Standardmäßig wird ein automatischer Certificate Request via Gruppenrichtlinien über das DCOM Protokol und einem dynamischen Port abgewickelt. Gerade wenn man zwischen Clients und Servern eine Firewall einsetzt, ist hier das fixieren des DCOM Ports notwendig, um weniger Ports freigeben zu können. Immer Notwendig ist der DCOM Port 135, sowie ein High Port, in meinem Beispiel Port 5000.

Um dies durchzuführen, muss man im ersten Schritt seit Windows 2003 SP1 die Rechte innerhalb der DCOM-Konfiguration der Certificate Services ändern:

1. Am PC auf dem die Certificate Services installiert sind, regedit starten und den Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D99E6E74-FC88-11D0-B498-00A0C90312F3} wählen
2. Rechtsklick auf {D99E6E74-FC88-11D0-B498-00A0C90312F3} und dort den Reiter Permission wählen
3. Unter Advanced das Ownership auf den Administrator übergeben und danach der Gruppe Administrators “Full Control” Berechtigungen geben

Den DCOM Port fixiert man im MMC-SnapIn DCOM Configuration:

1. Am PC auf dem die Certificate Services aktiviert wurden, von denen automatisch Zertifikate bezogen werden sollen, muss dcomcnfg.exe gestartet werden.
2. Dort dann unter Component Services – Computers – My Computer muss man DCOM Config wählen
3. Auf der rechten Seite findet man dann CertSrv Request, wo man dann mit der rechten Maustaste unter Action – Properties den Reiter Endpoints wählen kann. Dort unter Add kann dann nach der Wahl Use static endpoint ein statischer Endpoint, in meinem Beispiel 5000 eingetragen werden.

Nach dieser Änderung müssen die Certificate Services restarted werden: net stop certsvc & net start certsvc