No meu ambiente AD, implantei um modelo que fornece certificados RDP para servidores. Está definido na inscrição automática.
O problema é que a maioria dos servidores funciona como eu esperava: eles conseguiram o certificado e é o suficiente para eles. No entanto, poucos servidores obtêm um novo certificado a cada 12 horas. Eu li o artigo https://social.technet.microsoft.com/wiki/contents/articles/38085.certificate-autoenrollment.aspx e entendo o que está acontecendo, mas não entendo POR QUE isso está acontecendo - o que aciona o servidor para solicitar um novo certificado, mesmo que já exista?
Não quero publicar os certificados no AD, especialmente porque apenas alguns servidores estão mostrando essa anomalia - outros estão bem. Todos os certificados gerados dessa forma ainda são válidos e a chave privada existe.
OK, agora encontrei a resposta: https://support.microsoft.com/en-us/help/2531138/remote-desktop-server-certificates-are-renewed-two-times-a-day-apesar . É um bug no Windows 2008/R2.