我有数百台机器,但在尝试注册时,它不会从我们的企业 CA 中提取证书。
CA 显示请求失败,错误如下:DNS name does not exist. 0x800725f2 (WIN32: 9714 DNS_ERROR_NAME_DOES_NOT_EXIT)
计算机事件日志显示相同的条目。
我实在想不出这台机器有什么不同。我已检查或执行了以下项目:
- 检查机器在 AD 中是否有 DNS 名称。在常规选项卡中,它在部分中具有 FQDN
DNS name,在属性编辑器下,该dNSHostName属性与其 FQDN 匹配。 - 重置 AD 中计算机对象的权限。
- 从机器中删除本地现有的证书。
- 尝试了 CA 上的其他证书模板。现在生成了两个错误(每个模板一个)。
- 确认 AD 中的正向和反向 DNS 记录都是准确的(可能性不大)。
- 验证主机上的机器名称,与 AD 中的名称匹配。
CA 模板配置为从 AD 构建证书的主题名称/和备用主题名称:
我对这个问题最好的理解是,CA 正在向 AD 查询有关计算机的信息,但该信息丢失或没有查看权限。如果是这种情况,我找不到问题出在哪里或丢失了什么。
答案1
我发现机器的ipconfig /all显示是空白的。Primary DNS Suffix
我继续将机器的主 DNS 后缀设置为与我们的 Windows AD 域名匹配,问题就解决了。
要更改计算机的主 DNS 后缀,请导航至系统设置 -> 计算机名称/域或工作组 -> 更改。单击“计算机名称/域更改”窗口中的“更多”,然后修改计算机的主 DNS 后缀。它应与域名匹配。
这是我第一次意识到你可以加入 AD 域并实际上将主 DNS 后缀修改为 AD 域名以外的其他内容。