на серверном ПК. Для быстрой проверки статуса служб sc query Winmgmt и sc query rpcss. Положительный результат выглядит так: «Состояние: 4 RUNNING». Для их включения следует заменить слово query в команде на start.

• Проверяем порты. Команда Test-NetConnection 192.168.1.15 —port 135 отобразит, открыт ли этот порт. Возможно, его придется открыть, инструкция указана выше.
• Устанавливаем правильные параметры DNS.
• Проверяем правильность установленного времени.
• Активируем службу «Помощник TCP/IP NetBIOS».

Сервер RPC недоступен ABBYY FineReader Licensing Service

При попытке использования программы ABBYY для расшифровки PDF-файлов может появиться подобная ошибка. Мы о ней уже неоднократно слышали и знаем, как исправлять.

Пошаговое руководство:

1. Находим элемент управления services.msc через поиск или строку «Выполнить».
2. Находим все службы, в которых фигурирует слово ABBYY.
3. Открываем их правой кнопкой мыши, переходим в «Свойства» и задаем им «Тип запуска» в положение «Автоматически».
4. Применяем изменения и закрываем окна.

Подводя итог, ошибка «сервер RPC недоступен» практически всегда связана с тем, что не удается подключиться к удаленному компьютеру, серверу или принтеру. Причинами подобному явлению становятся либо закрытые порты, либо неактивные службы, либо выключенное состояние серверных-устройств. Все это легко поправить вручную и теперь вы знаете, как это сделать во всех популярных версиях Windows.

Добрый день, коллеги!

При подготовке к переходу с FRS на DRS-R, обнаружил на одном из  DC проблемы с репликацией, а именно с доступностью RPC.

Время запуска сводки по репликации: 2017-05-29 12:07:24

Начат сбор данных для сводки по репликации, подождите:
  ……

Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
 DC0                       19m:02s    0 /  10    0
 DC1                       19m:02s    0 /  10    0
 MDC120           >60 days            5 /  10   50  (1722) Сервер RPC недоступен.

Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
 DC0              >60 days            5 /  10   50  (1722) Сервер RPC недоступен.
 DC1                       13m:48s    0 /  10    0
 MDC120                    19m:03s    0 /  10    0

Если запустить принудительную синхронизации на всех DC ругается на RPC:

PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
    The RPC server is unavailable.

На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:

Directory Server Diagnosis

Performing initial setup:
   Trying to find home server…
   Home Server = dc0
   * Identified AD Forest.
   Done gathering initial info.

Doing initial required tests

   Testing server: MoscowDC0
      Starting test: Connectivity
         ……………………. DC0 passed test Connectivity

