[mcmurphy]

El Scorpio,
Вроде бы все наладилось: через ДХЦП я установил новую очередность ДНС-серверов, в которой КД с выходом в инет - последний.
ФСМО роли передал на новый КД (на 2008 Р2), с проблемного КД снял галку Глобальный каталог.
Теперь авторизация, как я понял вся идет через новый КД, да и в ДНС-ах он первый. Нслукапы и пинги вроде проходят как надо (внешние адреса через нслукап больше не показываются).

Теперь очередь за понижением проблемного КД до рядового сервера.
Напомню, что на нем крутится IIS + внешний и внутренний сайты, Hmail - почтовый сервер (работает и в локалке и со внешним миром), ДХЦП.
При выполнении команды dcpromo ругнулся на то, что на сервере развернуты службы сертификации, и сначало надо удалить их.
Нельзя ли вкраце рассказать - что за зверь такой? Раньше с ним не работал. Какие сервисы могут использовать сертификацию, и как это точно узнать? Может у них своя оснастка есть, на что там смотреть?
Я конечно поспрашиваю у бывалых, может и вспомнит кто зачем они там установлены (там пол-завода админили - все понемногу, каждый в свое время. Прямо картина маслом: шарик, матроскин и дядя федор пишут письмо родителям. Каждый что захотел, то и написал наадминил.)

В сетке используем серверы виртуализации (хайпер-в 2012 + виртуальные машины) и сервер терминалов - постепенно отказываемся от него в пользу виртуализации. Вроде бы сертификация может использоваться в паре с терминалами - как это проверить?
Еще есть ВПН.
И спец форма на сайте, которая позволяет клиенту ввести имя-пароль и получить доступ на закачку нового софта.
Могут ли эти сервисы использовать сертификацию?

Можно ли как нибудь временно остановить службу сертификации, чтобы посмотреть - повлияет это или нет? Может службу подняли, а сертификаты так и не настроили...

Как всегда, благодарен за помощь!

ЗЫ: могу дополнить, что для подключения по ВПН на свой домашний комп специально никакой сертификат не устанавливаем, все работает и так. На компы в локалке тоже сертификаты специально не ставим - все стандартно: ОС, проги, драйвера...
Что еще... к личным почтовым ящикам вроде бы тоже специально сертификаты не прикручиваем - если только они автоматам назначаются (если такое возможно). Может быть, конечно сертификаты в целом ко всем почтовым сообщениям прицепляются (опять-же автоматом, если такое возможно в принципе) - тут уже не знаю...
В общем, вопрос в том же - как и где посмотреть какие были созданы, выданы, или используются сертификаты, и их сроки.

Когда поднимал новый КД на 2008 Р2 ни про какие сертификаты не спрашивало, все поднялось, роли передались...