MS hat mit Windows 8/2012 bzw. 8.1/2012R2 in SCHANNEL ein paar Änderungen durchgeführt die u.a. die SCCM 2012 R2 Clientkommunikation (wenn im HTTPS-Modus betrieben) vernichtet (403 Error Codes beim Versuch irgendwas vom DP oder MP zu laden, im IIS Log kann man dann auf 403.16 (=CERT_E_UNTRUSTEDROOT) weiter tracen).

Die Ursache ist ein nicht self signed Zertifikat (s. KB2802568) in den Trusted Root Certification Authorities des Webservers, man kann dieses entweder finden (Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * (aus KB295828)) und löschen oder man ändert das SCHANNEL Verhalten mit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

“ClientAuthTrustMode”=dword:00000002