Como dizer aos controladores de domínio para não registrarem um certificado "Autenticação Kerberos"?

Pode haver duas entradas para este problema:

Parte 1: substituição do modelo

Nas configurações do modelo de certificado ( certtmpl.msc ), há a guia Modelos Substituídos , onde você pode especificar uma lista de modelos que são substituídos pelo modelo atual. Essa configuração é usada apenas pelo recurso de registro automático de certificado.

Durante a inscrição automática, o cliente examina cada modelo e verifica se o modelo atual está listado como *substituído* em qualquer outro modelo. Se estiver listado, o modelo atual será ignorado. Este comportamento é definido nas especificações do protocolo [MS-CAESO] , §4.4.5.6.1:

4.4.5.6.1 Determinar se uma instância de CertificateTemplate é válida para registro automático

<...> ignorado por brevidade

• Existe uma instância de CertificateTemplate na lista CertificateEnrollmentPolicy.Templates cuja lista CertificateTemplate.SupersededTemplates contém um valor igual ao atual CertificateTemplate.CommonName

Observação: em 2014, o documento [MS-CAESO] foi retirado e seu conteúdo foi movido para várias outras especificações de protocolos e não tentei rastrear essa mudança. Dado que nada foi alterado desde então, você pode usar uma cópia arquivada em PDF do documento: Cópia arquivada [MS-CAESO] PDF .

Isso responde à primeira metade da pergunta: por que o modelo de registro automático permitido não é registrado automaticamente. Assim, verifique se nenhum dos modelos está configurado para substituir o Domain Controller Authenticationmodelo. Se houver, remova-o da lista substituída.

E verifique se Domain Controller Authenticationé adicionado para emissão para CA habilitada para inscrição na web.

Parte 2: Cache MS-XCEP

Quando os clientes usam serviços Web de registro de certificado (Microsoft CEP/CES), eles fazem o seguinte:

1. Conecte-se ao serviço de política de inscrição (CEP) e solicite a política.
2. O CEP autentica o cliente e lê todos os modelos de certificado do Active Directory onde a entidade autenticada tem pelo menos Readpermissões.
3. O CEP contata as CAs para obter a lista de modelos permitidos por cada CA e constrói a resposta conforme especificado em [MS-XCEP] §3.1.4.1.3.23

A mensagem de resposta tem nextUpdateHoursque é:

Um número inteiro que representa o número de horas que o servidor recomenda que o cliente espere antes de enviar outra mensagem GetPolicies.

O valor padrão é 8 horas. O cliente armazena em cache essa resposta e não pode tentar solicitar uma nova política com a lista de modelos atualizada para esse período. Embora exista um policiesNotChangedcampo booleano que pode ser usado pelos clientes para pesquisar alterações, mas pela prática posso dizer que os clientes não realizam pesquisas. Em vez disso, eles usam esse bit para determinar se a política em cache deve ser substituída ou não. Esta é apenas a minha opinião, pois qualquer mudança na política tem grande latência nos clientes.

Ou, aguarde pelo menos 8 horas e veja se o problema é resolvido automaticamente quando os clientes buscam uma nova política do servidor CEP ou tentam forçar a recuperação da política:

Exclua todo o conteúdo do %systemdrive%\ProgramData\Microsoft\Windows\X509Enrollmentcomputador de destino (DC) e execute

certutil -pulse

para acionar o registro automático. Durante essa chamada, uma nova política será baixada e o registro automático deverá selecionar o modelo correto.