As mudanças no registro descritas abaixo permitiram que a meia dúzia de servidores que foram aplicados até agora inicializassem sem problemas. Embora eu ainda não tenha 100% de certeza de que esta é uma solução - era de cerca de 50/50 se um servidor aparecesse de forma clara - parece ter ajudado tremendamente. Meia dúzia de servidores com 3 ou mais reinicializações estão agindo normalmente.
Name: ChainUrlRetrievalTimeoutMilliseconds
Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Type: REG_DWORD
Decreasing the amount of time to allow CRL retrieval can significantly improve performance when internet access is poor or non-existent. Setting the value to 200 (milliseconds) may be a reasonable timeout.
Name: ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds
Location: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Type: REG_DWORD
Decreasing the amount of time to allow all CRL retrievals can significantly improve performance when internet access is poor or non-existent. Setting the value to 500 (milliseconds) may be a reasonable timeout.
Background, por que acho que isso é uma correção
Vários servidores em nosso ambiente exibiam problemas ao reinicializar o surgimento de serviços. Esses serviços eram principalmente relacionados ao .NET de uma forma ou de outra. Todos eles vieram com 7009 eventos. Alguns dos serviços em nossos servidores de firewall problemáticos também mostram esse id de evento. Embora um 7009 nunca tenha surgido para o serviço de firewall ou de filtragem de base, um tempo limite durante o processo de carregamento - especialmente porque às vezes é carregado de forma limpa - parecia um provável culpado.
Essas configurações de registro vieram de um blog de technet, Configurando servidores do Exchange sem acesso à Internet .