Vous recevez un message « Ouverture de session échec » lorsque vous utilisez une carte à puce sur un ordinateur Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 887578 - Voir les produits auxquels s'applique cet article

important Cet article contient des informations sur la modification du Registre. Veillez à sauvegarder le Registre avant de le modifier. Vérifiez que vous connaissez comment restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
256986 Description du Registre Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Symptômes

Lorsque vous essayez d'utiliser une carte à puce pour ouvrir une session sur un contrôleur de domaine Microsoft Windows Server 2003, vous ne pouvez pas ouvrir de session et vous pouvez recevoir le message suivant :
Échec de connexion

Cause

Ce problème se produit lorsque la liste de révocation de certificats (CRL) est obsolète et une nouvelle CRL n'est pas disponible. Une infrastructure à clé publique (PKI, Public Key INFRASTRUCTURE) qui est ne fonctionne pas peut provoquer le serveur de distribution de la liste ne pas pour publier une nouvelle CRL. Si une nouvelle CRL n'est pas publiée, les ouvertures de session sur les ordinateurs clients ne sont pas autorisés.

Résolution

Informations sur le service pack

Pour résoudre ce problème, procurez-vous le dernier service pack pour Windows Server 2003. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
889100 Comment obtenir le dernier pack service pour Windows Server 2003

Informations sur le correctif

Un correctif est disponible auprès de Microsoft. Toutefois, ce correctif est conçu pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant ce problème spécifique. Ce correctif peut subir des tests supplémentaires. Par conséquent, si vous n'êtes pas gravement touché par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielles qui contiendra ce correctif.

Si le correctif est disponible pour téléchargement, il y a une section « téléchargement correctif disponible » au début de cet article de base de connaissances. Si cette section n'apparaît pas, contactez le service clientèle Microsoft et de support pour obtenir le correctif.

note Si des problèmes supplémentaires se produisent ou si n'importe quel dépannage est nécessaire, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par ce correctif spécifique. Pour une liste complète des Microsoft client service et support numéros de téléphone ou pour créer une demande de service distincte, reportez-vous au site de Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=support
note L'écran de « téléchargement correctif disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas la langue, il est car un correctif logiciel n'est pas disponible pour cette langue.

Conditions préalables

Aucune condition préalable à l'installation ne sont nécessaires.

Demande de redémarrage

Vous devez redémarrer votre ordinateur après avoir appliqué ce correctif.

Informations sur le remplacement de correctif

Ce correctif ne remplace aucun autre correctif.

Informations de fichier

La version anglaise de ce correctif dispose les attributs de fichier (ou attributs de fichier version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, il est convertie en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire dans l'élément Date et heure du Panneau de configuration.
Windows Server 2003
Versions IA-64
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille de fichierDateHeurePlate-formeSP demandeSuccursale de service
Crypt32.dll5.131.3790.4251,578,49614-Oct-200505:21IA-64AucunRTMQFE
Cryptnet.dll5.131.3790.425160,25614-Oct-200505:21IA-64AucunRTMQFE
Kdcsvc.dll5.2.3790.425590,33614-Oct-200505:21IA-64AucunRTMQFE
Kerberos.dll5.2.3790.425907,26414-Oct-200505:21IA-64AucunRTMQFE
Wcrypt32.dll5.131.3790.425612,86414-Oct-200505:21x 86AucunWOW
Wcryptnet.dll5.131.3790.42561,95214-Oct-200505:21x 86AucunWOW
Wkerberos.dll5.2.3790.425344,06414-Oct-200505:21x 86AucunWOW
Crypt32.dll5.131.3790.25481,759,23214-Oct-200505:21IA-64SERVICE PACK 1SP1QFE
Cryptnet.dll5.131.3790.2548172,54414-Oct-200505:21IA-64SERVICE PACK 1SP1QFE
Kdcsvc.dll5.2.3790.2548613,88814-Oct-200505:21IA-64SERVICE PACK 1SP1QFE
Kerberos.dll5.2.3790.2548963,07214-Oct-200505:21IA-64SERVICE PACK 1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505:21x 86SERVICE PACK 1WOW
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505:21x 86SERVICE PACK 1WOW
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505:21x 86SERVICE PACK 1WOW
versions 64 x
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille de fichierDateHeurePlate-formeSP demandeSuccursale de service
Crypt32.dll5.131.3790.25481,428,99214-Oct-200505:21x 64SERVICE PACK 1SP1QFE
Cryptnet.dll5.131.3790.2548111,10414-Oct-200505:21x 64SERVICE PACK 1SP1QFE
Kdcsvc.dll5.2.3790.2548419,84014-Oct-200505:21x 64SERVICE PACK 1SP1QFE
Kerberos.dll5.2.3790.2548720,89614-Oct-200505:21x 64SERVICE PACK 1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505:21x 86SERVICE PACK 1WOW
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505:21x 86SERVICE PACK 1WOW
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505:21x 86SERVICE PACK 1WOW
x 86 versions
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille de fichierDateHeurePlate-formeSP demandeSuccursale de service
Crypt32.dll5.131.3790.425612,86414-Oct-200504:10x 86AucunRTMQFE
Cryptnet.dll5.131.3790.42561,95214-Oct-200504:10x 86AucunRTMQFE
Kdcsvc.dll5.2.3790.425227,84014-Oct-200504:10x 86Aucun

Après avoir installé le correctif logiciel

important Cette section, la méthode ou la tâche, contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si modification incorrecte du Registre. Par conséquent, assurez-vous que ces étapes avec soin. Pour la protection supplémentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows

Si l'autorité de certification (CA) est indisponible pour publier une nouvelle CRL après avoir installé ce correctif, vous pouvez utiliser les clés de Registre pour étendre la période de validité de la liste de révocation de CERTIFICATS. Pour ce faire, procédez comme suit.

