当您在一台基于 Windows Server 2003 的计算机上使用智能卡时,您会收到"登录失败"消息

文章翻译 文章翻译
文章编号: 887578 - 查看本文应用于的产品

重要本文包含有关如何修改注册表的信息。请确保您对其进行修改之前备份注册表。请确保您知道如何还原注册表发生问题。有关如何备份、 还原,以及修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986在 Microsoft Windows 注册表的说明
展开全部 | 关闭全部

本文内容

症状

试图使用智能卡登录到 Microsoft Windows Server 2003 的域控制器时您将无法登录,并且您可能会收到以下消息:
登录失败

原因

出现此问题时证书吊销列表 (CRL) 已过时,并且新的 CRL 不可用。公钥基础结构 (PKI),是无法正常工作可能会导致的不是为发布新 CRL CRL 分发服务器。如果不发布新的 CRL,时不允许登录到客户端计算机。

解决方案

服务包信息

若要解决此问题,获得最新的 service pack,Windows Server 2003 的。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
889100如何获取最新的 service pack,Windows Server 2003 的

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。此修补程序可能会接受进一步的测试。因此,如果此问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

是否可供下载此修补程序没有"提供修补程序下载"部分中,此知识库文章的顶部。如果不会显示此部分,请联系 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

需要任何先决条件不。

重新启动要求

应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。 日期和时间对这些文件列出在协调世界时 (UTC)。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间项中的 时区 选项卡。
Windows 2003 Server
基于 IA x64 版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Crypt32.dll5.131.3790.4251,578,4962005 年十月 14 日05: 21IA 64RTMQFE
Cryptnet.dll5.131.3790.425160,2562005 年十月 14 日05: 21IA 64RTMQFE
Kdcsvc.dll5.2.3790.425590,3362005 年十月 14 日05: 21IA 64RTMQFE
Kerberos.dll5.2.3790.425907,2642005 年十月 14 日05: 21IA 64RTMQFE
Wcrypt32.dll5.131.3790.425612,8642005 年十月 14 日05: 21x86
Wcryptnet.dll5.131.3790.42561,9522005 年十月 14 日05: 21x86
Wkerberos.dll5.2.3790.425344,0642005 年十月 14 日05: 21x86
Crypt32.dll5.131.3790.25481,759,2322005 年十月 14 日05: 21IA 64sp1sp1qfe
Cryptnet.dll5.131.3790.2548172,5442005 年十月 14 日05: 21IA 64sp1sp1qfe
Kdcsvc.dll5.2.3790.2548613,8882005 年十月 14 日05: 21IA 64sp1sp1qfe
Kerberos.dll5.2.3790.2548963,0722005 年十月 14 日05: 21IA 64sp1sp1qfe
Wcrypt32.dll5.131.3790.2548595,9682005 年十月 14 日05: 21x86sp1
Wcryptnet.dll5.131.3790.254862,4642005 年十月 14 日05: 21x86sp1
Wkerberos.dll5.2.3790.2548350,7202005 年十月 14 日05: 21x86sp1
x 基于 x64 的版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Crypt32.dll5.131.3790.25481,428,9922005 年十月 14 日05: 21x64sp1sp1qfe
Cryptnet.dll5.131.3790.2548111,1042005 年十月 14 日05: 21x64sp1sp1qfe
Kdcsvc.dll5.2.3790.2548419,8402005 年十月 14 日05: 21x64sp1sp1qfe
Kerberos.dll5.2.3790.2548720,8962005 年十月 14 日05: 21x64sp1sp1qfe
Wcrypt32.dll5.131.3790.2548595,9682005 年十月 14 日05: 21x86sp1
Wcryptnet.dll5.131.3790.254862,4642005 年十月 14 日05: 21x86sp1
Wkerberos.dll5.2.3790.2548350,7202005 年十月 14 日05: 21x86sp1
x 基于 x86 的版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Crypt32.dll5.131.3790.425612,8642005 年十月 14 日04: 10x86RTMQFE
Cryptnet.dll5.131.3790.42561,9522005 年十月 14 日04: 10x86RTMQFE
Kdcsvc.dll5.2.3790.425227,8402005 年十月 14 日04: 10x86

在安装此修补程序后

重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。 然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表

