Recibe un mensaje "Error de inicio de sesión" cuando usa una tarjeta inteligente en un equipo basado en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 887578 - Ver los productos a los que se aplica este artículo

importante Este artículo contiene información acerca de cómo modificar el registro. Compruebe que ha hecho una copia de seguridad del Registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Síntomas

Cuando intenta utilizar una tarjeta inteligente para iniciar sesión en un controlador de dominio de Microsoft Windows Server 2003, no puede iniciar sesión y puede recibir el mensaje siguiente:
Error de inicio

Causa

Este problema se produce cuando la lista de revocación de certificados (CRL) no está actualizado y una nueva lista CRL no está disponible. Una infraestructura de claves públicas (PKI) que es no funciona puede provocar que el servidor de distribución de la CRL no para publicar una CRL nueva. Si no se publica una CRL nueva, no se permiten los inicios de sesión a los equipos cliente.

Solución

Información de Service Pack

Para resolver este problema, obtenga el service pack más reciente para Windows Server 2003. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
889100Cómo obtener la versión más reciente del Service Pack para Windows Server 2003

Información de revisiones

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a los sistemas que experimenten este problema específico. Esta revisión podría sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la siguiente actualización de software que contenga este hotfix.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponibles" en la parte superior de este artículo de Knowledge Base. Póngase en contacto si no aparece en esta sección, con los Microsoft cliente Servicios de y soporte técnico para obtener la revisión de.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

No se necesita ningún requisito previo.

Requisito de reinicio

Una vez aplicado este hotfix, debe reiniciar el equipo.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información de archivo

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria el elemento fecha y hora en el panel de control.
Windows Server 2003
Versiones basadas en IA-64
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño de archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Crypt32.dll5.131.3790.4251,578,49614-Oct-200505: 21IA-64NingunoRTMQFE
Cryptnet.dll5.131.3790.425160.25614-Oct-200505: 21IA-64NingunoRTMQFE
Kdcsvc.dll5.2.3790.425590.33614-Oct-200505: 21IA-64NingunoRTMQFE
Kerberos.dll5.2.3790.425907,26414-Oct-200505: 21IA-64NingunoRTMQFE
Wcrypt32.dll5.131.3790.425612,86414-Oct-200505: 21x 86NingunoGUAU
Wcryptnet.dll5.131.3790.42561,95214-Oct-200505: 21x 86NingunoGUAU
Wkerberos.dll5.2.3790.425344,06414-Oct-200505: 21x 86NingunoGUAU
Crypt32.dll5.131.3790.25481,759,23214-Oct-200505: 21IA-64SP1SP1QFE
Cryptnet.dll5.131.3790.2548172,54414-Oct-200505: 21IA-64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548613.88814-Oct-200505: 21IA-64SP1SP1QFE
Kerberos.dll5.2.3790.2548963,07214-Oct-200505: 21IA-64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505: 21x 86SP1GUAU
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505: 21x 86SP1GUAU
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505: 21x 86SP1GUAU
versiones de 64 bits
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño de archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Crypt32.dll5.131.3790.25481,428,99214-Oct-200505: 21x 64SP1SP1QFE
Cryptnet.dll5.131.3790.2548111,10414-Oct-200505: 21x 64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548419,84014-Oct-200505: 21x 64SP1SP1QFE
Kerberos.dll5.2.3790.2548720,89614-Oct-200505: 21x 64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505: 21x 86SP1GUAU
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505: 21x 86SP1GUAU
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505: 21x 86SP1GUAU
x 86
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño de archivoFechaTiempoPlataformaRequisito de SPTipo de servicio
Crypt32.dll5.131.3790.425612,86414-Oct-200504: 10x 86NingunoRTMQFE
Cryptnet.dll5.131.3790.42561,95214-Oct-200504: 10x 86NingunoRTMQFE
Kdcsvc.dll5.2.3790.425227.84014-Oct-200504: 10x 86Ninguno

Después de instalar la revisión

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows

Si la entidad emisora de certificados (CA) no está disponible para publicar una CRL nueva después de instalar este hotfix, puede utilizar las claves del registro para ampliar el período de validez de la CRL. Para ello, siga estos pasos.

