Я не совсем уверен, с чего начать
При запросе сертификата сервер всегда получает сообщение об ошибке «Вы не можете запросить сертификат в настоящее время, поскольку типы сертификатов недоступны». Затем для каждого сертификата возникает ошибка: «Разрешения на шаблон сертификата не позволяют текущему пользователю регистрироваться для этого типа сертификата».
Наш сервер CA находится на одном сайте AD, и сервер на этом сайте может запрашивать сертификаты у CA. Другой сервер на другом сайте (в том же домене) получает ошибку, хотя другие серверы на разных сайтах работают нормально
Тот же пользователь на машине, где можно получить сертификаты, также имеет проблему на проблемной машине. Администраторы домена имеют полные права как минимум на один шаблон, а мой пользователь-администратор является администратором домена.
Я был бы очень признателен за любое понимание, чтобы узнать, где мне следует искать дальше. Спасибо
Что ж, сообщение указывает, что проблема связана с разрешениями пользователя, а не с членством на сайте. Сравните разрешения в шаблоне сертификата с учетной записью пользователя, от имени которой вы пытаетесь запросить сертификат.
Если бы это не было сообщение о разрешениях, я бы предположил, что между сайтами существует потрясающий брандмауэр, вызывающий сбои подключения RPC.
Клиент ищет сертификаты, на которые он может (автоматически /) регистрироваться на уровне леса, использует их для поиска шаблонов, для которых у него есть разрешения на регистрацию или автоматическую регистрацию, а затем спрашивает ЦС, может ли он получить один из этих типов сертификатов.
У каждого ЦС есть подмножество этого списка шаблонов, которые он может выдавать, и другой уровень разрешений, применяемых к самому ЦС, поэтому вам нужны разрешения для обоих шаблонов. и CA для выполнения запроса на подпись сертификата. Если у вас несколько центров сертификации, вам необходимо проверить разрешения (и разрешенные к выдаче сертификаты) для каждого.
Так, укороченная версия: Выяснить, чем разрешения проблемного пользователя отличаются от разрешений рабочего пользователя с точки зрения {шаблон в разрешениях AD} и {разрешения CA}. Если они ничем не должны отличаться (т.е. один и тот же / дублированный пользователь не работает на сайте B), я согласен с Шейном в возможной проблеме с заменой.
Работает ли репликация (и актуальна ли) между сайтами?
Обновленная информация шаблона сертификата, возможно, еще не попала на другой сайт.