Cơ quan cấp chứng chỉ miền gốc cho miền con

Tôi có một miền mẹ và 2 miền con của mẹ đó. Tất cả các máy chủ đều là Windows Server 2019. Tôi đang triển khai phần mềm bảo mật và tôi cần lấy chứng chỉ hợp lệ từ Tổ chức phát hành chứng chỉ. Tổ chức phát hành chứng chỉ nằm trên máy chủ trên Miền mẹ.

Khi tôi lấy chứng chỉ máy tính trên máy Miền con, máy tính không hiển thị mẫu hoặc vị trí nào để lấy chứng chỉ từ đó. Tôi có thể lấy chứng chỉ từ CA trên máy trên miền mẹ mà không gặp sự cố.

Có cách nào để vượt qua khả năng lấy chứng chỉ máy tính cho máy tính miền con từ CA mẹ không?

Có một số tùy chọn làm thế nào để thực hiện điều này và tất cả đều liên quan đến tư cách thành viên nhóm. Tùy chọn đơn giản nhất là thêm nhóm "Máy tính miền" từ miền con vào các quyền của mẫu chứng chỉ và cấp các quyền cần thiết (Đọc, Đăng ký và có thể là Tự động đăng ký).

Tuy nhiên, tôi sẽ sử dụng phương pháp tiếp cận theo định hướng AGLP hơn:

• trong miền gốc của rừng, hãy tạo một nhóm bảo mật chung có tên là "Máy tính miền doanh nghiệp"
• Thêm các nhóm "Máy tính miền" và "Bộ điều khiển miền" từ tất cả các miền gốc và miền con vào nhóm chung "Máy tính miền doanh nghiệp" mới này

Sau đó, trong bảng điều khiển mẫu chứng chỉ (certtmpl.msc), chọn thuộc tính của mẫu mong muốn, điều hướng đến tab Bảo mật và gán quyền cho nhóm phổ quát mới này.

Điều này có thể mất một thời gian cho đến khi tất cả các DC sẽ sao chép các nhóm và cập nhật thành viên. Ngoài ra, máy tính phải được khởi động lại để chọn tư cách thành viên nhóm mới hoặc đợi tối đa 10 giờ cho đến khi vé kerberos được cập nhật.