Você recebe uma mensagem "Falha de logon" quando você usa um cartão inteligente em um computador com Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 887578 - Exibir os produtos aos quais esse artigo se aplica.

importante Este artigo contém informações sobre como modificar o registro. Certifique-se de fazer backup do registro antes de modificá-lo. Certifique-se que você sabe como restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
256986Descrição do registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Quando você tenta usar um cartão inteligente para fazer logon em um controlador de domínio Microsoft Windows Server 2003, não é possível fazer logon e você receberá a seguinte mensagem:
Falha de logon

Causa

Esse problema ocorre quando a lista de certificados revogados (CRL) está desatualizada e uma nova CRL não está disponível. Uma infra-estrutura de chave pública (PKI) que está trabalhando não pode causar o servidor de distribuição da CRL não para publicar uma nova lista. Se uma nova lista não for publicada, não são permitidos os logons em computadores cliente.

Resolução

Informações sobre o service pack

Para resolver esse problema, obtenha o service pack mais recente para o Windows Server 2003. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
889100Como obter o service pack mais recente para o Windows Server 2003

Informações sobre o hotfix

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico. Esta correcção poderá submetida a testes adicionais. Portanto, se você não tiver sido gravemente afetado por esse problema, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo do Knowledge Base. Se esta seção não for exibida, contate o atendimento e suporte para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Não pré-requisitos são necessários.

Requisitos de reinicialização

Reinicie o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix tem atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas na hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.
Windows Server 2003
Versões com base em IA-64
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaSP requisitoRamificação do serviço
Crypt32.dll5.131.3790.4251,578,49614 De outubro de 200505: 21IA-64NenhumRTMQFE
Cryptnet.dll5.131.3790.425160,25614 De outubro de 200505: 21IA-64NenhumRTMQFE
Kdcsvc.dll5.2.3790.425590.33614 De outubro de 200505: 21IA-64NenhumRTMQFE
Kerberos.dll5.2.3790.425907,26414 De outubro de 200505: 21IA-64NenhumRTMQFE
Wcrypt32.dll5.131.3790.425612,86414 De outubro de 200505: 21x 86NenhumUAU
Wcryptnet.dll5.131.3790.42561,95214 De outubro de 200505: 21x 86NenhumUAU
Wkerberos.dll5.2.3790.425344,06414 De outubro de 200505: 21x 86NenhumUAU
Crypt32.dll5.131.3790.25481,759,23214 De outubro de 200505: 21IA-64SP1SP1QFE
Cryptnet.dll5.131.3790.2548172.54414 De outubro de 200505: 21IA-64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548613.88814 De outubro de 200505: 21IA-64SP1SP1QFE
Kerberos.dll5.2.3790.2548963,07214 De outubro de 200505: 21IA-64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814 De outubro de 200505: 21x 86SP1UAU
Wcryptnet.dll5.131.3790.254862.46414 De outubro de 200505: 21x 86SP1UAU
Wkerberos.dll5.2.3790.2548350,72014 De outubro de 200505: 21x 86SP1UAU
versões com base em 64 x
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaSP requisitoRamificação do serviço
Crypt32.dll5.131.3790.25481,428,99214 De outubro de 200505: 21x 64SP1SP1QFE
Cryptnet.dll5.131.3790.2548111,10414 De outubro de 200505: 21x 64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548419,84014 De outubro de 200505: 21x 64SP1SP1QFE
Kerberos.dll5.2.3790.2548720,89614 De outubro de 200505: 21x 64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814 De outubro de 200505: 21x 86SP1UAU
Wcryptnet.dll5.131.3790.254862.46414 De outubro de 200505: 21x 86SP1UAU
Wkerberos.dll5.2.3790.2548350,72014 De outubro de 200505: 21x 86SP1UAU
versões com base em 86 x
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaSP requisitoRamificação do serviço
Crypt32.dll5.131.3790.425612,86414 De outubro de 200504: 10x 86NenhumRTMQFE
Cryptnet.dll5.131.3790.42561,95214 De outubro de 200504: 10x 86NenhumRTMQFE
Kdcsvc.dll5.2.3790.425227,84014 De outubro de 200504: 10x 86Nenhum

Depois de instalar o hotfix

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows

Se a autoridade de certificação (CA) não estiver disponível para publicar uma nova lista depois de instalar esse hotfix, você pode usar chaves do Registro para estender o período de validade da CRL. Para fazer isso, siga estas etapas.

