Selhávající AutoEnrollment na doménovém řadiči

Doména se dvěma řadiči, Enterprise CA běží na primárním AD, webové rozhraní je na dedikovaném IIS serveru. Po přidání sekundárního AD řadiče se v jeho aplikačním logu začala objevovat následující chyba:

Typ události: Chyba
Zdroj události: AutoEnrollment
Kategorie události: Není k dispozici
ID události: 13
Datum:  2.1.2008
Čas:  20:49:43
Uživatel:  Není k dispozici
Počítač: FSERVER
Popis:
Automatickému zápisu certifikátu pro Local System se nezdařil zápis certifikátu Řadič domény (0x80070005).  Přístup byl odepřen.

Problém spočívá ve členství domain-local security skupiny CERTSVC_DCOM_ACCESS. Jejími členy jsou standardně pouze Domain Computers a Domain Users. Pro odstranění výše uvedené chyby stačí do této skupiny přidat skupinu Domain Controllers.

Doplnění 20. 9. 2008

Tohle je tak častá chyba, že si sem uvedu ještě její anglické znění.

Event Type: Error
Event Source: AutoEnrollment
Event Category: None
Event ID: 13
Date:  20.9.2008
Time:  15:29:29
User:  N/A
Computer: CZDC01
Description:
Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005).  Access is denied.