Doing primary tests

   Testing server: MoscowDC0
      Starting test: Advertising
         ……………………. DC0 passed test Advertising
      Starting test: FrsEvent
         There are warning or error events within the last 24 hours after the SYSVOL has been shared.  Failing SYSVOL
         replication problems may cause Group Policy problems.
         ……………………. DC0 passed test FrsEvent
      Starting test: DFSREvent
         ……………………. DC0 passed test DFSREvent
      Starting test: SysVolCheck
         ……………………. DC0 passed test SysVolCheck
      Starting test: KccEvent
         ……………………. DC0 passed test KccEvent
      Starting test: KnowsOfRoleHolders
         ……………………. DC0 passed test KnowsOfRoleHolders
      Starting test: MachineAccount
         ……………………. DC0 passed test MachineAccount
      Starting test: NCSecDesc
         ……………………. DC0 passed test NCSecDesc
      Starting test: NetLogons
         ……………………. DC0 passed test NetLogons
      Starting test: ObjectsReplicated
         ……………………. DC0 passed test ObjectsReplicated
      Starting test: Replications
         [Replications Check,DC0] A recent replication attempt failed:
            From MDC120 to DC0
            Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
            The replication generated an error (1256):
            The remote system is not available. For information about network troubleshooting, see Windows Help.
            The failure occurred at 2017-05-29 12:55:21.
            The last success occurred at 2016-11-04 04:28:11.
            5133 failures have occurred since the last success.
         REPLICATION LATENCY WARNING
         ERROR: Expected notification link is missing.
         Source MDC120
         Replication of new changes along this path will be delayed.
         This problem should self-correct on the next periodic sync.
         [Replications Check,DC0] A recent replication attempt failed:
            From MDC120 to DC0
            Naming Context: DC=DomainDnsZones,DC=xx,DC=local
            The replication generated an error (1256):
            The remote system is not available. For information about network troubleshooting, see Windows Help.
            The failure occurred at 2017-05-29 12:55:21.
            The last success occurred at 2016-11-04 04:51:53.
            21279 failures have occurred since the last success.
         [Replications Check,DC0] A recent replication attempt failed:
            From MDC120 to DC0
            Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
            The replication generated an error (1722):
            The RPC server is unavailable.
            The failure occurred at 2017-05-29 12:56:45.
            The last success occurred at 2016-11-04 04:26:33.
            5025 failures have occurred since the last success.
            The source MDC120 is responding now.
         REPLICATION LATENCY WARNING
         ERROR: Expected notification link is missing.
         Source MDC120
         Replication of new changes along this path will be delayed.
         This problem should self-correct on the next periodic sync.
         [Replications Check,DC0] A recent replication attempt failed:
            From MDC120 to DC0
            Naming Context: CN=Configuration,DC=xx,DC=local
            The replication generated an error (1722):
            The RPC server is unavailable.
            The failure occurred at 2017-05-29 12:56:03.
            The last success occurred at 2016-11-04 04:26:33.
            5719 failures have occurred since the last success.
            The source MDC120 is responding now.
         [Replications Check,DC0] A recent replication attempt failed:
            From MDC120 to DC0
            Naming Context: DC=xx,DC=local
            The replication generated an error (1722):
            The RPC server is unavailable.
            The failure occurred at 2017-05-29 13:04:06.
            The last success occurred at 2016-11-04 04:51:35.
            190198 failures have occurred since the last success.
            The source MDC120 is responding now.
         ……………………. DC0 failed test Replications
      Starting test: RidManager
         ……………………. DC0 passed test RidManager
      Starting test: Services
         ……………………. DC0 passed test Services
      Starting test: SystemLog
         A warning event occurred.  EventID: 0x80040020
            Time Generated: 05/29/2017   12:24:23
            Event String:
            The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
         A warning event occurred.  EventID: 0x80040020
            Time Generated: 05/29/2017   12:24:23
            Event String:
            The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
         A warning event occurred.  EventID: 0x80040020
            Time Generated: 05/29/2017   12:24:23
            Event String:
            The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
         A warning event occurred.  EventID: 0x00001796
            Time Generated: 05/29/2017   12:24:42
            Event String:
            Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
         ……………………. DC0 passed test SystemLog
      Starting test: VerifyReferences
         ……………………. DC0 passed test VerifyReferences

   Running partition tests on : ForestDnsZones
      Starting test: CheckSDRefDom
         ……………………. ForestDnsZones passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ……………………. ForestDnsZones passed test CrossRefValidation

   Running partition tests on : DomainDnsZones
      Starting test: CheckSDRefDom
         ……………………. DomainDnsZones passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ……………………. DomainDnsZones passed test CrossRefValidation

   Running partition tests on : Schema
      Starting test: CheckSDRefDom
         ……………………. Schema passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ……………………. Schema passed test CrossRefValidation

   Running partition tests on : Configuration
      Starting test: CheckSDRefDom
         ……………………. Configuration passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ……………………. Configuration passed test CrossRefValidation

   Running partition tests on : xxx
      Starting test: CheckSDRefDom
         ……………………. xxx passed test CheckSDRefDom
      Starting test: CrossRefValidation
         ……………………. xxx passed test CrossRefValidation

   Running enterprise tests on : xxx.local
      Starting test: LocatorCheck
         ……………………. xxx.local passed test LocatorCheck
      Starting test: Intersite
         ……………………. xxx.local passed test Intersite

Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.

Обновлено 15.02.2022

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз мы с вами разобрали замечательную утилиту командной строки robocopy, и с ее помощью научились создавать точные копии папок, двигать их в нужное расположение и многое другое. В сегодняшней публикации я покажу вам, как устранять ошибку «Сервер RPC недоступен (The rpc server is unavailable)», покажу примеры, когда ее мониторинг очень важен в работе корпоративных сервисов.

Для чего нужна служба «Удаленный вызов процедур (RPC)»

Удаленный вызов процедур (RPC) — это  протокол,  который одна программа может использовать для запроса услуги у программы, расположенной на другом компьютере в сети, без необходимости разбираться в деталях сети. RPC используется для вызова других процессов на удаленных системах, таких как локальная система. Вызов процедуры также иногда называют вызовом функции или вызовом подпрограммы .

RPC использует модель  клиент-сервер. Запрашивающая программа — это клиент, а программа, предоставляющая услуги, — это сервер. Подобно обычному или локальному вызову процедуры, RPC — это  синхронная операция, требующая приостановки запрашивающей программы до тех пор, пока не будут возвращены результаты удаленной процедуры. Однако использование облегченных процессов или потоков, которые совместно используют одно и то же адресное пространство, позволяет одновременно выполнять несколько RPC.

