我在两个独立的森林中有两个Active Directory域,全部在Windows Server 2008 R2function级别上。 域之间存在双向森林信任。
域A包含Windows Server 2008 R2企业根证书颁发机构; 其根证书受域中所有计算机的信任; 自动注册策略可以自动向域中的每台计算机颁发一个计算机证书(像往常一样向DC发送多个计算机证书)。
域B不包含证书颁发机构,但域A的CA的根证书通过组策略分配给域中的所有计算机作为受信任的根证书,所以任何由该CA颁发的证书都被视为有效。
我能否在域B中configuration自动注册策略,以便域B中的每台计算机自动向域A中的证书颁发机构请求并获取证书?
如果是的话,怎么样?
可以按照位于http://technet.microsoft.com/en-us/library/ff955842(v=ws.10).aspx的指南完成跨森林注册。 这会复制支持AutoEnrollment所需的模板和安全主体。
警告:我只用这个来支持Web Enrollment,所以我没有亲自validation它可以通过组策略推送。 这就是说,如果它不能,我知道它可以通过调用CertUtil的启动脚本来完成。