Resolvido! Meu servidor não fazia parte do grupo de segurança Servidores RAS e IAS ..
Em resumo, um modelo de certificado que desejo usar não está disponível para inscrição.
O modelo em questão é uma cópia do modelo "RAS e IAS Server". O que é frustrante é que consegui que isso funcionasse durante o teste, mas na produção o certificado não está disponível. A única diferença entre os dois é que o ambiente de produção foi atualizado de um nível funcional de floresta de 2003 para 2008r2. Nenhuma CA antes da atualização.
Aqui estão as etapas gerais que usei nas duas configurações (feitas com a conta de administrador):
Aqui é inconsistente, no servidor do laboratório, o "Modelo sem fio" estava disponível para inscrição. O servidor de produção me dá uma mensagem de permissão negada. Admito que posso ter perdido alguns passos ao tentar reproduzir isso no servidor de produção. Ambos os servidores são enterprise 2008r2, com as funções DC e NPS instaladas.
Você não pode solicitar um certificado de computador em um controlador de domínio; você só pode solicitar o certificado de controlador de domínio e alguns outros fyi