當在 Windows Server 2003 電腦上使用智慧卡時,收到 「 登入失敗 」 的訊息

文章編號: 887578 - 檢視此文章適用的產品。
機器翻譯檢視機器翻譯免責聲明

重要本文包含有關如何修改登錄的資訊。請確定您修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
256986
(http://support.microsoft.com/kb/256986/ )
Microsoft Windows 登錄的描述
全部展開 | 全部摺疊

在此頁中

徵狀

當您嘗試使用智慧卡來登入 Microsoft Windows Server 2003 網域控制站時,無法登入,並且可能會收到下列訊息:
登入失敗
回此頁最上方 | 提供意見

發生的原因

之所以發生這個問題,當憑證撤銷清單 (CRL) 已經過期,則無法使用新的 CRL。公開金鑰基礎結構 (PKI),是無法正常運作可能會造成 CRL 發佈不到發行新的 CRL 散發伺服器。如果未發行新 CRL,不允許的登入用戶端電腦。
回此頁最上方 | 提供意見

解決方案

服務套件資訊

如果要解決這個問題,取得最新的 Service Pack 的 Windows Server 2003。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
889100
(http://support.microsoft.com/kb/889100/ )
如何取得最新的 Service Pack 的 Windows Server 2003

Hotfix 資訊

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。只會發生此特定問題的系統套用此 Hotfix。這個 Hotfix 可能會接受額外的測試。因此,如果您不會嚴重影響這個問題,我們建議您等候下一個包含此 Hotfix 的軟體更新。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果本節 Does Not Appear 請連絡[ Microsoft 客戶服務 ] 和 [ 支援 ] 以取得此 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
(http://support.microsoft.com/contactus/?ws=support)
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。

必要條件

沒有先決條件都是必要的。

重新啟動需求

套用此 Hotfix 之後,您必須重新啟動電腦。

Hotfix 取代資訊

此 Hotfix 不會取代任何其他的 Hotfix。

檔案資訊

此 Hotfix 的英文版在檔案屬性 (或更新版本的檔案屬性) 如下列表格中所列。 這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用在 [日期及時間中項目控制台中的 [時區] 索引標籤]。
Windows Server 2003
IA x64 為主的版本
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台SP 需求服務分支
Crypt32.dll5.131.3790.4251,578,4962005 年十月 14 日05: 21IA 64RTMQFE
Cryptnet.dll5.131.3790.425160,2562005 年十月 14 日05: 21IA 64RTMQFE
Kdcsvc.dll5.2.3790.425590,3362005 年十月 14 日05: 21IA 64RTMQFE
Kerberos.dll5.2.3790.425907,2642005 年十月 14 日05: 21IA 64RTMQFE
Wcrypt32.dll5.131.3790.425612,8642005 年十月 14 日05: 21x86
Wcryptnet.dll5.131.3790.42561,9522005 年十月 14 日05: 21x86
Wkerberos.dll5.2.3790.425344,0642005 年十月 14 日05: 21x86
Crypt32.dll5.131.3790.25481,759,2322005 年十月 14 日05: 21IA 64sp1sp1qfe
Cryptnet.dll5.131.3790.2548172,5442005 年十月 14 日05: 21IA 64sp1sp1qfe
Kdcsvc.dll5.2.3790.2548613,8882005 年十月 14 日05: 21IA 64sp1sp1qfe
Kerberos.dll5.2.3790.2548963,0722005 年十月 14 日05: 21IA 64sp1sp1qfe
Wcrypt32.dll5.131.3790.2548595,9682005 年十月 14 日05: 21x86sp1
Wcryptnet.dll5.131.3790.254862,4642005 年十月 14 日05: 21x86sp1
Wkerberos.dll5.2.3790.2548350,7202005 年十月 14 日05: 21x86sp1
x x64 版
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台SP 需求服務分支
Crypt32.dll5.131.3790.25481,428,9922005 年十月 14 日05: 21x64sp1sp1qfe
Cryptnet.dll5.131.3790.2548111,1042005 年十月 14 日05: 21x64sp1sp1qfe
Kdcsvc.dll5.2.3790.2548419,8402005 年十月 14 日05: 21x64sp1sp1qfe
Kerberos.dll5.2.3790.2548720,8962005 年十月 14 日05: 21x64sp1sp1qfe
Wcrypt32.dll5.131.3790.2548595,9682005 年十月 14 日05: 21x86sp1
Wcryptnet.dll5.131.3790.254862,4642005 年十月 14 日05: 21x86sp1
Wkerberos.dll5.2.3790.2548350,7202005 年十月 14 日05: 21x86sp1
x x86 版本
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台SP 需求服務分支
Crypt32.dll5.131.3790.425612,8642005 年十月 14 日04: 10x86RTMQFE
Cryptnet.dll5.131.3790.42561,9522005 年十月 14 日04: 10x86RTMQFE
Kdcsvc.dll5.2.3790.425227,8402005 年十月 14 日04: 10x86

安裝 Hotfix 之後

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。 以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756
(http://support.microsoft.com/kb/322756/ )
如何備份和還原在 Windows 登錄

