新的域控制器无法注册 KerberosAuthentication 证书

我有一个 AD 域。2003 FFL/DFL。架构已升级到 Server 2012 的版本 56。该域包含 Server 2003、Server 2008、Server 2008 R2 和现在的 Server 2012 的域控制器组合。

我有一个运行 2008 R2 的企业颁发证书机构。

在 Server 2012 域控制器上，它们无法注册或自动注册其 KerberosAuthentication 证书。应用程序日志中的错误事件 ID 6 和 13：

本地系统自动证书注册失败（0x800706ba）RPC 服务器不可用。

本地系统的证书注册无法从 ECA.domain.com\Company Issuing CA 注册请求 ID 为 5512 的 KerberosAuthentication 证书（RPC 服务器不可用。0x800706ba（WIN32：1722））。

看到“RPC 服务器不可用”会让人本能地得出结论，认为存在网络连接问题。但事实并非如此。

• 我已经使用 portqry.exe 来验证端点映射器和所有高编号端口确实可以从 DC 到 ECA 访问。
• 2012 年的域控制器做过成功自动注册其他两种类型的证书。只有这一个证书存在问题。
• 我在 ECA 上看到了请求并且失败了，并且失败原因与客户端相同。

所以它显然有网络通信。这个特定证书有些问题。其他域控制器都没有遇到此证书的问题。只有 2012 DC 有问题。