A seguito dell'installazione del SP1 di Windows 2003, gli aggiornamenti della sicurezza generano un eventid 13 ogni 8 ore che recita:
La registrazione automatica certificati per Sistema locale non è riuscita a registrare un certificato Controller di dominio (0x80070005). Accesso negato.



Nel caso specifico una delle due macchine controller di dominio è stand alone CA in quanto frontend per un sistema di messaggistica.
Il servizio certificati di Windows 2003 utilizza il protocollo DCOM per elargire servizi amministrativi.
L'avvento del SP1 introduce delle limitazioni negli accessi per il protocollo DCOM, è quindi necessario aggiornare a mano un gruppo di sicurezza (introdotto appunto dal Service Pack). Il gruppo in questione si chiama CERTSVC_DCOM_ACCESS e deve contenere i gruppi di sicurezza "Domain Users", "Domain Computers" e "Domain Controllers"; è probabile che questo ultimo gruppo debba essere aggiunto manualmente.



A questo punto è possibile aggiornare la configurazione di sicurezza DCOM tramite il servizio certificati, in particolare usando il comando:
certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG

poi, per attivare le modifiche:
net stop certsvc
net start certsvc

A questo punto avremo la registrazione di un evento 19:
La registrazione automatica certificati per Sistema locale ha ricevuto un certificato Controller di dominio dall'autorità di certificazione (nome CA) su (nomeserverCA)



Per la "release note" di Windows Server 2003 SP1 completa si veda:
http://support.microsoft.com/kb/889101/en-us