如果要安裝此 Hotfix 之後發行新的 CRL 無法使用憑證授權單位 (CA),您可以使用登錄機碼來擴充 CRL 的有效期。要這麼做,請您執行下列步驟。

在網域控制站上

  1. 啟動 「 登錄編輯程式 」。
  2. 找出下列登錄子機碼:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. 在 [編輯] 功能表上按一下 [新增],,然後新增下列登錄項目:

    數值名稱: CRLValidityExtensionPeriod
    值類型: DWORD
    數值資料: 時數 (十進位)
    描述: 此 DWORD 值可讓您擴充 CRL 有效期間指定的小時數。當您將此值設定為非零的值時,憑證狀態檢查智慧卡的登入的程式碼會忽略任何錯誤,只要 CRL 未過期由一個以上的數目指定時數的有效期間。有效期間的這個延伸只能套用於智慧卡登入憑證的評估期間所使用的 CRL。比方說這個延伸模組會將套用至 NTAuth 存放區中會填入一個 CA 所核發的憑證,並屬於的信任鏈結是用來驗證 NTAuth 存放憑證的憑證。
  4. 找出下列登錄子機碼:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. 在 [編輯] 功能表上按一下 [新增],,然後新增下列登錄項目:

    數值名稱: CRLTimeoutPeriod
    值類型: DWORD
    數值資料: 秒 (十進位)
    描述: 此 DWORD 值可讓您指定的 CRL 逾時期間,若要減少誤報。金鑰發行中心 (KDC) 會將這個值傳遞給憑證原則檢查程式碼。預設情況下,KDC 指定 90 秒的逾時值,即使未設定這個登錄值。

在用戶端電腦上

Windows XP
  1. 啟動登錄編輯器。
  2. 找出下列登錄子機碼:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. 在 [編輯] 功能表上按一下 [新增],,然後新增下列登錄項目:

    數值名稱: CRLTimeoutPeriod
    值類型: DWORD
    數值資料: 秒 (十進位)
    描述: 此 DWORD 值可讓您指定的 CRL 逾時期間,若要減少誤報。Kerberos 用戶端會將這個值傳遞給憑證原則檢查程式碼。預設情況下,Kerberos 用戶端指定 90 秒的逾時值,即使未設定這個登錄值。
  4. 找出下列登錄子機碼:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. 在 [編輯] 功能表上按一下 [新增],,然後新增下列登錄項目:

    數值名稱: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    值類型: DWORD
    數值資料: 1
    描述: 您將這個 DWORD 值設定為 1 之後 Kerberos 用戶端 (智慧卡的登入用戶端) 將會忽略"撤銷不明 」 錯誤所造成的過期的 CRL。
Windows Server 2003、 Windows Vista 和 Windows Server 2008
  1. 啟動 「 登錄編輯程式 」。
  2. 找出下列登錄子機碼:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. 在 [編輯] 功能表上按一下 [新增],,然後新增下列登錄項目:

    數值名稱: CRLTimeoutPeriod
    值類型: DWORD
    數值資料: 秒 (十進位)
    描述: 此 DWORD 值可讓您指定的 CRL 逾時期間,若要減少誤報。Kerberos 用戶端會將這個值傳遞給憑證原則檢查程式碼。預設情況下,Kerberos 用戶端指定 90 秒的逾時值,即使未設定這個登錄值。
  4. 找出下列登錄子機碼:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. 在 [編輯] 功能表上按一下 [新增],,然後新增下列登錄項目:

    數值名稱: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    值類型: DWORD
    數值資料: 1
    描述: 您將這個 DWORD 值設定為 1 之後 Kerberos 用戶端 (智慧卡的登入用戶端) 將會忽略"撤銷不明 」 錯誤所造成的過期的 CRL。
回此頁最上方 | 提供意見

其他可行方案

若要解決這個問題,停用原則需要智慧卡來登入]。若要停用此原則,請依照下列步驟執行:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 gpedit.msc,然後按一下 [確定]]。
  2. 在 [本機電腦原則,展開 [電腦設定]、 展開 [Windows 設定],然後再展開 [安全性設定
  3. 展開 [本機原則],] 然後按一下 [安全性選項
  4. 在右窗格中連按兩下 互動式登入: 要求智慧卡
  5. 按一下 [已停用,然後按一下 [確定]
回此頁最上方 | 提供意見

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。 這個問題已經先在 Windows Server 2003 Service Pack 2 中獲得修正。
回此頁最上方 | 提供意見

其他相關資訊

如需有關 PKI 和 CRL 的額外資訊,請參閱 > 檢查清單: 部署智慧卡來登入 Windows"下列 Microsoft 網站的 [說明] 主題:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true
(http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true)
如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
824684
(http://support.microsoft.com/kb/824684/ )
用來描述 Microsoft 軟體更新標準術語的說明
回此頁最上方 | 提供意見

屬性

文章編號: 887578 - 上次校閱: 2008年12月4日 - 版次: 7.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
關鍵字:?
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbcertservices kbppkey kbsmartcard kbwinserv2003presp1fix kbfix kbprb KB887578 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:887578
(http://support.microsoft.com/kb/887578/en-us/ )
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方