В связи с заменой главного доменного сервера пришлось сменить корневой центр сертификации. Перед понижением старого главного контроллера домена до роли рядового сервера система потребовала удалить с него центр сертификации, что и было сделано. Сертификатом этого корневого центра был подписан сертификат центра сертификации для дочернего домена. После удаления корневого центра перестали приниматься и сертификаты, выданные пользователям вторым центром сертификации. Не работали USB-ключи eToken для входа в Windows. После установки на новом главном контроллере домена корневого центра сертификации была предпринята попытка получить новый сертификат для центра сертификации дочернего домена. Она была неудачной, видимо по причине того, что запрос сертификата выполнял не администратор предприятия, администратор дочернего домена. После выполнения запроса сертификата администратором предприятия, он был получен, однако сертификаты, полученные пользователями не воспринимались.
В журнале событий пользователя были записи:
The client has failed to validate the Domain Controller certificate for server.DOMEN.RU. The error data contains the information returned from the certificate validation process. Contact your system administrator to determine why the Domain Controller certificate is invalid.
Поиск по интернету дал положительный результат:
Надо добавить сервер как основной в домене, то есть внести изменения в политику безопасности домена:
Default Domain Policy->Computer->Windows Settings->Securyti Settings->Public Key Policy->Trusted Root Certification Authorities
Внесённые изменения решили проблему. На данный момент дочерний центр сертификации не используется, работает только основной (Root).