是否要安装此修补程序后发布新的 CRL 不可用证书颁发机构 (CA) 您可以使用注册表项来延长 CRL 的有效期。若要这样做,请按照下列步骤。

在域控制器上

  1. 启动注册表编辑器。
  2. 找到以下注册表子项:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. 编辑 菜单上单击 新建,然后添加以下注册表项:

    值名称: CRLValidityExtensionPeriod
    值类型: DWORD
    值数据: 小时 (十进制)
    说明: 此 DWORD 值,可以延长 CRL 的有效期由指定的小时数。当您将此值设置为非零值时,检查代码智能卡登录证书状态将忽略任何错误,只要 CRL 不过期的数目超过指定小时的有效期。有效期的此扩展仅适用于使用的智能卡登录证书的求值过程中使用的 crl。例如对于此扩展名将应用由填充在 NTAuth 存储区中的 CA 颁发的证书,并用于验证 NTAuth 存储证书的信任链的一部分的任何证书。
  4. 找到以下注册表子项:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. 编辑 菜单上单击 新建,然后添加以下注册表项:

    值名称: CRLTimeoutPeriod
    值类型: DWORD
    值数据: 秒 (十进制)
    说明: 此 DWORD 值,可以指定 CRL 超时时间,以减少误报。密钥分发中心 (KDC) 将此值传递给检查代码的证书策略。默认状态下,KDC 指定超时值为 90 秒,即使未设置此注册表值。

在客户端计算机上

Windows XP
  1. 启动注册表编辑器。
  2. 找到以下注册表子项:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. 编辑 菜单上单击 新建,然后添加以下注册表项:

    值名称: CRLTimeoutPeriod
    值类型: DWORD
    值数据: 秒 (十进制)
    说明: 此 DWORD 值,可以指定 CRL 超时时间,以减少误报。Kerberos 客户端证书策略检查代码传递该值。默认状态下,Kerberos 客户端指定超时值为 90 秒,即使未设置此注册表值。
  4. 找到以下注册表子项:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. 编辑 菜单上单击 新建,然后添加以下注册表项:

    值名称: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    值类型: DWORD
    值数据: 1
    描述: 将该 DWORD 值设置为 1 后,Kerberos 客户端 (智能卡登录客户端) 将忽略"吊销未知"错误所导致的过期的 CRL。
Windows Server 2003、 Windows Vista 和 Windows Server 2008
  1. 启动注册表编辑器。
  2. 找到以下注册表子项:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. 编辑 菜单上单击 新建,然后添加以下注册表项:

    值名称: CRLTimeoutPeriod
    值类型: DWORD
    值数据: 秒 (十进制)
    说明: 此 DWORD 值,可以指定 CRL 超时时间,以减少误报。Kerberos 客户端证书策略检查代码传递该值。默认状态下,Kerberos 客户端指定超时值为 90 秒,即使未设置此注册表值。
  4. 找到以下注册表子项:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. 编辑 菜单上单击 新建,然后添加以下注册表项:

    值名称: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    值类型: DWORD
    值数据: 1
    描述: 将该 DWORD 值设置为 1 后,Kerberos 客户端 (智能卡登录客户端) 将忽略"吊销未知"错误所导致的过期的 CRL。

替代方法

要变通解决此问题,禁用该策略要求智能卡登录。若要使该策略,请按照下列步骤操作:
  1. 单击 开始,单击 运行,键入 gpedit.msc,然后单击 确定
  2. 本地计算机策略,下展开 计算机配置,展开 Windows 设置,然后展开 安全设置
  3. 展开 本地策略,然后单击 安全选项
  4. 在右窗格中双击 交互式登录: 要求智能卡
  5. 单击 禁用,然后单击 确定

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。 Windows Server 2003 Service Pack 2 中,第一次已得到纠正此问题。

更多信息

关于 PKI 和 CRL 的其他信息,请参阅在"清单: 部署用于登录到 Windows 的智能卡"在下面的 Microsoft 网站中的帮助主题:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true
有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用于描述 Microsoft 软件更新的标准术语的说明

属性

文章编号: 887578 - 最后修改: 2008年12月4日 - 修订: 7.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
关键字:?
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbcertservices kbppkey kbsmartcard kbwinserv2003presp1fix kbfix kbprb KB887578 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 887578
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com