Tente certutil -pulse
- isso deve verificar os modelos nos quais o sistema tem permissão e registrá-los. Não deverá ter problemas em obter o certificado, desde que não haja nada de louco nas configurações de permissões no modelo.
Você definitivamente desejará que seus DCs tenham um certificado no estilo Controlador de domínio ( Domain Controller
é o antigo; Domain Controller Authentication
, em seguida, Kerberos Authentication
o substituem; se sua autoridade de certificação estiver executando a edição corporativa, considere mudar para o novo modelo Kerberos) - enquanto muitas das funções que ele satisfaz serão tratadas por um certificado de computador, algumas das coisas específicas do DC, como a autenticação de smart card, o ouvinte LDAP / SSL (acredito?), e com o mais recente O certificado Kerberos, validação strong do KDC, precisa do certificado especial.