Em controladores de domínio

  1. Inicie o Editor do Registro.
  2. Localize a seguinte subchave do Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. No menu Editar , clique em novo e, em seguida, adicione a seguinte entrada do Registro:

    Nome do valor: CRLValidityExtensionPeriod
    Tipo de valor: DWORD
    Dados do valor: Horas (decimal)
    Descrição: Este valor DWORD permite estender o período de validade da CRL por um número de horas especificado. Quando você definir esse valor como um valor diferente de zero, o status do certificado de verificação de código para logons com cartão inteligente ignora qualquer período de validade erros desde que a CRL não expirou por mais do que o número de especificado horas. Essa extensão do período de validade se aplica somente a CRLs que são usadas durante a avaliação de certificados que são usadas para logon de cartão inteligente. Por exemplo, essa extensão deve aplicar a um certificado é emitido por uma autoridade de certificação que estiver preenchida no armazenamento NTAuth e para qualquer certificados que fazem parte da cadeia de confiança é usada para verificar o certificado do armazenamento NTAuth.
  4. Localize a seguinte subchave do Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. No menu Editar , clique em novo e, em seguida, adicione a seguinte entrada do Registro:

    Nome do valor: CRLTimeoutPeriod
    Tipo de valor: DWORD
    Dados do valor: Segundos (decimal)
    Descrição: Este valor DWORD permite que você especificar o período de tempo limite CRL para reduzir os falsos positivos. Centro de distribuição de chaves (KDC) passa esse valor para a diretiva de certificado código de verificação. Por padrão, o KDC Especifica um valor de tempo limite de 90 segundos, mesmo se esse valor do Registro não estiver definido.

Em computadores cliente

Windows XP
  1. Inicie o editor do Registro.
  2. Localize a seguinte subchave do Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. No menu Editar , clique em novo e, em seguida, adicione a seguinte entrada do Registro:

    Nome do valor: CRLTimeoutPeriod
    Tipo de valor: DWORD
    Dados do valor: Segundos (decimal)
    Descrição: Este valor DWORD permite que você especificar o período de tempo limite CRL para reduzir os falsos positivos. O cliente Kerberos passa esse valor para a diretiva de certificado código de verificação. Por padrão, o cliente Kerberos especifica um valor de tempo limite de 90 segundos, mesmo se esse valor do Registro não estiver definido.
  4. Localize a seguinte subchave do Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. No menu Editar , clique em novo e, em seguida, adicione a seguinte entrada do Registro:

    Nome do valor: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Tipo de valor: DWORD
    Valor de dados: 1
    Descrição: Após você definir esse valor DWORD como 1, os clientes do Kerberos (clientes de logon de cartão inteligente) irão ignorar erros de "revogação desconhecido" que são causados por uma CRL expirou.
Windows Server 2003, Windows Vista e Windows Server 2008
  1. Inicie o Editor do Registro.
  2. Localize a seguinte subchave do Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. No menu Editar , clique em novo e, em seguida, adicione a seguinte entrada do Registro:

    Nome do valor: CRLTimeoutPeriod
    Tipo de valor: DWORD
    Dados do valor: Segundos (decimal)
    Descrição: Este valor DWORD permite que você especificar o período de tempo limite CRL para reduzir os falsos positivos. O cliente Kerberos passa esse valor para a diretiva de certificado código de verificação. Por padrão, o cliente Kerberos especifica um valor de tempo limite de 90 segundos, mesmo se esse valor do Registro não estiver definido.
  4. Localize a seguinte subchave do Registro:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. No menu Editar , clique em novo e, em seguida, adicione a seguinte entrada do Registro:

    Nome do valor: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Tipo de valor: DWORD
    Valor de dados: 1
    Descrição: Após você definir esse valor DWORD como 1, os clientes do Kerberos (clientes de logon de cartão inteligente) irão ignorar erros de "revogação desconhecido" que são causados por uma CRL expirou.

Como Contornar

Para contornar este problema, desative a diretiva que exija um cartão inteligente para logon. Para desativar esta diretiva, execute essas etapas:
  1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK .
  2. Em Diretiva computador local , expanda Configuração do computador , expanda Configurações do Windows e, em seguida, expanda Configurações de segurança .
  3. Expanda Diretivas locais e clique em Opções de segurança .
  4. No painel direito, clique duas vezes em logon interativo: requer cartão inteligente .
  5. Clique em desativado e, em seguida, clique em OK .

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a". Esse problema foi corrigido primeiro no Windows Server 2003 Service Pack 2.

Mais Informações

Para obter informações adicionais sobre PKI e da CRL, consulte o "lista de verificação: Implantando cartões inteligentes para efetuar logon no Windows" tópico da Ajuda no site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684Descrição da terminologia padrão que é usada para descrever as atualizações de software

Propriedades

ID do artigo: 887578 - Última revisão: quinta-feira, 4 de dezembro de 2008 - Revisão: 7.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Palavras-chave: 
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbcertservices kbppkey kbsmartcard kbwinserv2003presp1fix kbfix kbprb KB887578 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 887578

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com