アクセス可能なCRLにもかかわらず、ドメイン以外のゲストの証明書失効チェックが失敗する

ドメインの一部ではないコンピューターで証明書を使用しようとすると、Windowsは次のように文句を言います。

失効サーバーがオフラインだったため、失効機能は失効を確認できませんでした。

ただし、証明書を手動で開いてCRL Distribution Pointプロパティを確認すると、ldap:/// URLおよびhttp:// URLが外部からアクセスできることを示していますIIS = CRLをホストするサイト。もちろん、ドメインに参加していないクライアントはldap:/// URLにアクセスできませんが、http://リンクからCRLをダウンロードできます（少なくともブラウザーでは）。

CAPIロギングを有効にしたところ、この失効チェックの失敗に対応するイベントが表示されました。 RevocationInfoセクションは次のとおりです。

• RevocationInfo

  [freshnessTime] PT11H27M4S

  • RevocationResult失効サーバーがオフラインだったため、失効機能は失効を確認できませんでした。
    [値] 80092013
  • CertificateRevocationList
    [場所] UrlCache
    [url] http：// 正しいURL
    [fileRef] 6E463C2583E17C63EF9EAC4EFBF2AEAFA04794EB.crl
    [issuerName] CAの名前

さらに、Microsoft Network Monitorを使用して、正しいURLへのHTTP要求とサーバーの応答（HTTP 304未変更）を確認できます。

certutil -verify -urlfetchを実行しましたが、同じことが表示されているようです。コンピューターは両方のURLを認識し、両方を試行し、http://リンクが成功しても、同じエラーを返します。

ドメインに参加していないクライアントがldap:///リンクをスキップしてhttp://リンクのみを確認する方法はありますか？

編集：
ldap:///URLは

ldap:///CN=<name of CA>,CN=<name of server that is running the CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain name>?certificateRevocationList?base?objectClass=cRLDistributionPoint

ドメインに参加していないクライアントは、ドメインネットワーク上または外部ネットワーク上にある可能性があります。 http:// CDPは、パブリックインターネットからアクセスできます。