我正在尝试从我们的父域为我们的子域颁发证书,作为我注册能力的一部分,用于 2FA 设备。几个月前我可以这样做,但现在它不允许我执行子域凭据问题。
流程如下。我为父域中的用户创建了一个 2FA 设备,并在证书控制台中执行“代表注册”,因为我有注册权限。
- 我选择 Active Directory 策略
- 我选择有效的招生代理证书。
- 我选择我们的 2FA 模板来发布它。
- 我选择父域用户名并毫无问题地颁发该证书。
然后我对子域帐户执行相同的操作。
我选择 Active Directory 策略
我选择有效的招生代理证书。
我选择我们的 2FA 模板来发布它。
我选择父域用户名并尝试颁发证书,但出现以下错误:
无法从域控制器读取配置信息,原因是计算机不可用或访问被拒绝
SERVER.DOMAIN.NET\SERVER-CA
被策略模块拒绝
无法从域控制器读取配置信息,原因是计算机不可用或访问被拒绝。0x80070547(WIN32:1351 ERROR_CANT_ACCESS_DOMAIN_INFO)
请求 ID 为 1200
这没有任何意义。DCDIAG 显示一切正常。我可以毫无问题地远程访问服务器。我只是从同一 CA 为父域帐户颁发证书。我遗漏了什么?
更新:这仍然是一个问题。将近 30 分钟后,它会接受证书,但为什么会导致这个问题?这几乎就像它需要在所有 DC 之间复制域信息。有没有办法解决这个问题,或者我可以在子域上设置权限以加快速度?