Роли DC и ЦС разнесены, Windows 2008 Standart - DC; Enterpr - ЦС.
Crypto Pro 3.6 R4 лицензии: - постоянная, TLS - постоянная.
Сертификат для DC выдан с nSAN:DNS&GUID
При проверке сертификата КД certutil -dcinfo verify
на ЦС:
Дата: 24.03.2015 9:14:12
Код события: 30
Категория задачи:Проверить политику цепочки
Уровень: Сведения
Ключевые слова:Проверка пути
Пользователь: DOMAIN\admin
Компьютер: DOMAINCA.DOMAIN.local
Описание:
Дополнительные сведения об этом событии содержатся в разделе "Подробности".
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
<EventID>30</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>30</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000001</Keywords>
<TimeCreated SystemTime="2015-03-23T22:14:12.734909600Z" />
<EventRecordID>34533</EventRecordID>
<Correlation />
<Execution ProcessID="1728" ThreadID="2748" />
<Channel>Microsoft-Windows-CAPI2/Operational</Channel>
<Computer>DOMAINCA.DOMAIN.local</Computer>
<Security UserID="S-1-5-21-1705983324-2113336663-3557659907-1104" />
</System>
<UserData>
<CertVerifyCertificateChainPolicy>
<Policy type="CERT_CHAIN_POLICY_NT_AUTH" constant="6" />
<Certificate fileRef="576EA8127532118BE8272F977064AB6AAA0FBAE2.cer" subjectName="DOMAINDC.DOMAIN.local" />
<CertificateChain chainRef="{2213A6BA-81D4-4F65-9218-6FE7CAAFC6D1}" />
<Flags value="4" CERT_CHAIN_POLICY_IGNORE_NOT_TIME_NESTED_FLAG="true" />
<Status chainIndex="-1" elementIndex="-1" />
<EventAuxInfo ProcessName="certutil.exe" />
<CorrelationAuxInfo TaskId="{171DC988-543A-41B0-9A66-27FD5D817444}" SeqNumber="1" />
<Result value="0" />
</CertVerifyCertificateChainPolicy>
</UserData>
</Event>

на DС:
Имя журнала: Microsoft-Windows-CAPI2/Operational
Источник: Microsoft-Windows-CAPI2
Дата: 24.03.2015 4:22:23
Код события: 30
Категория задачи:Проверить политику цепочки
Уровень: Ошибка
Ключевые слова:Проверка пути
Пользователь: система
Компьютер: DOMAINDC.DOMAIN.local
Описание:
Дополнительные сведения об этом событии содержатся в разделе "Подробности".
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
<EventID>30</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>30</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000001</Keywords>
<TimeCreated SystemTime="2015-03-23T18:22:23.946668000Z" />
<EventRecordID>2207</EventRecordID>
<Correlation />
<Execution ProcessID="564" ThreadID="3652" />
<Channel>Microsoft-Windows-CAPI2/Operational</Channel>
<Computer>DOMAINDC.DOMAIN.local</Computer>
<Security UserID="S-1-5-18" />
</System>
<UserData>
<CertVerifyCertificateChainPolicy>
<Policy type="CERT_CHAIN_POLICY_NT_AUTH" constant="6" />
<Certificate fileRef="576EA8127532118BE8272F977064AB6AAA0FBAE2.cer" subjectName="DOMAINDC.DOMAIN.local" />
<CertificateChain chainRef="{9A1EF40F-DC71-4377-8ECF-F20A65DCEB84}" />
<Flags value="0" />
<Status chainIndex="0" elementIndex="1" />
<EventAuxInfo ProcessName="lsass.exe" />
<CorrelationAuxInfo TaskId="{0E392EF0-271F-4596-AC37-D369D8D74636}" SeqNumber="1" />
<Result value="800B0112">Цепочка сертификатов обработана правильно, но один из сертификатов ЦС не имеет доверия от поставщика политики.</Result>
</CertVerifyCertificateChainPolicy>
</UserData>
</Event>
В чем проблема?

Да
PKIView говорит ОК
ldap ОК
certutil Сертификат уже существует в данном хранилище

Отредактировано пользователем 24 марта 2015 г. 9:50:57(UTC)  | Причина: Не указана

Так все таки как быть то?
Необходима аутентификация и авторизация пользователей домена Windows.

Продолжу.
Если установить CS на контроллер домена, то проблем с проверкой цепочки нет. IPSec работает, https работает.
Но LDAP SSL не работает. В журнале регистрируется событие 1220 ActiveDirectory_DomainService, LDAP через SSL недоступен поскольку этот сервер не смог получить сертификат.