新的域控制器不能注册KerberosAuthentication证书

我有一个AD域。 2003年FFL / DFL。 对于Server 2012，架构已升级到版本56.该域包含来自Server 2003，Server 2008，Server 2008 R2和现在Server 2012的域控制器的混合。

我有一个运行2008 R2的企业颁发证书颁发机构。

在Server 2012域控制器上，他们无法注册或自动注册其KerberosAuthentication证书。 应用程序日志中的错误事件ID 6和13：

本地系统的自动证书注册失败（0x800706ba）RPC服务器不可用。

• 两个OU具有相同的“保护对象从删除”设置不同的ACL
• 为什么不同主机上的SPN会导致服务器失去信任？ 我应该如何解决它？
• Windows 8.1 Pro将“Microsoft live”帐户迁移到域帐户
• 如果查询解决策略包含客户端子网的网元操作员，则DNS策略不能正确parsing区域范围中的CNAME
• 痛苦地慢login到广告绑定Mac OS X Leopard机closures家庭networking

本地系统的证书注册失败，从ECA.domain.com \ Company颁发CA（RPC服务器不可用。0x800706ba（WIN32：1722）），请求身份validation证书，请求ID为5512。

看到“RPC服务器不可用”本能地跳转到存在networking连接问题的结论。 但事实并非如此。

• 我已经使用portqry.exe来validation端点映射程序和所有高编号的端口确实可以从DC到ECA。
• 2012域控制器成功自动注册了两种其他types的证书。 这只是一个证书，这是问题。
• 我看到了ECA的要求，失败的原因与客户的失败原因相同。

所以显然是得到networking通信。 这个特殊的证书有一些东西。 没有其他域控制器有此证书的问题。 只有2012年的区议会。