我有這個 AD 域，其中 Windows Server 2003 SP2 企業根證書頒發機構正在執行，並且為使用者和電腦啟用了證書自動註冊；一切都很好，每台加入域的電腦都會自動獲得頒發的電腦證書。還有兩個 Windows Server 2003 SP2 域控制器，而是獲得了域控制器證書；一切都很好，再次。

然後我得到了一個 Windows Server 2008 R2 SP1 成員伺服器，它已經自動註冊了一個電腦證書，並將其提升為域控制器。升級後它沒有獲得任何新的證書，並且任何地方都沒有記錄任何錯誤：看起來它只是決定，已經有了工作證書，它不需要新的證書。

我想知道的是：

• 電腦證書模板和域控制器之間實際上有什麼區別嗎？
• 如果域控制器具有前者之一而不是後者之一，這有什麼區別嗎？
• 如何強制此域控制器為其角色自動註冊正確類型的新證書？

---

編輯：

我嘗試撤銷現有證書並重新啟動新 DC；沒啥事兒。然後我從 DC 的本地儲存中刪除了現有證書並再次重新啟動它；這次也什麼都沒發生。

---

編輯：

我打開了自動註冊日誌，我發現實際上有一些錯誤……當新的 DC 嘗試註冊證書時，它會記錄一堆錯誤：

• 事件 ID 56：“未執行模板 DomainController 的本地系統的證書註冊，因為此模板已被使用。”
• 事件 ID 46：“本地系統的證書註冊無法註冊機器證書。此模板不允許讀取或註冊訪問權限。”
• 事件 ID 47：“本地系統的證書註冊無法註冊 DirectoryEmailReplication 證書。找不到有效的證書頒發機構來頒發此模板。”
• 事件 ID 47：“本地系統的證書註冊無法註冊 DomainControllerAuthentication 證書。找不到有效的證書頒發機構來頒發此模板。”
• 事件 ID 47：“本地系統的證書註冊無法註冊 KerberosAuthentication 證書。找不到有效的證書頒發機構來頒發此模板。”

嘗試certutil -pulse- 這應該檢查系統有權使用的模板，並註冊它們。獲取證書應該沒有問題，只要模板上的權限設置沒有任何瘋狂的事情發生。

您肯定希望您的 DC 擁有域控制器樣式的證書（Domain Controller是舊的；Domain Controller Authentication然後Kerberos Authentication取代它；如果您的 CA 正在執行企業版，則考慮切換到較新的 Kerberos 模板） - 雖然很多功能它滿足將由電腦證書處理，一些特定於 DC 的東西，如智能卡身份驗證、LDAP/SSL 偵聽器（我相信？），以及更新的 Kerberos 證書、強 KDC 驗證，需要特殊證書。

引用自：https://serverfault.com/questions/292678