При использовании смарт-карт на компьютере под управлением Windows Server 2003 появляется сообщение "Входа в систему ошибка"

Переводы статьи Переводы статьи
Код статьи: 887578 - Vizualiza?i produsele pentru care se aplic? acest articol.

Существенный:Статья содержит сведения об изменении реестра. Перед изменением реестра необходимо создать его резервную копию.. и изучить процедуру его восстановления.. Для получения дополнительных сведений о способах резервного копирования, восстановления и внесения изменений в реестр, обратитесь к следующей статье Microsoft Knowledge Base::
256986Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Проблема

При попытке входа в систему на контроллере домена Microsoft Windows Server 2003 с помощью смарт-карты, не может войти в систему, и появляется следующее сообщение:
Отказ входа в систему:

Причина

Данная проблема возникает, когда список отзыва сертификатов (CRL) устарела и новый список отзыва Сертификатов недоступен. Инфраструктура открытого ключа (PKI), это не работает может привести к сервера распространения списка отзыва Сертификатов не для публикации нового списка CRL. Если не опубликован новый список, вход в систему на клиентских компьютерах не допускаются.

Решение

Сведения о пакете обновления

Чтобы решить эту проблему, получите последний пакет обновления для Windows Server 2003. Для получения дополнительных сведений обратитесь к следующей статье Базы Знаний Майкрософт::
889100Получение последнего пакета обновления для Windows Server 2003

Сведения об исправлении

Вам доступно исправление от корпорации Майкрософт.. Это исправление предназначено для устранения проблемы, описанной в этой статье.. Его необходимо применять только в тех системах, в которых наблюдается данная проблема.. Исправление может проходить дополнительное тестирование.. Таким образом эта проблема не является постоянной для вас, мы рекомендуем дождаться следующего автоматического обновления программного обеспечения, содержащего это исправление..

Если исправление доступно для загрузки, имеется раздел «Доступные загрузки» в верхней части этой статьи базы знаний.. Если этот раздел не отображается, обратитесь в Службу поддержки клиентов Microsoft для получения исправления..

Примечание.Другие проблемы или если требуется устранить неполадки, возможно, потребуется создать отдельный запрос. Дополнительные услуги по технической поддержке, не связанные с данным исправлением, оплачиваются вами дополнительно.. Полный список телефонов поддержки и обслуживания клиентов Microsoft или информацию по созданию отдельного запроса на обслуживание вы можете найти на веб-сайте Майкрософт::
http://support.microsoft.com/contactus/?ws=support
Примечание.В форме "Исправление доступно для загрузки" отображаются языки, для которых доступно исправление. Если язык не отображается, это значит, что исправление не доступно для данного языка..

Предвартельные требования

Предварительные требования отсутствуют..

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить..

Сведения о заменяемых исправлениях

Это исправление не заменяет других исправлений..

СВЕДЕНИЯ О ФАЙЛАХ

Английская версия исправления содержит версии файлов, приведенные в следующей таблице (или более поздние).. Дата и время для файлов указаны во всеобщем скоординированном времени (UTC).. При просмотре сведений о файле, время изменяется на местное.. Чтобы узнать разницу между временем по Гринвичу и местным временем,Часовой поясна вкладке элемента «Дата и время» панели управления.
Windows Server 2003:
IA-64-разрядных версий
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформаПакет обновленийНаправление поддержки
Crypt32.dll5.131.3790.4251,578,49614 Октября 2005 г.05: 21IA-64нетRTMQFE
Cryptnet.dll5.131.3790.425160,25614 Октября 2005 г.05: 21IA-64нетRTMQFE
Kdcsvc.dll5.2.3790.425590,33614 Октября 2005 г.05: 21IA-64нетRTMQFE
Kerberos.dll5.2.3790.425907,26414 Октября 2005 г.05: 21IA-64нетRTMQFE
Wcrypt32.dll5.131.3790.425612,86414 Октября 2005 г.05: 21X86нетWOW
Wcryptnet.dll5.131.3790.42561,95214 Октября 2005 г.05: 21X86нетWOW
Wkerberos.dll5.2.3790.425344,06414 Октября 2005 г.05: 21X86нетWOW
Crypt32.dll5.131.3790.25481,759,23214 Октября 2005 г.05: 21IA-64SP1SP1QFE
Cryptnet.dll5.131.3790.2548172,54414 Октября 2005 г.05: 21IA-64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548613,88814 Октября 2005 г.05: 21IA-64SP1SP1QFE
Kerberos.dll5.2.3790.2548963,07214 Октября 2005 г.05: 21IA-64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814 Октября 2005 г.05: 21X86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414 Октября 2005 г.05: 21X86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014 Октября 2005 г.05: 21X86SP1WOW
64-разрядные версии
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформаПакет обновленийНаправление поддержки
Crypt32.dll5.131.3790.25481,428,99214 Октября 2005 г.05: 21X64SP1SP1QFE
Cryptnet.dll5.131.3790.2548111,10414 Октября 2005 г.05: 21X64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548419,84014 Октября 2005 г.05: 21X64SP1SP1QFE
Kerberos.dll5.2.3790.2548720,89614 Октября 2005 г.05: 21X64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814 Октября 2005 г.05: 21X86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414 Октября 2005 г.05: 21X86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014 Октября 2005 г.05: 21X86SP1WOW
x 86-разрядных версий
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформаПакет обновленийНаправление поддержки
Crypt32.dll5.131.3790.425612,86414 Октября 2005 г.04: 10X86нетRTMQFE
Cryptnet.dll5.131.3790.42561,95214 Октября 2005 г.04: 10X86нетRTMQFE
Kdcsvc.dll5.2.3790.425227,84014 Октября 2005 г.04: 10X86нет

