Продвижение Контроллера домена и автоприем сертификата
Я столкнулся с некоторыми довольно серьезными проблемами с соединением VPN Juniper к стандартным программным клиентам. Можно испытать серьезную откидную створку vpn, поскольку конечная точка пробует можжевельник пользовательские расширения, и это сбрасывает туннельное состояние.
Лучшее решение состоит в том, чтобы использовать SSG5 с обоих концов и выполнять от LAN к LAN vpn использование чистого можжевельника.
Сводка: Вы могли сделать это, это могло бы работать, но Вы могли бы заметить некоторые значительные проблемы, если у Вас нет конечной точки Juniper
Попробовать certutil -pulse - это должно проверить на шаблоны, в которых система имеет разрешение, и зарегистрируйте их. Это не должно иметь никакой проблемы при захвате сертификата, пока нет ничего сумасшедшего продолжения в настройках полномочий на шаблоне.
Вы определенно захотите иметь свой DCS, имеют сертификат стиля контроллера домена (Domain Controller старый; Domain Controller Authentication затем Kerberos Authentication замените его; если Ваш CA выполняет версию для предприятий, то рассмотрите переключение на более новый шаблон Kerberos) - в то время как много функций, которые это удовлетворяет, будет обработано Компьютерным сертификатом, часть определенного для DC материала как аутентификация смарт-карты, слушатель LDAP/SSL (я верю?), и с более новым сертификатом Kerberos, сильной проверкой KDC, нуждаются в специальном сертификате.
Вы пытались удалить сертификат из самого сервера, вместо того, чтобы просто публиковать аннулирование к списку аннулирования на CA? Затем имеет сервер, регистрируются (запросите сертификат), снова?
Вот некоторая информация о сертификатах: http://technet.microsoft.com/en-us/library/cc787009 (WS.10) .aspx