新しいドメインコントローラがKerberosAuthentication証明書に登録できない

ADドメインを持っています。 2003 FFL/DFL。スキーマはServer 2012のバージョン56にアップグレードされました。ドメインには、Server 2003、Server 2008、Server 2008 R2、および現在のServer 2012のドメインコントローラーが混在しています。

2008 R2を実行しているエンタープライズ発行認証局があります。

Server 2012ドメインコントローラーでは、KerberosAuthentication証明書を登録または自動登録できません。アプリケーションログのエラーイベントID 6および13：

ローカルシステムの自動証明書登録に失敗しました（0x800706ba）RPCサーバーが利用できません。

ローカルシステムの証明書の登録は、ECA.domain.com\Company Issuing CAからの要求ID 5512のKerberosAuthentication証明書の登録に失敗しました（RPCサーバーは利用できません。0x800706ba（WIN32：1722））。

「RPCサーバーが利用できない」と見ると、本能的に、ネットワーク接続の問題があるという結論にジャンプします。しかし、それはそうではありません。

• 私はportqry.exeを使用して、エンドポイントマッパーとすべての番号の大きいポートがDCからECAに実際に利用できることを確認しました。
• 2012ドメインコントローラーdidは、他の2種類の証明書を正常に自動登録します。問題となるのはこの1つの証明書だけです。
• ECAでリクエストを確認しましたが、失敗しました。失敗の理由はクライアントと同じです。

ですから、明らかにネットワーク通信があります。この特定の証明書には何かがあります。他のドメインコントローラーでは、この証明書に問題はありません。 2012 DCのみ。