Язык определения интерфейса (IDL) — язык спецификации, используемый для описания интерфейса прикладного программирования (API) программного компонента — обычно используется в программном обеспечении удаленного вызова процедур. В этом случае IDL обеспечивает мост между машинами на обоих концах связи, которые могут использовать разные операционные системы (ОС) и компьютерные языки.

Далее если порт 135 стал доступен, то можно делать правила на удаленном сервере. Напоминаю, что нужно сделать правило для трех служб:

1. Remote Procedure Call (RPC) — Удаленный вызов процедур (RPC)
2. RPC Endpoint Mapper — Сопоставитель конечных точек RPC
3. COM Server Process Launcher — Модуль запуска процессов DCOM-сервера

Еще хочу отметить, что если у вас есть сторонние антивирусные решения, например Касперский, то там так же есть встроенный сетевой экран, где так же нужно будет создать необходимые, разрешающие правила, которые корректно будут обрабатывать трафик динамических RPC портов.

• Модуль запуска процессов DCOM-сервера — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDcomLaunch
• Сопоставитель конечных точек RPC — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRpcEptMapper
• Удаленный вызов процедур (RPC) — ветка реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRpcSs

В каждом из этих расположений есть ключик «Start«, выставите ему значение «2«, это будет означать автоматический запуск службы.

Дополнительные сетевые проверки

Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика

При импорте pfx-файла, содержащего сертификат и закрытый ключ может возвращаться «Ошибка импорта Подробности 0x80090014 CSP name: Microsoft Software Key Storage Provider»

Эта ошибка возникает из-за того, что изначальный сертификат был выписан через Microsoft Software Key Storage Provider, который невозможно импортировать через Aktiv Rutoken CSP 1.0.

Для импорта такого сертификата необходимо выполнить следующие действия:

1. Нажмите кнопку Пуск и введите cmd
   
2. Выберите пункт Запуск от имени администратора
3. Если необходимо, введите имя и пароль администратора компьютера
4. Подключите Рутокен к компьютеру
5. В Командной строке наберите следующую команду: certutil -csp «Microsoft Base Smart Card Crypto Provider» -importpfx C:sign_code.pfx и нажмите Enter
6. Введите пароль PFX (был задан при экспорте сертификата) и нажмите Enter
   
7. Введите PIN-код от Рутокена и нажмите ОК
   
8. Дождитесь сообщения, что команда успешно выполнена
   

Источник

Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика

Вообщем вот инструкция от КБ.
1. Удалить с АРМ КриптоПРО.
2. Перезагрузить ПК.
3. Удалить Континент АП.
4. Перезагрузить ПК.
5. Очистить систему утилитой от КриптоПРО (запуск от имени администратора) — www.cryptopro.ru/sites/default/files/public/cspclean.exe
6. Очистить систему утилитой от Кода Безопасности (запуск из командной строки от имени администратора с ключами –t и –v) —
Ссылка на утилиту CspCleaner.exe:
cloud.securitycode.ru/nextcloud/index.php/s/QfrzbrM5Gmd4PpN
Пароль: 5iXBS346
7. В случае, если запуск будет произведен не от имени администратора, утилита завершится без вывода какой-либо информации и очистка произведена не будет.
8. Перезагрузить ПК.
9. Установить КриптоПРО.
10. Перезагрузить ПК.
11. Установить Континент АП. При устанавки КАП выбрать максимальную установку с датчиками, с КБ CSP, и т.д.
12. Перезагрузить ПК.
13. В настройках КБ CSP установить биологический ДСЧ в место физического.

И все заработает.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Jannaaaa5
• —>
• Не в сети

• Сообщений: 17
• Спасибо получено: 0

Operlaw пишет: Вообщем вот инструкция от КБ.
1. Удалить с АРМ КриптоПРО.
2. Перезагрузить ПК.
3. Удалить Континент АП.
4. Перезагрузить ПК.
5. Очистить систему утилитой от КриптоПРО (запуск от имени администратора) — www.cryptopro.ru/sites/default/files/public/cspclean.exe
6. Очистить систему утилитой от Кода Безопасности (запуск из командной строки от имени администратора с ключами –t и –v) —
Ссылка на утилиту CspCleaner.exe:
cloud.securitycode.ru/nextcloud/index.php/s/QfrzbrM5Gmd4PpN
Пароль: 5iXBS346
7. В случае, если запуск будет произведен не от имени администратора, утилита завершится без вывода какой-либо информации и очистка произведена не будет.
8. Перезагрузить ПК.
9. Установить КриптоПРО.
10. Перезагрузить ПК.
11. Установить Континент АП. При устанавки КАП выбрать максимальную установку с датчиками, с КБ CSP, и т.д.
12. Перезагрузить ПК.
13. В настройках КБ CSP установить биологический ДСЧ в место физического.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Beast2040
• —>
• Не в сети

