Ошибка 0x80094011: клиент Windows XP не может получить сертификат из ADCS

Если у вас в сети все еще есть старые клиентские ПК под управлением Windows XP, вы можете столкнуться со следующей ошибкой при попытке запроса сертификата из центра сертификации Microsoft - Active Directory Certification Services (ADCS), работающем на Windows Server 2012 R2:

EventID 13
Источник AutoEnrollment
0x80094011
The permissions on this certification authority do not allow the current user to enroll for certificates (эту ошибку можно найти в Application Event Log на клиентском компьютере). 

Причины ошибки 0x80094011

Это связано с новыми настройками безопасности, действующими для Windows Server 2012 R2. Когда центр сертификации (ЦС) получает запрос на сертификат, то шифрование запроса может применяться ЦС посредством RPC_C_AUTHN_LEVEL_PKT. В Windows Server 2008 R2 и более ранних версиях этот параметр по умолчанию не включен в ЦС. В ЦС версии Windows Server 2012 или Windows Server 2012 R2 этот параметр усиленной безопасности включен по умолчанию.

Повышенный уровень безопасности RPC_C_AUTHN_LEVEL_PKT включается в центрах сертификации Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 следующей командой (и перезагрузить сервис потом):

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

Как отключить RPC_C_AUTHN_LEVEL_PKT

Понижение уровня безопасности ЦС для обеспечения совместимости с клиентами Windows XP.

certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST
net stop certsvc
net start certsvc

Более подробно про новый механизм безопасности ADCS на Windows Server 2012 R2 (и другие новые возможности) можно прочитать в статье Новые возможности служб сертификатов в Windows Server.