如何告诉域控制器不要注册“Kerberos 身份验证”证书？

这个问题可以有两个输入：

第 1 部分：模板取代

在证书模板设置 ( certtmpl.msc ) 中，有被取代的模板选项卡，您可以在其中指定被当前模板取代的模板列表。此设置仅由证书自动注册功能使用。

在自动注册期间，客户端检查每个模板并检查当前模板是否在任何其他模板中列为*superseded* 。如果已列出，则跳过当前模板。此行为在[MS-CAESO]协议规范中定义，§4.4.5.6.1：

4.4.5.6.1 确定 CertificateTemplate 实例是否对自动注册有效 如果以下列表中的任何条件为真，则自动注册不应处理特定 CertificateTemplate 实例的新注册

<...> 为简洁起见略过

• 在 CertificateEnrollmentPolicy.Templates 列表中存在一个 CertificateTemplate 实例，其 CertificateTemplate.SupersededTemplates 列表包含等于当前 CertificateTemplate.CommonName 的值

注意：在 2014 年，[MS-CAESO] 文档已停用，其内容已移至许多其他协议规范，我没有尝试跟踪此移动。鉴于此后没有任何更改，您可以使用文档的存档 PDF 副本：存档 [MS-CAESO] PDF 副本。

这回答了问题的前半部分：为什么不自动注册允许自动注册模板。因此，请检查两个模板是否都未配置为取代Domain Controller Authentication模板。如果有，请将其从取代列表中删除。

并检查是否Domain Controller Authentication添加了发布到启用 Web 注册的 CA。

第 2 部分：MS-XCEP 缓存

当客户端使用证书注册 Web 服务 (Microsoft CEP/CES) 时，他们会执行以下操作：

1. 连接到注册策略服务 (CEP) 并请求策略。
2. CEP 对客户端进行身份验证，并从经过身份验证的实体至少具有Read权限的 Active Directory 中读取所有证书模板。
3. CEP 联系 CA 以获取每个 CA 允许的模板列表，并按照[MS-XCEP] §3.1.4.1.3.23中的规定构建响应

响应消息具有nextUpdateHours：

一个整数，表示服务器建议客户端在提交另一个 GetPolicies 消息之前等待的小时数。

默认值为 8 小时。客户端缓存此响应，并且可能不会尝试在这段时间内使用更新的模板列表请求新策略。虽然，policiesNotChanged客户端可以使用布尔字段来轮询更改，但从实践中我可以看出客户端不执行轮询。相反，他们使用该位来确定是否应该替换缓存的策略。这只是我的观点，因为策略的任何变化都会对客户端造成很大的延迟。

或者，等待至少 8 小时，看看当客户端从 CEP 服务器获取新策略或尝试强制策略检索时问题是否自动解决：

从目标计算机（DC）上删除所有内容%systemdrive%\ProgramData\Microsoft\Windows\X509Enrollment，然后运行

certutil -pulse

触发自动注册。在此调用期间，将下载新策略，并且自动注册应选择正确的模板。