Я перенес Windows 2008 R2 DC и корпоративный корневой центр сертификации на новый контроллер домена и центр сертификации Windows 2016. Все выглядело стабильно, за исключением того, что у меня было несколько контроллеров домена только для чтения и контроллеров домена с возможностью записи, которые показывали " Сертификат KerberosAuthentication с идентификатором запроса 1052 от CAServer.domain.com \ domain-CAServer-CA (Сервер RPC недоступен. 0x800706ba (WIN32: 1722)).
Вместе с:
Идентификатор события: 6
Ошибка автоматической регистрации сертификата для локальной системы (0x800706ba) Сервер RPC недоступен.
Все остальные автоматические регистрации работают с этих контроллеров домена, и большинство контроллеров домена не демонстрируют такого поведения, регистрация отлично подходит для всех сертификатов, включая сертификат аутентификации Kerberos.
Причина этого определенные клиенты не смогут автоматически зарегистрировать только этот сертификат аутентификации Kerberos?
Изучив это и попробовав несколько команд CA certutil среди прочего, я сразу перейду к фактическому ответу, который сработал для меня:
В большинстве случаев что-то вроде "RPC-сервер недоступен "может быть связано с проблемами подключения к сети или правилами брандмауэра.
Однако в моем случае на контроллерах домена, на которых возникли проблемы, не был запущен брандмауэр Windows. НО оказывается, что это была проблема. Кто-то решил вместо того, чтобы отключить брандмауэр (кстати, это не лучшая практика, но я отвлекся) в Центре управления сетями и общим доступом, они вместо этого отключили саму службу брандмауэра Windows.
На самом деле это плохая идея, как обсуждается здесь: Как я могу сделать резервную копию моей рекомендации НЕ отключать службу брандмауэра Windows?
Ответ:
Брандмауэр Windows
и установите для нее автоматический запуск. Панель управления, Система и безопасность, Брандмауэр Windows
для доменной сети и т. Д. По мере необходимости. certutil -pulse
на проблемном DC