Eine Meldung "Anmeldung fehlgeschlagen" Wenn Sie eine Smartcard auf einem Windows Server 2003-Computer verwenden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 887578 - Produkte anzeigen, auf die sich dieser Artikel bezieht

wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Sollten Sie die Registrierung sichern, bevor Sie Sie ändern. Stellen Sie sicher, dass Sie die Registrierung wiederherstellen kennen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986Beschreibung der Microsoft Windows-Registrierung
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Sie versuchen, eine Smartcard verwenden, zu einem Microsoft Windows Server 2003-Domänencontroller anzumelden, Sie können nicht anmelden, und die folgende Meldung:
Anmeldefehler

Ursache

Dieses Problem tritt auf, wenn die Zertifikatssperrliste (CRL) ist veraltet und eine neue CRL nicht verfügbar ist. Eine Infrastruktur öffentlicher Schlüssel (PKI) ist nicht funktionsfähig den Verteilungsserver die ZERTIFIKATSSPERRLISTE nicht um eine neue ZERTIFIKATSSPERRLISTE veröffentlichen kann. Wenn eine neue CRL veröffentlicht wird, sind die Anmeldungen auf Clientcomputern nicht zulässig.

Lösung

Informationen zu Service Packs

Installieren Sie das neueste Servicepack für Windows Server 2003, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
889100So erhalten Sie das neueste Servicepack für Windows Server 2003

Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt. Dieser Hotfix kann einem späteren Zeitpunkt zusätzliche Tests unterzogen. Wenn durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft daher, auf die nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieses Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, wenden Sie sich an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Voraussetzungen

Es gelten keine Voraussetzungen.

Neustartanforderung

Sie müssen den Computer nach der Installation dieses Hotfixes neu starten.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien werden in Coordinated Universal Time aufgeführt (UTC). Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Verwenden Sie die Registerkarte Zeitzone im Element Datum und Uhrzeit in der Systemsteuerung, um die Differenz zwischen UTC und der Ortszeit zu ermitteln.
Windows Server 2003
IA-64-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP AnforderungServicebereich
Crypt32.dll5.131.3790.4251,578,49614-Oct-200505: 21IA-64KeinerRTMQFE
Cryptnet.dll5.131.3790.425160.25614-Oct-200505: 21IA-64KeinerRTMQFE
Kdcsvc.dll5.2.3790.425590,33614-Oct-200505: 21IA-64KeinerRTMQFE
Kerberos.dll5.2.3790.425907,26414-Oct-200505: 21IA-64KeinerRTMQFE
Wcrypt32.dll5.131.3790.425612,86414-Oct-200505: 21X 86KeinerWOW
Wcryptnet.dll5.131.3790.42561.95214-Oct-200505: 21X 86KeinerWOW
Wkerberos.dll5.2.3790.425344,06414-Oct-200505: 21X 86KeinerWOW
Crypt32.dll5.131.3790.25481,759,23214-Oct-200505: 21IA-64SP1SP1QFE
Cryptnet.dll5.131.3790.2548172,54414-Oct-200505: 21IA-64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548613.88814-Oct-200505: 21IA-64SP1SP1QFE
Kerberos.dll5.2.3790.2548963,07214-Oct-200505: 21IA-64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505: 21X 86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505: 21X 86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505: 21X 86SP1WOW
x 64-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP AnforderungServicebereich
Crypt32.dll5.131.3790.25481,428,99214-Oct-200505: 21X 64SP1SP1QFE
Cryptnet.dll5.131.3790.2548111,10414-Oct-200505: 21X 64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548419,84014-Oct-200505: 21X 64SP1SP1QFE
Kerberos.dll5.2.3790.2548720,89614-Oct-200505: 21X 64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505: 21X 86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505: 21X 86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505: 21X 86SP1WOW
x 86-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP AnforderungServicebereich
Crypt32.dll5.131.3790.425612,86414-Oct-200504: 10X 86KeinerRTMQFE
Cryptnet.dll5.131.3790.42561.95214-Oct-200504: 10X 86KeinerRTMQFE
Kdcsvc.dll5.2.3790.425227,84014-Oct-200504: 10X 86Keiner

Nachdem Sie den Hotfix installiert haben

wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows

Wenn die Zertifizierungsstelle (CA), eine neue ZERTIFIKATSPERRLISTE veröffentlichen, nachdem Sie diesen Hotfix installieren nicht verfügbar ist, können Sie Registrierungsschlüssel, um die Gültigkeitsdauer der ZERTIFIKATSSPERRLISTE zu erweitern. Gehen Sie hierzu folgendermaßen vor.

Auf Domänencontrollern

  1. Starten Sie den Registrierungseditor.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. Im Menü Bearbeiten klicken Sie auf neu , und fügen Sie den folgenden Registrierungseintrag hinzu:

    Wertname: CRLValidityExtensionPeriod
    Werttyp: DWORD
    Wertdaten: Stunden (dezimal)
    Beschreibung: Dieser DWORD-Wert können Sie die CRL-Gültigkeitsdauer einer angegebenen Anzahl von Stunden zu verlängern. Wenn Sie diesen Wert auf einen Wert ungleich 0 (null) festlegen, ignoriert die Überprüfung von Code für Smartcard-Anmeldungen Zertifizierungsstatus Gültigkeitsdauer Fehler, solange die ZERTIFIKATSSPERRLISTE nicht durch mehr als die Anzahl der abgelaufen ist Stunden angegeben. Diese Erweiterung der Gültigkeitszeitraum gilt nur für CRLs, die während der Auswertung von Zertifikaten verwendet werden, die für die Smartcardanmeldung verwendet werden. Z. B. würde diese Erweiterung anwenden, um ein Zertifikat, das von einer ZERTIFIZIERUNGSSTELLE ausgestellt, der im NTAuth-Speicher aufgefüllt wird und alle Zertifikate, die Teil der Vertrauenskette sind, mit der das Zertifikat NTAuth-Speicher zu überprüfen.
  4. Suchen Sie den folgenden Registrierungsunterschlüssel:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. Im Menü Bearbeiten klicken Sie auf neu , und fügen Sie den folgenden Registrierungseintrag hinzu:

    Wertname: CRLTimeoutPeriod
    Werttyp: DWORD
    Wertdaten: Sekunden (dezimal)
    Beschreibung: Dieser DWORD-Wert können Sie an das Timeoutintervall CRL, um falsche Positivdiagnosen zu verringern. Das Schlüsselverteilungscenter (Key Distribution Center, KDC) übergibt diesen Wert an die Zertifikatsrichtlinie Code überprüfen. Standardmäßig gibt das KDC einen Timeoutwert von 90 Sekunden, auch wenn dieser Registrierungswert nicht festgelegt ist.

Auf Clientcomputern

Windows XP
  1. Starten Sie den Registrierungseditor.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. Im Menü Bearbeiten klicken Sie auf neu , und fügen Sie den folgenden Registrierungseintrag hinzu:

    Wertname: CRLTimeoutPeriod
    Werttyp: DWORD
    Wertdaten: Sekunden (dezimal)
    Beschreibung: Dieser DWORD-Wert können Sie an das Timeoutintervall CRL, um falsche Positivdiagnosen zu verringern. Der Kerberos-Client übergibt diesen Wert an die Zertifikatsrichtlinie Code überprüfen. Standardmäßig gibt der Kerberos-Client einen Timeoutwert von 90 Sekunden, auch wenn dieser Registrierungswert nicht festgelegt ist.
  4. Suchen Sie den folgenden Registrierungsunterschlüssel:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. Im Menü Bearbeiten klicken Sie auf neu , und fügen Sie den folgenden Registrierungseintrag hinzu:

    Wertname: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Werttyp: DWORD
    Daten-Wert: 1
    Beschreibung: Nachdem Sie dieser DWORD-Wert auf 1 festlegen, die Kerberos-Clients (Smartcard-Anmeldung Clients) "die Sperrung unbekannt" Fehler ignoriert, die von einer abgelaufenen CRL verursacht werden.
Windows Server 2003, Windows Vista und Windows Server 2008
  1. Starten Sie den Registrierungseditor.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. Im Menü Bearbeiten klicken Sie auf neu , und fügen Sie den folgenden Registrierungseintrag hinzu:

    Wertname: CRLTimeoutPeriod
    Werttyp: DWORD
    Wertdaten: Sekunden (dezimal)
    Beschreibung: Dieser DWORD-Wert können Sie an das Timeoutintervall CRL, um falsche Positivdiagnosen zu verringern. Der Kerberos-Client übergibt diesen Wert an die Zertifikatsrichtlinie Code überprüfen. Standardmäßig gibt der Kerberos-Client einen Timeoutwert von 90 Sekunden, auch wenn dieser Registrierungswert nicht festgelegt ist.
  4. Suchen Sie den folgenden Registrierungsunterschlüssel:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. Im Menü Bearbeiten klicken Sie auf neu , und fügen Sie den folgenden Registrierungseintrag hinzu:

    Wertname: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Werttyp: DWORD
    Daten-Wert: 1
    Beschreibung: Nachdem Sie dieser DWORD-Wert auf 1 festlegen, die Kerberos-Clients (Smartcard-Anmeldung Clients) "die Sperrung unbekannt" Fehler ignoriert, die von einer abgelaufenen CRL verursacht werden.

Abhilfe

Um dieses Problem zu umgehen, deaktivieren Sie die Richtlinie, die eine Smartcard zum Anmelden benötigt. Gehen Sie folgendermaßen vor um diese Richtlinie zu deaktivieren:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie gpedit.msc ein und klicken Sie dann auf OK .
  2. Unter Richtlinien für Lokaler Computer erweitern Sie Computerkonfiguration , erweitern Sie Windows-Einstellungen und erweitern Sie dann Sicherheitseinstellungen .
  3. Erweitern Sie Lokale Richtlinien , und klicken Sie dann auf Sicherheitsoptionen .
  4. Doppelklicken Sie im rechten Fensterbereich auf interaktive Anmeldung: Smartcard erforderlich .
  5. Klicken Sie auf deaktiviert , und klicken Sie dann auf OK .

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind. Dieses Problem wurde erstmals in Windows Server 2003 Service Pack 2.

Weitere Informationen

Weitere Informationen über PKI und CRL finden Sie in die "Prüfliste: Bereitstellen von Smartcards für die Anmeldung an Windows" Thema auf folgender Website von Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
824684Erläuterung von Standardbegriffen bei Microsoft Softwareupdates

Eigenschaften

Artikel-ID: 887578 - Geändert am: Donnerstag, 4. Dezember 2008 - Version: 7.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Keywords: 
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbcertservices kbppkey kbsmartcard kbwinserv2003presp1fix kbfix kbprb KB887578 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 887578
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com