Při použití karty smart card v počítači se systémem Windows Server 2003 se zobrazí zpráva "Chyba přihlášení"

Chyba č: 28463 (Údržba obsahu)Chyba #: 87998 (Windows SE)
Důležité: Tento článek obsahuje informace o úpravě registru. Přesvědčte se, zda zálohovat registr před úpravami. Ujistěte se, že víte, jak registr obnovit v případě výskytu problému. Další informace o zálohování, obnovení a úpravě registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows

Příznaky

Při pokusu o použití karty smart card pro přihlášení k řadiči domény systému Microsoft Windows Server 2003 nelze přihlásit a můžete obdržet následující zprávu:
Neúspěšné přihlášení

Příčina

K tomuto problému dochází, pokud seznam odvolaných certifikátů (CRL) je zastaralý a nový seznam CRL není k dispozici. Infrastrukturu veřejných klíčů (PKI), není práce může způsobit server distribučního seznamu CRL, který nechcete publikovat nový seznam CRL. Pokud není publikován nový seznam CRL, není povoleno přihlášení k počítači klienta.

Řešení

Informace o aktualizaci Service pack

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro systém Windows Server 2003. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
889100 jak získat nejnovější aktualizaci service pack pro systém Windows Server 2003

Informace o opravě hotfix

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.

Předpoklady

Neexistují žádné požadavky.

Požadavek na restartování

Po instalaci této opravy hotfix po restartování počítače.

Informace o nahrazení opravy hotfix

Tato oprava hotfix nenahrazuje žádné další opravy hotfix.

Informace o souborech

Anglická verze této opravy hotfix má atributy (nebo pozdější atributy souborů) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Chcete-li najít rozdíl mezi časem UTC a místním časem, použijte kartu časové pásmo v položce datum a čas v okně Ovládací panely.
Windows Server 2003
Verze IA-64
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Crypt32.dll5.131.3790.4251,578,49614-Oct-200505:21IA-64ŽádnýRTMQFE
Cryptnet.dll5.131.3790.425160,25614-Oct-200505:21IA-64ŽádnýRTMQFE
Kdcsvc.dll5.2.3790.425590,33614-Oct-200505:21IA-64ŽádnýRTMQFE
Kerberos.dll5.2.3790.425907,26414-Oct-200505:21IA-64ŽádnýRTMQFE
Wcrypt32.dll5.131.3790.425612,86414-Oct-200505:21x86ŽádnýWOW
Wcryptnet.dll5.131.3790.42561,95214-Oct-200505:21x86ŽádnýWOW
Wkerberos.dll5.2.3790.425344,06414-Oct-200505:21x86ŽádnýWOW
Crypt32.dll5.131.3790.25481,759,23214-Oct-200505:21IA-64SP1SP1QFE
Cryptnet.dll5.131.3790.2548172,54414-Oct-200505:21IA-64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548613,88814-Oct-200505:21IA-64SP1SP1QFE
Kerberos.dll5.2.3790.2548963,07214-Oct-200505:21IA-64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505:21x86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505:21x86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505:21x86SP1WOW
verze x64
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Crypt32.dll5.131.3790.25481,428,99214-Oct-200505:21x64SP1SP1QFE
Cryptnet.dll5.131.3790.2548111,10414-Oct-200505:21x64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548419,84014-Oct-200505:21x64SP1SP1QFE
Kerberos.dll5.2.3790.2548720,89614-Oct-200505:21x64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505:21x86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505:21x86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505:21x86SP1WOW
verze x86
Název souboruVerze souboruVelikost souboruDatumČasPlatformaPožadavek na aktualizaci SPSložka služby
Crypt32.dll5.131.3790.425612,86414-Oct-200504:10x86ŽádnýRTMQFE
Cryptnet.dll5.131.3790.42561,95214-Oct-200504:10x86ŽádnýRTMQFE
Kdcsvc.dll5.2.3790.425227,84014-Oct-200504:10x86Žádný

Po instalaci opravy hotfix

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows

Pokud není k dispozici po instalaci této opravy hotfix publikovat nový seznam CRL certifikačního úřadu (CÚ), můžete použít klíče registru k prodloužení doby platnosti seznamu CRL. Chcete-li to provést, postupujte takto.