• Сообщений: 71
• Спасибо получено: 10

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Краснокам
• —>
• Не в сети

• Сообщений: 24
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

Краснокам пишет: задолбала ваша продукция.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• gurazor
• —>
• Не в сети

• Сообщений: 182
• Спасибо получено: 24

Краснокам пишет: Всё сделал, даже антивирус удалил. Всё переустановил ничего не помогает. Как же меня задолбала ваша продукция.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• gurazor
• —>
• Не в сети

• Сообщений: 182
• Спасибо получено: 24

gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.

а какие именно удаляли?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.

а какие именно удаляли?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Краснокам
• —>
• Не в сети

• Сообщений: 24
• Спасибо получено: 0

Краснокам пишет: задолбала ваша продукция.

она такая же наша, как и Ваша
все камни плиз в огород производителя — ООО «Код Безопасности» .

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

Краснокам пишет: гугля очередную ошибку попадаю на ваш форум понимаю что это надолго, спасибо что хоть вы луч света в этом темном царстве.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Fixik
• —>
• Не в сети

• Сообщений: 5
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

Fixik пишет: главное читать как надо, и делать как написано

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Не в сети

• Сообщений: 1997
• Спасибо получено: 264

Alex_04 пишет: Если-б в официальных мануалах было прямо всё как надо и после них работало ПО у всех, то оно тогда конечно — делать как написано и ноу траблс!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 713
• Спасибо получено: 216

Alex_04 пишет: Если-б в официальных мануалах было прямо всё как надо и после них работало ПО у всех, то оно тогда конечно — делать как написано и ноу траблс!

Если б перед установкой у всех были эталонные рабочие места. )

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

CryptAcquireCertificatePrivateKey failed. Error:0x80090014 #773

AndriyGorda commented May 11, 2018

Could you please provide a fix or suggest a workaround? We are blocked for 2 days already.

Since May 10 our Azure clusters are down with nodes been unable to read private key from certificate.
Since January 2018 they were working without issues.
The certificate is the same as before, was not changed and currently present on the nodes, with private key in it.
Recreation of cluster from the scratch leads to the same error.
Also recreation of cluster with previous Service Fabric version in ARM template leads to the same error as well.

Node event log has such errors and warnings as:

• Can’t get private key filename for certificate. Error: 0x80090014
• CryptAcquireCertificatePrivateKey failed. Error:0x80090014
• Can’t ACL FileStoreService/SecondaryAccountNTLMX509Thumbprint, ErrorCode E_FAIL
• SetCertificateAcls failed. ErrorCode: E_FAIL
• Failed to get private key file. x509FindValue: 406193559C7123964B309347720A3D3D5CD6EF2A, x509StoreName: My, findType: FindByThumbprint, Error E_FAIL

Thank you in advance,
Andriy

The text was updated successfully, but these errors were encountered:

Hello team!
I have the same issue. Is there any solution?

Get same issue either, any guy get a solution yet

It appears there may be 2 issues here:

the certificate’s private key is not ACL’d to NetworkService; to fix this, please open the Management Console (start -> run -> mmc), navigate to ‘Local Computer Certificates’ (file -> add snap-in -> certificates, local computer) and examine the private key access list (right click on the certificate, ‘All tasks’ -> Manage private key..). If NetworkService is not listed: Add -> %computername%Network Service -> ‘check’, followed by ok. (You may need to replace %computername% with the actual host name.)

the certificate is issued by an unsupported provider. The error (0x80090014/NTE_BAD_PROV_TYPE) indicates that the certificate was issued by a CNG key provider, which the SF runtime does not currently support. Note that ACLing errors are not fatal, and should not be the cause of the cluster’s failure to start.

To confirm that is the case, please run the following, from a PowerShell prompt:
cd Cert:LocalMachineMy
certutil -v -store my | findstr -i provider

If the output contains something like this:
Provider = Microsoft Software Key Storage Provider
then indeed this is a CNG certificate (issued with a Key Storage Provider).

I presume the certificate was created with the New-SelfSignedCertificate PowerShell cmdlet, which, unless otherwise specified, will use a CNG provider. If that is the case, and it is possible for you to create another certificate to be used for this cluster, you may try the following:

New-SelfSignedCertificate -NotBefore » -NotAfter » -DnsName -CertStoreLocation Cert:LocalMachineMy -Provider «Microsoft Enhanced RSA and AES Cryptographic Provider» -KeyExportPolicy ExportableEncrypted -Type Custom -Subject «»

Note this is just an example — the complete list of Crypto API Cryptographic Service Providers can be found here.

We are addressing this issue in an upcoming release.
Thanks.

Источник

Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика

Номер: -2147467259
Источник: Connector
Описание: Connector:Unspecified HTTP error. HRESULT=0x800A1518 — Client:An unanticipated error occurred during the processing of this request. HRESULT=0x800A1518 — Client:Sending the Soap message failed or no recognizable response was received HRESULT=0x800A1518 — Client:Unspecified client error. HRESULT=0x800A1518

В событиях на ЦР видно:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1

При этом тест соединения ЦР с ЦС проходит, в IE различные URL (https://CA/CA/ca.wsdl, https://CA/CA/ca.asp — здесь запрашивается сертификат, https://RA/RA/ra.asp — здесь тоже) открываются без проблем.

Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.

КриптоПро CSP переустанавливался — не помогло.

Заранее благодарен. Ответы:

Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. Он в реестре или на съёмном носителе? Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.

==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.

==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.

==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.

сорри за 3 сообщения..при постинге ошибку сервер выдавал 🙂

> Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.

Для пользовательского сертификата и контейнера это прокатит. Для контейнера Локального компьютера — нет. А для сертификата ЦР нужно хранилище именно компьютера. Используйте «Установить личный сертификат», при выборе контейнера поставьте «Компьютера». После чего перевыберите его в свойствах ЦР.

Все проделал как сказали. Перевыпустил CRL. Ошибка осталась, но несколько опять поменялась:

КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

Создал новый набор ключей для клиента ЦР и сертификат — ошибка осталась.

Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.

Есть еще мысли? 🙂

А сечас тест соединения ЦР — ЦС проходит?

Да, проходит. И раньше проходил. Все вообще работает на ура 🙂 Только этот раздел не работает 🙂

Еще не работает обработка запросов на сертификат, т.е. не работают все операции, которые требуют обращения к ЦС. Однако тест в параметрах ЦР проходит.

Посмотрите на сервер ЦР свойства уч. записи CPRAComPlusAcct& — не заблокирована ли она.
Если ок, залогиньтесь под ней в Win и попробуйте тест соединения ЦР — ЦС (т.к. в основном режиме работы УЦ соединение от ЦР к ЦС устанавливается именно под этой уч. записью)

Тест проходит.

Создал нового привелигированного абонента и попробовал через него — результат тот же.

Пересоздал наборы ключей для АРМ и клиента ЦР, на ЦС обработка сертификатов прошла успешно. Однако после переустановки сертификатов проблема не исчезла.

Это хорошо. Значит, с CSP и контейнером ключа клиентского сертификата ЦР всё в порядке. Но! Если на этом контейнере есть пароль — то при программном вызове он не сможет быть введён, т.к. приложению не разрешается выводить окошки в этом режиме.
Исключение составляет случай, когда контейнер предварительно был загружен в кеш Службы хранения ключей Крипто-Про (пользователем CPRAComPlusAcct&).

Поменяйте пароль на пустой. Дискета должна быть доступна — должно получиться

Да, и аналогичная штука будет, если несколько дисководов настроено (CSP попробует запустить окошко выбора дисковода).

По ходу..Обнаружилась такая штука: при запуске системы в событиях появляется та же ошибка приложения cpsspcore: КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.

На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.

Вновь созданные контейнеры клиента ЦР, веб-сервера ЦР и для АРМ создавал с пустым паролем.

Тогда будем систематически:
Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
Версия и билд CSP?
Способ хранения ключей?
версия ОС, какие обновления?
версия IE, какие обновления?
Используется MSDE или SQL-сервер?
Есть ли ативирус (какой) ?
Это подчинённый ЦС или корневой?

>Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?

ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

>Версия и билд CSP?
3.0.3293 КС1

>Способ хранения ключей?
Дисковод

>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления

>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления

>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL

Источник

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

Создается контейнер так (обработка ошибок опущена):

Пользователь Alice (админ):

HCRYPTPROV prov;
::CryptAcquireContext(&prov, “keyset”, CP_DEF_PROV, CRYPT_NEWKEYSET | CRYPT_MACHINE_KEYSET);
HCRYPTKEY key;
::CryptGenKey(prov, AT_KEYEXCHANGE, CRYPT_EXPORTABLE, &key);
// все ок, закрывает хэндлы

Пользователь Bob (админ):

И еще вопрос.
Если я создам CRYPT_MACHINE_KEYSET и явно разрешу доступ к нему другому пользователю-не-админу прочитав, изменив и установив DACL кейсета при помощи CryptSetProvParam(…,PP_KEYSET_SEC_DESCR, …), то сможет ли этот пользователь-не-админ открыть этот кейсет? MSDN говорит, что это возможно для MS провайдеров. Возможно ли это для КриптоПро?

Я проверю приведённый пример.

«СКЗИ КриптоПРО CSP функционирует в следующих операционных системах
(ОС):
• Windows 95 с установленным ПО MS Internet Explorer версии 5.0 и выше;
• Windows 95 OSR2 с установленным ПО MS Internet Explorer версии 5.0 и
выше;
• Windows 98 с установленным ПО MS Internet Explorer версии 5.0 и выше;
• Windows 98 SE с установленным ПО MS Internet Explorer версии 5.0 и выше;
• Windows NT 4.0 SP5 и выше с установленным ПО MS Internet Explorer 5.0 и
выше;
• Windows ME;
• Windows 2000.»

Про ХР, стало быть, речи нет.
Кое-что там может работать, а может и не работать.
В данном случае не живёт флажок CRYPT_SILENT. Если его снести, всё намного лучше.
Но в любом случае все эксперименты с ХР на Ваш страх и риск.
Используйте продукт «Крипто-Про CSP 2.0».

Спасибо за важную информацию.

Источник

Работа с СКЗИ и аппаратными ключевыми носителями в Linux

Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

Опубликовать данное руководство побудило несколько причин:

Причина 1

Причина 2

Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP

Причина 3

UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.

UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.

UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).

Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.

В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.

Проявлялось это следующим образом, на команду:

Выдавался ответ, что все хорошо:

Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

«Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.

Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.

Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.

Причина 4

Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.

Руководство по настройке

После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

В нашем случае это Bus 004 Device 003: ID 24dc:0101

Пока не установлены все необходимые пакеты, информация о токене не отобразится.

Установка драйверов и ПО для работы с JaCarta PKI

Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

Выполняем проверку наличия этих пакетов и установку:

zypper search pcsc-lite

zypper search libusb

zypper install pcsc-lite

zypper search CCID

zypper install pcsc-ccid

zypper search CCID

zypper install libusb

В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

zypper install idprotectclientlib-637.03-0.x86_64.rpm

zypper install idprotectclient-637.03-0.x86_64.rpm

Проверяем, что драйверы и ПО для JaCarta PKI установились:

zypper search idprotectclient

При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

zypper search openct

Поэтому пакет openct удаляем:

Теперь все необходимые драйверы и ПО для работы с токеном установлены.

Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

Установка пакетов КриптоПро CSP

При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

zypper search cprocsp

Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

Проверяем итоговую конфигурацию КриптоПро CSP:

S | Name | Summary | Type
—+——————————+—————————————————-+———
i+ | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package
i+ | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package
i+ | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package
i+ | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package
i+ | cprocsp-rdr-mskey-64 | Mskey support module | package
i+ | cprocsp-rdr-novacard-64 | Novacard support module | package
i+ | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package
i+ | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package
i+ | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package
i+ | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package
i+ | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package
i+ | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package
i+ | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package

Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

Настройка и диагностика КриптоПро CSP

Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
в раздел linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро будет добавлена запись:

linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро (000000000000) 00 00″Default]

Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

Необходимо включить режим усиленного контроля использования ключей:

Проверяем, что режим включен:

cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

Выполняем перезапуск службы криптографического провайдера:

После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

Работа с токеном JaCarta PKI

Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

Запустим утилиту IDProtectPINTool.

С помощью нее задаются и меняются PIN-коды доступа к токену.

При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

Для доступа к контейнеру с ключами нужно ввести пароль:

Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

Для диагностики контейнера используется эта же команда с ключом –check

Потребуется ввести пароль от контейнера:

Программное извлечение ключей

В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

Если действовать так:

то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

Результаты

Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

Источник

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

В событиях на ЦР видно:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1

Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.

Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.

На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.

ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

>Версия и билд CSP?
3.0.3293 КС1

>Способ хранения ключей?
Дисковод

>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления

>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления

>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL

Источник

Подпись ошибка 0x80090010 отказано в доступе КриптоПро; решение

Криптопро код ошибки 0x8009001a

Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение

Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

Проверка завершилась с ошибкой

Срок действия закрытого ключа истек

Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

Настройка даты и времени

После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

Заключение

Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

При попытке погуглить информацию в интернете, решить проблему не удавалось. Большинство ссылок ведут на форумы, где обсуждаются проблемы связанные с крипто-приложениями, такими как крипто-про. Но тут дело не в этом, никаких программ не использовалось.

Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

.Net framework cleanup tool
.Net framework repair tool

Но к сожалению эффекта так же не произошло.

Решение проблемы:

Очень надеемся, что данная статья поможет многим решить проблему (Неправильный зарегистрированный набор ключей,0x80070643) с Windows 8.1 без переустановки. Если у вас остались вопросы, пожалуйста, задайте их в комментариях.

Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня. Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.

От имени предприятия ГУП «Севастопольское авиационное предприятие» выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!

Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

От лица компании «АКБ-Авто» и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.

Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом. Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех. поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо.

Левицкий Александр Константинович г. Самара

Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.

Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

ООО «Эксперт Система» благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!

Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

Пономарев Степан Геннадьевич

Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.

Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.

Для решения данной проблемы следует выполнить следующие шаги:

1. Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли». Отметить пункт «Пользователя» и нажать на кнопку «ОК».

2. В окне «Выбор ключевого контейнера» поставить переключатель «Уникальные имена» и повторить выбор контейнера.

3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением. key.

4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

Если предложенное решение не помогло устранить ошибку, то необходимо обратиться в службу технической поддержки по адресу [email protected], указав следующие данные:

Чтобы открыть данное окно, следует перейти в меню «Пуск» > «Панель управления» > «Крипто Про CSP» > «Оборудование» > «Настроить типы носителей», выбрать «Rutoken» (либо «Rutoken lite») > «Свойства» > «Информация».

Создание электронной подписи на платформе 1С с помощью СКЗИ КриптоПро CSP можно выполнять как на стороне сервера, так и на стороне клиента. В обоих случаях может появиться довольно неприятная ошибка:
Неправильный параметр набора ключей.

Неприятна данная ошибка тем, что у неё множество причин, и что бы её исправить, нужно провести целый комплекс мероприятий.

Источник

Вы можете столкнуться с ошибкой Сервер RPC недоступен (Исключение из HRESULT: 0x800706BA) / The RPC server is unavailable (Exception from HRESULT: 0x800706BA) при попытке подключения к удаленному компьютеру или серверу через определенную MMC оснастку управления, WMI инструмент, PowerShell WinRM или другой протокол удаленного управления.

Проще всего проверить доступность службы RPC на удаленном компьютере с помощью простого WMI запроса. В моем случае я попытаюсь опросить удалённый компьютер через WMI из консоли PowerShell.

Get-WmiObject Win32_ComputerSystem –ComputerName 192.168.0.114

На скриншоте, видно, что удаленный компьютер не доступен по RPC.

Get-WmiObject : Сервер RPC недоступен. (Исключение из HRESULT: 0x800706BA)
строка:1 знак:1
+ Get-WmiObject Win32_ComputerSystem –ComputerName 192.168.0.114
+

+ CategoryInfo : InvalidOperation: (:) [Get-WmiObject], COMException
+ FullyQualifiedErrorId : GetWMICOMException,Microsoft.PowerShell.Commands.GetWmiObjectCommand

Что нужно проверить, чтобы исправить ошибку «Сервер RPC недоступен 0x800706BA»:

1. Проверьте, возможно вы указали неверный IP адрес / имя компьютера, или удаленный компьютер находится в состоянии выключения или еще только загружается.
2. Убедитесь, что на удаленном компьютере запушены службы Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC) ) и Инструментарий управления Windows (Windows Management Instrumentation). Вы можете проверить статус служб с помощью команд: sc query Winmgmt и sc query rpcss . В том случае, если эти службы запущены команды вернут Состояние: 4 RUNNING. Если службы остановлены, запустите их командой: net start rpcss & net start Winmgmt
   
3. Возможно доступ к удаленному компьютеру через порты RPC блокируется на сетевом уровне файерволом (это очень распространённая причина). В том случае, если в вашей сети нет файерволов, попробуйте временно отключить Windows Firewall (а также антивирусы, т.к. файервол может быть встроен в них) на стороне клиента и сервера и проверить соединение. Дополнительно, для работы протокола RPC вы должны проверить доступность TCP порта 135 на стороне сервера. Проще всего это сделать командлетом Test-NetConnection: Test-NetConnection 192.168.1.15 -port 135 . Если служба RPC включена и доступ к ней не блокируется межсетевым экранов, в строке TcpTestSucceeded будет указано True.
   

Если вы столкнулись с ошибкой «Сервер RPC недоступен 0x800706BA» при выполнении автоматической регистрации сертификата на контроллере домена или в центре сертификации, то при этом в журнале приложений сервера скорее всего присутствует такая ошибка:

Source: CertificateServicesClient-CertEnroll Event ID: 13

Certificate enrollment for Local system failed to enroll for a DomainController certificate with request ID N/A from mskCA.vmblog.ru mskCA (The RPC server is unavailable. 0x800706ba (WIN32: 1722))

Source: CertificateServicesClient-AutoEnrollment EventID: 6
Automatic certificate enrollment for local system failed (0x800706ba) The RPC server is unavailable.

У данной проблемы может быть несколько вариантов решения, но в большинстве случае причина ошибки заключается в том, что у вашего сервера отсутствует доступ к DCOM на сервере со службой сертификации либо на DCOM установлены некорректные права.

1. Убедитесь, что в вашем домене AD с центром сертификации существует группа CERTSVC_DCOM_ACCESS или Certificate Service DCOM Access.
2. Добавьте в группу CERTSVC_DCOM_ACCESS/Certificate Service DCOM Access следующие доменные группы: Domain Users, Domain Controllers, Domain Computers.
3. Выполните обновление настроек безопасности DCOM на сервере с ролью центра сертификации с помощью команд:
   certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
   net stop certsvc
   net start certsvc
4. На хосте с развернутым центром сертификации проверьте разрешения во вкладке безопасность COM. Для указанной выше группы должны быть разрешены Удаленный доступ и Удаленная активация.

После этого попробуйте перезагрузить компьютер и проверить выдачу сертификата.

Microsoft, Linux, Lync и etc……

Симптом: при попытке запросить в ручном режиме сертификат пользователи или сертификат компьютера мы получаем ошибку 0x800706ba (Сервер RPC недоступен).

Журнал WindowsПриложение регистрирует EventId 13, уровень Error:

Регистрация сертификата для Локальная система: не удалось зарегистрировать сертификат Machine с ИД запроса N/A от DC01.eaglenn.ruCEntCA (Сервер RPC недоступен. 0x800706ba (WIN32: 1722)).

Решение

У данной проблемы может быть несколько вариантов решения, но корень проблемы заключается в том, что нет группы доступа к DCOM (Доступ DCOM службы сертификации) либо нарушены права. Для начала убедитесь в наличии группы, для этого откройте Active Directory — пользователи и компьютеры, перейдите в OU Builtin и найдите группу Доступ DCOM службы сертификации:

Далее необходимо проверить членство в группе «Прошедшие проверку»

Откроем ПускАдминистрированиеСлужбы компонентов

Разверните правое меню Службы компонентовКомпьютерыМой компьютер, нажмите правой кнопкой мыши Мой компьютер и выберете Свойства:

В появившемся окне в разделе права доступа нажмите кнопку Изменить ограничения и проверьте присутствие группы Доступ DCOM службы сертификации и ее разрешения:

Так же необходимо проверить наличие группы и ее разрешения в параметре Разрешения на запуск и активацию.

Почему может пропасть доступ к DCOM

Одной из причин отсутствия доступа к DCOM центра сертификации может быть банальное удаления группы, но наряду с этим может прекратиться доступ и в результате конфигурирования групповой политики: DCOM: ограничения компьютера на запуск в синтаксисе SDDL. По умолчанию, при вызове редактора не происходит добавления группы Доступ DCOM службы сертификации, не зависимо от того, установлен у вас центр сертификации или нет.

Администратору необходимо помнить, что если в компании используется внутренний центр сертификации и происходит конфигурирование данной политики GPO (DCOM: ограничения компьютера на запуск в синтаксисе SDDL), группу отвечающую за доступ к DCOM необходимо добавить вручную.

(Event ID: 13 Source: Microsoft-Windows-CertificateServicesClient-CertEnroll)

Симптомы

Имя журнала: Application
Источник: Microsoft-Windows-CertificateServicesClient-CertEnroll
Дата:
Код события: 13
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: система
Компьютер:
Описание:
Регистрация сертификата для Локальная система: не удалось зарегистрировать сертификат DomainController с ИД запроса N/A от … (Сервер RPC недоступен. 0x800706ba (WIN32: 1722)).

Решение

1. На домен контроллере, на котором развернута служба сертификации, нужно убедиться что существует группа CERTSVC_DCOM_ACCESS. Для этого нужно:
Запустить оснастку Пользователи и компьютеры (Dsa.msc).
Открыть папку Users.
Проверить, что группа CERTSVC_DCOM_ACCESS существует.

2. Добавить группу CERTSVC_DCOM_ACCESS для:
Пользователи домена
Компьютеры домена
Контроллеры домена

3. Для обновления настроек безопасности DCOM sдля центра сертификации, требуется запустить следующие команды:

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc

Дополнительная информация

О причинах возникновения ошибки можно прочесть здесь.