我们的域结构有两个AD位点,S1和S2;AD Forest有一个根域和一个子域。颁发CA (Active directory证书服务)安装在子域的管理服务器上。子域dc(来自S1和S2站点)从CA服务器获得自动注册证书。来自S1站点的根域dc正在从CA服务器获取自动注册证书。: S2站点的根域数据中心不从CA服务器获取自动注册证书。我检查了以下端口的连通性在端口464、389、636上从CA到dc(根和子域,S1和S2站点)的Telnet是很好的。通过Telnet从dc(根和子域,S1和S2站点)到端口443、80、135的CA是很好的。你能告诉我如何解决这个问题吗?
•您可以尝试在没有从子域CA服务器检索自动注册证书的DC上运行以下命令。如果证书模板上的权限设置配置正确,该命令将检查系统对其具有权限的任何证书模板,并成功注册它们。
‘ certutil -pulse ‘ or ‘ certutil -pulse -<user> ‘
对必须自动注册的证书模板具有权限的域admin用户。
•另外,检查域控制器的证书模板类型是"域控制器身份验证"类型还是请求自动注册的"域控制器"类型。请确保根DC的证书注册没有出现在CA上的失败请求列表中。要检查这一点,登录到CA并打开命令提示符并输入以下命令来检查相同的内容:-
‘ certutil -view LogFail ’ --> This will present the requests that are failed for certificate enrollment
‘ certutil -view -restrict requestID=“<requestID from the above request detail>” ’
请查看以下链接获取更多信息:-
https://learn.microsoft.com/en - us/previous versions/windows/it pro/windows - server - 2008 r2 -和- 2008/dd299884 (v = ws.10)