V řadičích domény

  1. Spusťte Editor registru.
  2. Vyhledejte následující podklíč registru:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. V nabídce Úpravy klepněte na tlačítko
    Novýa potom přidejte následující položku registru:


    Název hodnoty: CRLValidityExtensionPeriod
    Typ hodnoty: DWORD

    Údaj hodnoty: Hodiny (desetinné číslo)
    Popis: Tato hodnota DWORD umožňuje prodloužení doby platnosti seznamu odvolaných certifikátů o určený počet hodin. Pokud nastavíte tuto hodnotu na nenulovou hodnotu, ignoruje stav certifikátu kontroly kódu pro přihlášení pomocí karty smart card k období platnosti zadaný chyby, dokud není seznam CRL vypršela více než počet hodin. Toto prodloužení doby platnosti se vztahuje pouze na seznamy CRL použitých při hodnocení jsou certifikáty pro přihlášení pomocí čipové karty. Toto rozšíření by například použít certifikát vydaný certifikační autoritou, který je naplněn v úložišti NTAuth a všech certifikátů, které jsou součástí důvěryhodný řetězec, který slouží k ověření certifikátu úložiště NTAuth.
  4. Vyhledejte následující podklíč registru:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. V nabídce Úpravy klepněte na příkaz Novýa potom přidejte následující položku registru:

    Název hodnoty: CRLTimeoutPeriod
    Typ hodnoty: DWORD

    Údaj hodnoty: Sekundách (desítkově)
    Popis: Tato hodnota DWORD umožňuje zadat časový limit CRL snížit falešných poplachů. Centrum distribuce klíčů (KDC) předá tuto hodnotu zásad certifikátů kód kontroly. Ve výchozím nastavení služba KDC Určuje hodnotu časového limitu 90 sekund, i když tato hodnota registru není nastavena.

V klientských počítačích

Systém Windows XP
  1. Spusťte editor registru.
  2. Vyhledejte následující podklíč registru:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. V nabídce Úpravy klepněte na tlačítko
    Novýa potom přidejte následující položku registru:


    Název hodnoty: CRLTimeoutPeriod
    Typ hodnoty: DWORD
    Údaj hodnoty: Sekundách (desítkově)
    Popis: Tato hodnota DWORD umožňuje zadat časový limit CRL snížit falešných poplachů. Klient protokolu Kerberos předá tuto hodnotu zásad certifikátů kód kontroly. Ve výchozím klienta protokolu Kerberos Určuje hodnotu časového limitu 90 sekund, i když tato hodnota registru není nastavena.
  4. Vyhledejte následující podklíč registru:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. V nabídce Úpravy klepněte na tlačítko
    Novýa potom přidejte následující položku registru:


    Název hodnoty: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors

    Typ hodnoty: DWORD
    Údaj hodnoty: 1
    Popis: Poté, co nastavíte tuto hodnotu DWORD na hodnotu 1, bude ignorovat Kerberos klienty (klienti přihlášení pomocí karty Smartcard) "odvolání neznámý" chyby, které jsou způsobeny prošlé seznamu CRL.
Windows Server 2003, Windows Vista a Windows Server 2008
  1. Spusťte Editor registru.
  2. Vyhledejte následující podklíč registru:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. V nabídce Úpravy klepněte na příkaz Novýa potom přidejte následující položku registru:

    Název hodnoty: CRLTimeoutPeriod
    Typ hodnoty: DWORD
    Údaj hodnoty: Sekundách (desítkově)

    Popis: Tato hodnota DWORD umožňuje zadat časový limit CRL snížit falešných poplachů. Klient protokolu Kerberos předá tuto hodnotu zásad certifikátů kód kontroly. Ve výchozím klienta protokolu Kerberos Určuje hodnotu časového limitu 90 sekund, i když tato hodnota registru není nastavena.
  4. Vyhledejte následující podklíč registru:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. V nabídce Úpravy klepněte na tlačítko
    Novýa potom přidejte následující položku registru:


    Název hodnoty: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors

    Typ hodnoty: DWORD
    Údaj hodnoty: 1
    Popis: Poté, co nastavíte tuto hodnotu DWORD na hodnotu 1, bude ignorovat Kerberos klienty (klienti přihlášení pomocí karty Smartcard) "odvolání neznámý" chyby, které jsou způsobeny prošlé seznamu CRL.

Jak potíže obejít

Chcete-li tento problém vyřešit, zakažte zásadu, která vyžaduje kartu smart card pro přihlášení. Chcete-li zakázat tuto zásadu, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msca potom klepněte na tlačítko
    OK.
  2. Ve skupinovém rámečku Zásady místního počítačerozbalte položku
    Konfigurace počítače, rozbalte položku Nastavení systému Windowsa potom rozbalte položku Nastavení zabezpečení.
  3. Rozbalte položku Místní zásadya potom klepněte na tlačítko Možnosti zabezpečení.
  4. V pravém podokně poklepejte na interaktivní přihlašování: Požadovat kartu smart card.
  5. Klepněte na přepínač Zakázánoa pak klepněte na tlačítko
    OK.

Stav

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části "Platí pro". Tento problém byl poprvé opraven v systému Windows Server 2003 Service Pack 2.

Další informace

Další informace týkající se infrastruktury veřejných KLÍČŮ a CRL naleznete v tématu "kontrolní seznam: zavedení karet smart card pro přihlášení k systému Windows" téma nápovědy na následujícím webu společnosti Microsoft:Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft

Vlastnosti

ID článku: 887578 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor