Computerzertifikat von fremder Domäne Windows 2012R2

Hallo Leute,
Ich hoffe das sich hier jemand befindet der mir weiterhelfen kann da ich sowohl in Büchern als auch im Technet nichts zu der Thematik finde.

Ausgangssituation:
Es gibt 2 Gesamtstrukturen native2.local und native3.local
Diese befinden sich in einer bidirektionalen Vertrauensstellung.
In der Gesamtstruktur native2.local befindet sich zudem eine Zertifizierungsstelle.
Auf dem DC von native2.local habe ich den DC der 2. Gesamtstruktur der Gruppe Zertifikatherausgeber hinzugefügt.
Sowohl der DC von native2 als auch der DC von native3 haben das RootCert der Zertifizierungsstelle unter "vertrauenswürdige Zertifikate" implementiert.
Wenn ich die mmc von einem Client der sich in der Domäne native2.local befindet starte und ein Computerzertifikat beantrage klappt dieses tadellos.

Wenn ich aber die mmc von einem Client der Domäne native3.local starte und versuche ein Zertifikat zu beantragen werden mir erst gar keine Zertifikatsvorlagen angezeigt.

Geht eine Vertrauensstellung überhaupt so weit , dass der Zertifizierungsstelle der vertrauten Domäne automatisch vertraut wird?

Wäre schön wenn sich wer finden könnte der sich da auskennt danke schon einmal.

MfG
Gimi89

Nur damit ich dich richtig verstehe:

Du hast zwei autarke Domänen, native2.local und native3.local.
Beide vertrauen der selben RootCA.
native2.local hat eine eigene CA (Sub-CA von der Root?).
native3.local hat keine CA, er ist nur berechtigt Zertifikate anzufordern.
Clients von native2.local bekommen Zertifikate ohne Probleme.
Clients von native3.local können keine Zertifikate anfordern und finden auch keine.

Ich sehe aktuell nur das Problem, dass die Clients von native3 keine Zertifikate abrufen können da sie keine CA haben. Woher sollen sie die Zertifikate auch anfordern
Aktuell ist nur der Server native3.loacl berechtigt Zertifikate anzufordern, aber nicht die Clients.

Ich hoffe ich hab dich richtig verstanden.
Ansonsten hänge bitte eine Skizze deiner Struktur an, ich musste den Text mehrmals lesen.

mfg

Ok erstmal vielen Dank für deine Antwort.
Dachte halt, dass die Clients von native3.local durch die Vertrauensstellung auch die CA von native2 mitbenutzen können aber so kann man sich irren..
Ist das denn anderswie irgendwie möglich, dass die Clients aus native3 und native2 das gleiche Rootzertifikat bekommen ? denn dies ist essenziell für das was ich vor hab.
MfG
Gimi89

Ich muss gestehen, dass ich bisher noch nie eine solche Version hatte.
Bisher gab es zwischen verschiedenen Domänen immer eine übergeordnete Root-Ca, der beide vertraut haben. Und auch je Domäne eine eigene CA. Daher war das Verteilen auch nie ein Problem.

Sorry, aber da muss ich auch passen
Vielleicht hilft ein Anruf bei Mircosoft weiter?

mfg

Was spricht gegen zwei CAs?