После установки исправления

Существенный:Этот раздел, метод или задачу включены действия по инструкции по изменению реестра. Однако, серьезные проблемы могут возникнуть в случае некорректного изменения реестра.. Поэтому при выполнении этих действий рекомендуется строго соблюдать инструкции.. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра.. В этом случае при возникновении неполадок реестр можно будет восстановить.. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт::
322756Создание резервных копий и восстановление реестра Windows

Если центр сертификации (ЦС) недоступна для публикации нового списка CRL, после установки данного исправления, можно использовать разделы реестра, чтобы продлить срок действия списка отзыва Сертификатов. Выполните следующие действия:.

На контроллерах домена

  1. Откройте редактор реестра..
  2. Найдите следующий раздел реестра::
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. в менюВ файлевыберите пунктСОЗДАТЬ., а затем добавьте следующую запись реестра:

    Значение имени: CRLValidityExtensionPeriod
    Значение типа: DWORD
    Данные значения: Время (в десятичном формате)
    Описание: Значение DWORD позволяет продлить срок действия CRL указанное число часов. Если значение ненулевое значение, состояние сертификата, проверка кода для смарт-карты входа игнорирует срок действия всех ошибок до тех пор, пока список отзыва Сертификатов не просрочен, больше, чем количество указанное количество часов. Это расширение срока применяется только для списков отзыва сертификатов, которые используются во время оценки сертификаты, используемые для входа на смарт-карты. Например это расширение будет применять сертификат, выданный центром сертификации, которая содержит в хранилище NTAuth и все сертификаты, которые являются частью цепочку доверия, который используется для проверки сертификата хранилище NTAuth.
  4. Найдите следующий раздел реестра::
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. в менюВ файлевыберите пунктСОЗДАТЬ., а затем добавьте следующую запись реестра:

    Значение имени: CRLTimeoutPeriod
    Значение типа: DWORD
    Данные значения: Секунд (в десятичном формате)
    Описание: Значение DWORD позволяет указать период ожидания CRL для уменьшения ложных положительных результатов. The Key Distribution Center (KDC) passes this value to the certificate policy checking code. By default, the KDC specifies a time-out value of 90 seconds even if this registry value is not set.

On client computers

Windows XP
  1. Start Registry editor.
  2. Найдите следующий раздел реестра::
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. в менюВ файлевыберите пунктСОЗДАТЬ., and then add the following registry entry:

    Value Name: CRLTimeoutPeriod
    Value Type: DWORD
    Value Data: Seconds (Decimal)
    Description: This DWORD value lets you to specify the CRL time-out period to reduce false positives. The Kerberos client passes this value to the certificate policy checking code. By default, the Kerberos client specifies a time-out value of 90 seconds even if this registry value is not set.
  4. Найдите следующий раздел реестра::
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. в менюВ файлевыберите пунктСОЗДАТЬ., and then add the following registry entry:

    Value Name: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Value Type: DWORD
    Value Data: 1
    Description: After you set this DWORD value to 1, the Kerberos clients (Smartcard logon clients) will ignore "revocation unknown" errors that are caused by an expired CRL.
Windows Server 2003, Windows Vista, and Windows Server 2008
  1. Откройте редактор реестра..
  2. Найдите следующий раздел реестра::
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. в менюВ файлевыберите пунктСОЗДАТЬ., and then add the following registry entry:

    Value Name: CRLTimeoutPeriod
    Value Type: DWORD
    Value Data: Seconds (Decimal)
    Description: This DWORD value lets you to specify the CRL time-out period to reduce false positives. The Kerberos client passes this value to the certificate policy checking code. By default, the Kerberos client specifies a time-out value of 90 seconds even if this registry value is not set.
  4. Найдите следующий раздел реестра::
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. в менюВ файлевыберите пунктСОЗДАТЬ., and then add the following registry entry:

    Value Name: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Value Type: DWORD
    Value Data: 1
    Description: After you set this DWORD value to 1, the Kerberos clients (Smartcard logon clients) will ignore "revocation unknown" errors that are caused by an expired CRL.

Временное решение

To work around this problem, disable the policy that requires a smart card to log on. To disable this policy, follow these steps:
  1. затем –START ::затем –ВыполнитьTYPE :gpedit.mscи выберите командуOk..
  2. Из спискаПолитика «Локальный компьютер»expandКонфигурация компьютераexpandWindows Settings, а затем разверните узелSecurity Settings.
  3. expandЛокальные политикии выберите командуПараметры безопасности.
  4. В правой области дважды щелкните значокInteractive logon: Require smart card.
  5. затем –disabledи выберите командуOk..

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Майкрософт, перечисленных в разделе «Применяется к».. This problem was first corrected in Windows Server 2003 Service Pack 2.

Дополнительная информация

For additional information about PKI and CRL, see the "Checklist: Deploying smart cards for logging on to Windows" Help topic on the following Microsoft Web site:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true
Для получения дополнительных сведений обратитесь к следующей статье Базы Знаний Майкрософт::
824684Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

Свойства

Код статьи: 887578 - Последний отзыв: 26 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Ключевые слова: 
kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbcertservices kbppkey kbsmartcard kbwinserv2003presp1fix kbfix kbprb kbmt KB887578 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:887578

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com