Sur les contrôleurs de domaine

  1. Démarrez l'Éditeur du Registre.
  2. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. Dans le menu Edition , cliquez sur Nouveau et puis ajoutez l'entrée de Registre suivante :

    Nom de la valeur : CRLValidityExtensionPeriod
    Valeur de type : DWORD
    Valeur de données : heures (décimal)
    Vous Description : cette valeur DWORD permet d'étendre la période de validité de la liste de révocation de CERTIFICATS par un nombre spécifié d'heures. Lorsque vous définissez cette valeur sur une valeur différente de zéro, l'état du certificat code pour les ouvertures de session de carte à puce de vérification ignore toute validité période erreurs tant que la liste de révocation de CERTIFICATS n'est pas expiré en plus que le nombre de spécifiée heures. Cette extension de la période de validité s'applique uniquement aux CRL est utilisés lors de l'évaluation des certificats qui sont utilisés pour une ouverture de session par carte à puce. Par exemple, cette extension s'appliquer à un certificat émis par une autorité de CERTIFICATION qui est chargée dans le magasin NTAuth de Microsoft et pour les certificats qui font partie de la chaîne de confiance qui sert à vérifier le certificat magasin NTAuth de Microsoft.
  4. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. Dans le menu Edition , cliquez sur Nouveau et puis ajoutez l'entrée de Registre suivante :

    Nom de la valeur : CRLTimeoutPeriod
    Valeur de type : DWORD
    Données de la valeur : seconds (décimal)
    Description : cette valeur DWORD vous permettent de spécifier la période Délai d'expiration de la liste de révocation de CERTIFICATS pour réduire les faux positifs. Le centre de distribution de clés (KDC) transmet cette valeur à la stratégie de certificat de code de vérification. Par défaut, le contrôleur de domaine KERBEROS spécifie une valeur de délai d'attente de 90 secondes même si cette valeur de Registre n'est pas définie.

Sur les ordinateurs clients

Windows XP
  1. Démarrez l'Éditeur du Registre.
  2. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. Dans le menu Edition , cliquez sur Nouveau et puis ajoutez l'entrée de Registre suivante :

    Nom de la valeur : CRLTimeoutPeriod
    Valeur de type : DWORD
    Données de la valeur : seconds (décimal)
    Description : cette valeur DWORD vous permettent de spécifier la période Délai d'expiration de la liste de révocation de CERTIFICATS pour réduire les faux positifs. Le client Kerberos transmet cette valeur à la stratégie de certificat de code de vérification. Par défaut, le client Kerberos spécifie une valeur de délai d'attente de 90 secondes même si cette valeur de Registre n'est pas définie.
  4. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. Dans le menu Edition , cliquez sur Nouveau et puis ajoutez l'entrée de Registre suivante :

    Nom de la valeur : UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Valeur de type : DWORD
    Valeur de données: 1
    Description : après que vous définissez cette valeur DWORD à 1, les clients Kerberos (carte à puce des clients d'ouverture de session) va ignorer « révocation inconnu » erreurs provoqués par une CRL arrivés à expiration.
Windows Server 2003, Windows Vista et Windows Server 2008
  1. Démarrez l'Éditeur du Registre.
  2. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. Dans le menu Edition , cliquez sur Nouveau et puis ajoutez l'entrée de Registre suivante :

    Nom de la valeur : CRLTimeoutPeriod
    Valeur de type : DWORD
    Données de la valeur : seconds (décimal)
    Description : cette valeur DWORD vous permettent de spécifier la période Délai d'expiration de la liste de révocation de CERTIFICATS pour réduire les faux positifs. Le client Kerberos transmet cette valeur à la stratégie de certificat de code de vérification. Par défaut, le client Kerberos spécifie une valeur de délai d'attente de 90 secondes même si cette valeur de Registre n'est pas définie.
  4. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. Dans le menu Edition , cliquez sur Nouveau et puis ajoutez l'entrée de Registre suivante :

    Nom de la valeur : UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Valeur de type : DWORD
    Valeur de données: 1
    Description : après que vous définissez cette valeur DWORD à 1, les clients Kerberos (carte à puce des clients d'ouverture de session) va ignorer « révocation inconnu » erreurs provoqués par une CRL arrivés à expiration.

Contournement

Pour contourner ce problème, désactivez la stratégie qui nécessite une carte à puce pour ouvrir une session. Pour désactiver cette stratégie, procédez comme suit :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez gpedit.msc et cliquez sur OK .
  2. Sous stratégie ordinateur local , développez Configuration ordinateur , développez Paramètres Windows et ensuite développez Paramètres de sécurité .
  3. Développez Stratégies locales , puis cliquez sur Options de sécurité .
  4. Dans le volet droit, double-cliquez sur Ouverture de session interactive : nécessite la carte à puce .
  5. Cliquez sur désactivé , puis cliquez sur OK .

Statut

Microsoft a confirmé que c'est un problème dans les produits Microsoft répertoriés dans la section « S'applique à ». Ce problème a été corrigé dans Windows Server 2003 Service Pack 2.

Plus d'informations

Pour plus d'informations sur infrastructure de clé publique (PKI) et de la liste de révocation de CERTIFICATS, consultez le " liste de vérification : déploiement de cartes à puce pour ouvrir une session Windows » rubrique d'aide sur le site Web de Microsoft suivant :
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
824684 Description de la terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft

Propriétés

Numéro d'article: 887578 - Dernière mise à jour: jeudi 4 décembre 2008 - Version: 7.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Mots-clés : 
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbcertservices kbppkey kbsmartcard kbwinserv2003presp1fix kbfix kbprb KB887578 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 887578
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com