![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(256, 92%, 34%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(0, 61%, 10%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EHP%3C/text%3E%3C/svg%3E)
Hi 姚黎忠
在你描述的情况里,关键点是新装的 Windows 11 客户端无法自动获取企业 CA 证书,而老机器可以正常更新。你已经确认 DC 诊断里有相关错误,并且在升级到 25H2 后只有一台能获取,其余仍然失败。这通常不是补丁本身的问题,而是证书自动注册机制(Autoenrollment)和组策略/模板配置之间的差异。
首先要确认客户端是否正确应用了域的组策略。打开客户端的 gpresult /h report.html 或者在事件查看器里看 Applications and Services Logs → Microsoft → Windows → CertificateServicesClient-AutoEnrollment,如果出现 Event ID 64 或 13,说明自动注册失败。常见原因是 CA 模板没有启用“自动注册”,或者安全权限没有给到 Domain Computers 或相应的组。请在 CA 管理控制台里检查证书模板的安全设置,确保“自动注册”复选框已启用,并且客户端有读取和注册权限。
其次,确认客户端和 DC/CA 的时间同步正常,Kerberos 票据有效。如果时间差超过 5 分钟,证书请求会被拒绝。再检查网络层面,确保客户端能访问 CA 的 RPC/HTTP 端口(默认 TCP 135、445 以及 CertSrv 的 80/443,如果启用了 Web Enrollment)。
如果只有一台在 25H2 上能获取证书,说明系统版本本身没有阻断功能,而是策略应用或信任链的问题。可以在故障机上运行 certutil -pulse 强制触发自动注册,看是否报出更具体的错误。如果报 “0x80094011” 或类似错误,通常是模板或权限配置不匹配。
总结来说,这不是 Windows 25H2 的 bug,而是 CA 模板和组策略配置需要重新检查。建议逐台确认组策略应用情况、事件日志错误代码,以及 CA 模板权限。必要时重新发布模板并在 GPO 中启用自动注册策略。
希望你在这里找到了有用的内容。如果这些信息能帮助你更深入地理解问题,欢迎接受这个回答。若你还有其他问题,随时可以留言。祝你有美好的一天!
Harry.