Не работает Certificate Autoenrollment
 

Всем доброго дня.

Есть два домена: корневой example.com и дочерний sub.example.com на Windows 2012r2

Есть пул хостов на Windows 10 в одной локальной подсети, физически в одном офисе, подключенные к одному коммутатору, за одним маршрутизатором.

На контроллере домена example.com установлен Root CA

На контроллере домена sub.example.com установлен Sub Root CA

В CA Sub Root CA созданы два шаблона сертификата: компьютера и пользователя для разворачивания на компьютеры клиентов, даны права Для Domain Users на read, enroll и autoenroll

Создан GPO с настройкой Certificate Autoenrollment в ветке компьютера и в ветке пользователя.

Проблема заключается в том, что сертификаты ставятся не всем.

Например моему пользователю залетел и сертификат компьютера и сертификат пользователя - у меня проблем нет.

У моего коллеги залетел только сертификат компьютера

В AD мы состоим в одинаковых группах, соответственно права у нас одинаковые.

На сервере Sub Root CA в логах ошибок и ворнингов нет, в Failed Requests никаких ошибок нет.

Подозреваю, что проблема на стороне клиентов, но как определить в чем она заключается?

Подскажите пожалуйста, куда копать?

Как решить проблему?

Заранее благодарен за совет.

Update:

Нашёл в логах пользователя ошибки следующего содержания:

CertificateServicesClient-AutoEnrollment 6 0x800706ba Сервер RPC недоступен.
CertificateServicesClient-CertEnroll 13 Сервер RPC недоступен. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
CertificateServicesClient-CertEnroll 82 Сервер RPC недоступен. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)

Но при этом у другого пользователя за другим компьютером такой проблемы нет.

Всё решил, тему можно закрывать

Доброго времени суток. А можно написать какое именно решение помогло?