Я много раз создавал PKI, но результаты этой организации меня озадачили. Offline Root 2008 R2 Standard 2xEnterprise Subordinate CA's 2008 R2 Enterprise
Установил сервисы, все хорошо. Когда я собираюсь добавить шаблоны v2, v3, они недоступны, поэтому я погуглил и обнаружил, что в AD Sites & Services в разделе PKI Enrollment Services, если я открываю свойства для любого из корпоративных CA и перехожу к атрибутам, для флагов установлено значение 2 . 2 представляет собой центр сертификации предприятия, работающий в стандартных окнах (http://sccmguy.com/2011/01/05/after-migrating-your-ca-from-2008-standard-to-enterprise-you-still-can-not-publish-the-sccm-custom-certificates/)
Если я изменю значение на 10 и перезапущу, я могу добавить шаблоны, но автоматическая подача заявок не работает, и я получаю сообщения об ошибках в центре сертификации: «Модуль политики« Windows default »зарегистрировал следующее предупреждение: Шаблон сертификата CAExchange может не загружается. Эта функция не поддерживается в данной системе. 0x80070078 "
То же самое для «Компьютер-2008» и других созданных мной шаблонов. Автоматическая подача заявок в GPO настроена правильно, а разрешения для шаблонов хороши. Опять же - делал это раньше, поэтому я знаю, что эти предметы в порядке.
Я сделал резервную копию одного из Enterprise CA и удалил роль, затем переустановил и восстановил только для того, чтобы получить то же самое.
Я понял это сам. Оказалось, что серверы Enterprise, которые были переданы мне для настройки PKI, на самом деле были построены как серверы 2008 R2 Standard, которые были обновлены до Enterprise. Я этого не ожидал.
Мы сделали резервную копию CA, стерли сервер и перезагрузили Enterprise, восстановили CA, и все работает отлично!