Bem, a mensagem indica que são permissões de usuário, e não membros do site, causando um problema. Compare as permissões no modelo de certificado com a conta de usuário na qual você está tentando solicitar o certificado.
Se não tivesse sido uma mensagem sobre permissões, eu teria assumido que havia um ótimo firewall entre sites, causando falhas de conectividade RPC.
Um cliente pesquisa os certificados para os quais pode se inscrever (auto /) no nível da floresta, usa isso para encontrar modelos para os quais tem permissões Inscrever ou Registrar automaticamente e, em seguida, pergunta a uma autoridade de certificação se pode ter um desses certificados tipos.
Cada autoridade de certificação tem um subconjunto dessa lista de modelos que pode emitir e tem outro nível de permissões aplicado à própria autoridade de certificação, portanto, você precisa de permissões para o modelo e na CA Para concluir uma solicitação de assinatura de certificado. Se você tiver várias CAs, precisará verificar as permissões (e os certificados autorizados a serem emitidos) em cada uma delas.
Portanto, versão curta : saiba como as permissões do usuário do problema são diferentes das permissões do usuário de trabalho em termos de {modelo nas permissões do AD} e {permissões da CA}. Se eles não devem ser diferentes de alguma forma (ou seja, o mesmo usuário / duplicado não funciona no Site B), eu concordo com o Shane sobre um possível problema do Repl.