我有大量单独的 Active Directory 域(约 150 个),由 2 个服务器集群组成,我需要为智能卡登录进行设置。为此,由于我的环境,我必须手动请求约 300 个域控制器证书。不用说,这需要大量的手动工作,我正在寻找脚本。
要申请域控制器证书,您需要三条信息:证书申请、域名和 GUID。我可以自动生成所有这些信息,但我无法弄清楚如何更改每个域控制器的 GUID 以匹配证书,而无需直接进行 ldap 更改。有人知道这是否可行,或者我会破坏域吗?
答案1
不,永远不要这样做。GUID 是 AD 定位/识别用于复制的域控制器的方法。重要的是它保持不变(最重要的是,对于每个 DC 都是唯一的)。
您能否设置机器以信任中央 CA 并让其自动颁发机器证书?