我有数百台机器,但在尝试注册时,它不会从我们的企业 CA 中提取证书。
CA 显示请求失败,错误如下:DNS name does not exist. 0x800725f2 (WIN32: 9714 DNS_ERROR_NAME_DOES_NOT_EXIT)
计算机事件日志显示相同的条目。
我实在想不出这台机器有什么不同。我已检查或执行了以下项目:
- 检查机器在 AD 中是否有 DNS 名称。在常规选项卡中,它在部分中具有 FQDN
DNS name
,在属性编辑器下,该dNSHostName
属性与其 FQDN 匹配。 - 重置 AD 中计算机对象的权限。
- 从机器中删除本地现有的证书。
- 尝试了 CA 上的其他证书模板。现在生成了两个错误(每个模板一个)。
- 确认 AD 中的正向和反向 DNS 记录都是准确的(可能性不大)。
- 验证主机上的机器名称,与 AD 中的名称匹配。
CA 模板配置为从 AD 构建证书的主题名称/和备用主题名称:
我对这个问题最好的理解是,CA 正在向 AD 查询有关计算机的信息,但该信息丢失或没有查看权限。如果是这种情况,我找不到问题出在哪里或丢失了什么。