Table of Contents

Проблема

Система - Windows Server 2012 R2. В журналах ошибки 1202, 1206, 1400.

Active Directory Web Services could not find a server certificate with the specified certificate name. A certificate is required to use SSL/TLS connections. To use SSL/TLS connections, verify that a valid server authentication certificate from a trusted Certificate Authority (CA) is installed on the machine.
 
 Certificate name: DC01.emr.local

Судя по тексту - отсутствует нормальный сертификат. Однако, сертификат имеется. Certification Authority размещен на этом же DC. Перевыпуск сертификата по темплейту Domain Controller Authentication результата не дает.

Причина и решение

https://social.technet.microsoft.com/Forums/Lync/en-US/21849a06-e89b-4c53-b4b4-bf0ba5087c0b/adws-certificate-warning-1400-despite-valid-certificate-on-all-dcs?forum=winserversecurity
Причиной является не вполне корректный темплейт Domain Controller Authentication. Для того, чтобы его исправить:

  1. запускаем mmc.exe.
  2. FileAdd/Remove Snap-in…Certificate TemplatesAdd.
  3. Находим и открываем Domain Controller Authentication.
  4. Сразу можно поставить срок валидности подольше и поставить галочку Publish Certificate in Active Directory.
  5. Дальше самое главное - идем во вкладку Subject Name и в поле Subject Name Format выбираем Common Name, а также оставляем только галку DNS Name.

Все. Теперь можно перевыпускать сертификат по шаблону Domain Controller Authentication. При выпуске указываем Common Name с FQDN-именем контроллера домена. После выпуска сертификата перезапускаем службу ADWS и радуемся:

net stop adws
net start adws