Нужно добавлять Guid контроллера из контрольной панели CSP на контроллере.

УЦ, выпустивший сертификаты для работы с Winlogon, подчиненный или корневой? Также проверьте доступность списков отзыва на контроллере домена.

Что было понятней опишу структуру УЦ! Есть один корневой (офлайновый) ЦС и один подчиненный ЦС к подчиненному ЦС есть ЦР, а к ЦР соответственно АРМ администратора. Корневым ЦС я удостоверил подчиненный ЦС и выключил его (всмысле выключил корневой естественно). дальше все делалось только на тройке subЦС, ЦР, АРМ админ. cdp и aia хранятся и публикуются на ЦР к ним доступ по http. Когда я подошел к тому что бы настроить winlogon я сделал все в следующем порядке настроил соответствующим образом саб ЦС и ЦР (политики) все по инструкции и перешел в АРМ администратора ЦР создал на нем пользователя domain controller (предварительно скопировал в блокнот с контроллера значения имени днс и guid) в свойствах пользователя на закладке дополнительно я внес эти параметры, после этого создал html форму для формирования запроса и скопировал ее на контроллер, сделал запрос выпустил по нему сертификат на АРМе и скопипастил сертификат на контроллер и установил в той же html форме. К тому времени я уже естественно как и требовала инструкция распространил через gpo сертификат корневого ЦС и поместил в хранилище NTAuth сертификат подчиненного ЦС (команда certutil.exe -dcpublish c:\share\sub-ca.crt NTAuthCA) результат исполнения команды был положительный

Отредактировано пользователем 12 ноября 2013 г. 21:53:15(UTC)  | Причина: Не указана

Эта ошибка пропала: "Это событие показывает попытку входа со смарт-картой, но KDC не удалось использовать протокол PKINIT, поскольку нет подходящего сертификата."?

И это я смотрел в логах на контроллере