ドメインコントローラーのプロモーションと証明書の自動登録

このADドメインがあり、Windows Server 2003 SP2エンタープライズルート証明機関が運用されており、ユーザーとコンピューターの両方で証明書の自動登録が有効になっています。ドメインに参加しているすべてのコンピューターは、すべて正常に機能し、コンピューター証明書が自動的に発行されます。 2つのWindowsServer 2003 SP2ドメインコントローラーもあり、代わりにドメインコントローラー証明書を受け取りました。再び、すべて元気で良いです。

次に、既にコンピューター証明書を自動的に登録しているWindows Server 2008 R2 SP1メンバーサーバーを取得し、ドメインコントローラーに昇格させました。プロモーション後に新しいものを取得することはなく、エラーはどこにも記録されません。すでに有効な証明書を持っているので、新しい証明書は必要ないと単純に判断したようです。

私が知りたいのは：

• コンピューター証明書テンプレートとドメインコントローラーテンプレートの間に実際に違いはありますか？
• ドメインコントローラーに後者の代わりに前者の1つがある場合、違いはありますか？
• このドメインコントローラーに、その役割に適したタイプの新しい証明書を自動登録させるにはどうすればよいですか？

編集：

既存の証明書を取り消して、新しいDCを再起動してみました。何も起こらなかった。次に、DCのローカルストアから既存の証明書を削除して、再起動しました。今回も何も起こらなかった。

編集：

自動登録ログをオンにしたところ、実際にareいくつかのエラーが見つかりました...新しいDCが証明書を登録しようとすると、一連のエラーがログに記録されます。

• イベントID56：「テンプレートDomainControllerのローカルシステムの証明書登録は、このテンプレートが停止されたため実行されませんでした。」
• イベントID46：「ローカルシステムの証明書登録はマシン証明書に登録できませんでした。このテンプレートの読み取りまたは登録アクセスは許可されていません。」
• イベントID47：「ローカルシステムの証明書登録でDirectoryEmailReplication証明書を登録できませんでした。このテンプレートを発行するための有効な証明機関が見つかりません。」
• イベントID47：「ローカルシステムの証明書登録でDomainControllerAuthentication証明書を登録できませんでした。このテンプレートを発行するための有効な証明機関が見つかりません。」
• イベントID47：「ローカルシステムの証明書登録でKerberosAuthentication証明書を登録できませんでした。このテンプレートを発行するための有効な証明機関が見つかりません。」