En los controladores de dominio

  1. Inicie el Editor del Registro.
  2. Busque la siguiente subclave del Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. En el menú Edición , haga clic en nuevo y, a continuación, agregue la entrada del Registro siguiente:

    Nombre de valor: CRLValidityExtensionPeriod
    Tipo de valor: DWORD
    Información del valor: Horas (decimal)
    Descripción: Este valor DWORD permite ampliar el período de validez CRL por un número especificado de horas. Cuando este valor se establece un valor distinto de cero, el estado de certificado comprobación de código para inicios de sesión de tarjeta inteligente omite cualquier período de validez errores siempre que no ha caducado la CRL más que el número de horas especificados. Esta extensión del período de validez sólo se aplica a listas CRL que se utilizan durante la evaluación de los certificados que se utilizan para inicio de sesión con tarjeta inteligente. Por ejemplo, podría aplicar esta extensión para un certificado emitido por una CA que se rellena en el almacén NTAuth y los certificados que forman parte de la cadena de confianza que se utiliza para comprobar el certificado del almacén NTAuth.
  4. Busque la siguiente subclave del Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. En el menú Edición , haga clic en nuevo y, a continuación, agregue la entrada del Registro siguiente:

    Nombre de valor: CRLTimeoutPeriod
    Tipo de valor: DWORD
    Información del valor: Segundos (decimal)
    Descripción: Este valor DWORD permite especificar el tiempo de espera CRL para reducir los falsos positivos. El Centro de distribución de claves (KDC) pasa este valor a la directiva de código de comprobación de certificados. De forma predeterminada, el KDC especifica un valor de tiempo de espera de 90 segundos, incluso si no se establece este valor del registro.

En los equipos cliente

Windows XP
  1. Inicie el Editor del Registro.
  2. Busque la siguiente subclave del Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. En el menú Edición , haga clic en nuevo y, a continuación, agregue la entrada del Registro siguiente:

    Nombre de valor: CRLTimeoutPeriod
    Tipo de valor: DWORD
    Información del valor: Segundos (decimal)
    Descripción: Este valor DWORD permite especificar el tiempo de espera CRL para reducir los falsos positivos. El cliente Kerberos pasa este valor a la directiva de certificado código de comprobación. De forma predeterminada, el cliente Kerberos especifica un valor de tiempo de espera de 90 segundos, incluso si no se establece este valor del registro.
  4. Busque la siguiente subclave del Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. En el menú Edición , haga clic en nuevo y, a continuación, agregue la entrada del Registro siguiente:

    Nombre de valor: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Tipo de valor: DWORD
    Datos del valor: 1
    Descripción: Después de que establece este valor DWORD en 1, los clientes de Kerberos (clientes de inicio de sesión de tarjeta inteligente) omitirá "revocación desconocido" errores causados por una lista CRL ha caducado.
Windows Server 2003, Windows Vista y Windows Server 2008
  1. Inicie el Editor del Registro.
  2. Busque la siguiente subclave del Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. En el menú Edición , haga clic en nuevo y, a continuación, agregue la entrada del Registro siguiente:

    Nombre de valor: CRLTimeoutPeriod
    Tipo de valor: DWORD
    Información del valor: Segundos (decimal)
    Descripción: Este valor DWORD permite especificar el tiempo de espera CRL para reducir los falsos positivos. El cliente Kerberos pasa este valor a la directiva de certificado código de comprobación. De forma predeterminada, el cliente Kerberos especifica un valor de tiempo de espera de 90 segundos, incluso si no se establece este valor del registro.
  4. Busque la siguiente subclave del Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. En el menú Edición , haga clic en nuevo y, a continuación, agregue la entrada del Registro siguiente:

    Nombre de valor: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Tipo de valor: DWORD
    Datos del valor: 1
    Descripción: Después de que establece este valor DWORD en 1, los clientes de Kerberos (clientes de inicio de sesión de tarjeta inteligente) omitirá "revocación desconocido" errores causados por una lista CRL ha caducado.

Solución

Para evitar este problema, deshabilite la directiva que requiere una tarjeta inteligente para iniciar sesión. Para deshabilitar esta directiva, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba gpedit.msc y haga clic en Aceptar .
  2. En Directiva de equipo local , expanda Configuración del equipo , expanda Configuración de Windows y, a continuación, expanda Configuración de seguridad .
  3. Expanda Directivas locales y, a continuación, haga clic en Opciones de seguridad .
  4. En el panel derecho, haga doble clic en Inicio de sesión interactivo: requerir tarjeta inteligente .
  5. Haga clic en deshabilitado y, a continuación, haga clic en Aceptar .

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:". Este problema se corrigió por primera vez en Windows Server 2003 Service Pack 2.

Más información

Para información adicional acerca de PKI y CRL, consulte la "lista de comprobación: implementar tarjetas inteligentes para iniciar una sesión en Windows" el tema de Ayuda en el siguiente sitio Web de Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684Descripción de la terminología estándar utilizada para describir las actualizaciones de software de Microsoft

Propiedades

Id. de artículo: 887578 - Última revisión: jueves, 04 de diciembre de 2008 - Versión: 7.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Palabras clave: 
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbcertservices kbppkey kbsmartcard kbwinserv2003presp1fix kbfix kbprb KB887578 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 887578

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com