Измените настройки автоматической регистрации сертификатов с давно устаревшего ЦС на новый ЦС
Мы начали получать идентификатор события 13 от наших контроллеров домена:
При регистрации сертификата для локальной системы не удалось подать заявку на сертификат DomainController с идентификатором запроса N / A из OLDSERVER.domain.local \ oldserver (сервер RPC недоступен. 0x800706ba (WIN32: 1722)).
OLDSERVER был контроллером домена 2003 года и сервером служб сертификатов, который был удален из домена по крайней мере пару лет назад. Все наши текущие DC - 2008 R2, и функциональный уровень также был повышен до этого.
Где я могу изменить ЦС, зарегистрированный для этой автоматической регистрации?
Прежде всего, удалите старый ЦС из регистрации в AD - используйте оснастку Enterprise PKI, чтобы удалить все следы старого ЦС из контейнеров AD, посмотреть здесь.
Затем убедитесь, что у вас есть корпоративный ЦС, настроенный для выдачи этого шаблона сертификата (или переместите настройку автоматической регистрации на более современный шаблон для ваших контроллеров домена, например Kerberos Authentication).
Затем принудительно выполните повторную регистрацию в шаблоне сертификата, чтобы ваши контроллеры домена зарегистрировали новый сертификат вместо того, чтобы пытаться продлить его для давно мертвого центра сертификации. Прежде чем делать это, убедитесь, что все, что подключается к контроллерам домена, доверяет новому ЦС.
