Новый контроллер домена не может зарегистрироваться для сертификата аутентификации Kerberos

У меня есть домен AD. 2003 FFL / DFL. Схема была обновлена ​​до версии 56 для Server 2012. Домен содержит смесь контроллеров домена от Server 2003, Server 2008, Server 2008 R2, а теперь и Server 2012.

У меня есть центр сертификации предприятия, работающий под управлением 2008 R2.

На контроллерах домена Server 2012 они не могут регистрировать или автоматически регистрировать свои сертификаты KerberosAuthentication. Идентификаторы событий ошибки 6 и 13 в журнале приложений:

Ошибка автоматической регистрации сертификата для локальной системы (0x800706ba). Сервер RPC недоступен.

При регистрации сертификата для локальной системы не удалось подать заявку на сертификат KerberosAuthentication с идентификатором запроса 5512 из ECA.domain.com \ Company Issuing CA (сервер RPC недоступен. 0x800706ba (WIN32: 1722)).

Увидев, что «RPC-сервер недоступен», можно инстинктивно прийти к выводу, что существуют проблемы с сетевым подключением. Но дело не в этом.

• Я использовал portqry.exe, чтобы убедиться, что сопоставитель конечных точек и все порты с высокими номерами действительно доступны от DC до ECA.
• Контроллер домена 2012 года сделал успешно автоматически подать заявку на два других типа сертификатов. Проблема только в одном сертификате.
• Я вижу запрос в ECA, но он не удался и имеет ту же причину отказа, что и клиент.

Так что, очевидно, есть связь с сетью. Что-то есть в этом сертификате. Никакие другие контроллеры домена не имеют проблем с этим сертификатом. Только DC 2012 года.