Theo kinh nghiệm của tôi, một khi bạn thiết lập CA và Chứng chỉ được lưu trữ trong ADDS, một máy tính sẽ lấy nó trong lần khởi động tiếp theo và lưu trữ trong kho lưu trữ gốc đáng tin cậy của máy tính. Tôi thường đặt CA trong tất cả các miền AD tôi quản lý vì nó mở ra các tùy chọn sử dụng CA cho tất cả các nhu cầu chứng chỉ của bạn mà không cần bất kỳ công việc bổ sung nào cho các máy tính thành viên miền. Điều này bao gồm Windows Server 2008 R2 SSTP VPN hoặc L2TP IPSec sử dụng chứng chỉ. PPTP truyền thống không sử dụng chứng chỉ.
Hơi không liên quan, nhưng nếu bạn muốn mọi người sử dụng VPN trong khi đăng nhập, bạn nên sử dụng GPO để đẩy cấu hình VPN hoặc khi bạn tạo thủ công VPN trên máy tính, hãy chọn hộp "cung cấp cho tất cả người dùng" lưu trữ cấu hình VPN trong hồ sơ công khai thay vì hồ sơ người dùng cụ thể. Khi đã xong, trước khi đăng nhập, hãy nhấp vào nút chuyển đổi người dùng (vista / 7) và bạn sẽ thấy biểu tượng VPN mới ở dưới cùng bên phải bằng nút tắt máy. Điều đó giải quyết vấn đề "người dùng mới đăng nhập mà không cần vào mạng trước".
Cuối cùng, khi bạn tạo CA gốc, hãy chắc chắn rằng nó đang chạy Windows Enterprise hoặc Dịch vụ chứng chỉ sẽ bị tê liệt (theo tiêu chuẩn ed.) Và tôi sẽ không hết hạn sau 10 năm để tiết kiệm cho bạn một số công việc trong tương lai.