証明書の自動登録設定を以前のCAから新しいCAに変更する
ドメインコントローラーからイベントID 13を取得し始めました。
ローカルシステムの証明書登録は、OLDSERVER.domain.local\oldserverからの要求IDN/AのDomainController証明書の登録に失敗しました(RPCサーバーは使用できません。0x800706ba(WIN32:1722))。
OLDSERVERは、少なくとも2、3年前にドメインから削除された2003年のドメインコントローラーおよび証明書サービスサーバーでした。現在のすべてのDCは2008 R2であり、機能レベルもそれに引き上げられました。
この自動登録に登録されているCAはどこで変更できますか?
まず、古いCAをADへの登録から削除します-エンタープライズPKIスナップインを使用して、古いCAのすべてのトレースをADコンテナから削除します ここを参照 。
次に、その証明書テンプレートを発行するように構成されたエンタープライズCAがあることを確認します(または、自動登録設定をKerberos認証などのDC用のより新しいテンプレートに移動します)。
次に、証明書テンプレートを強制的に再登録します。これにより、DCは長期間使用されていないCAに対して更新を試みるのではなく、新しい証明書を登録します。これを行う前に、DCに接続するすべてのものが新しいCAを信頼していることを確認してください。
