Síntomas
En un dominio basado en Windows 2008 que está utilizando el servicio de directorio de Active Directory, se habilita un equipo cliente para utilizar la autenticación de tarjeta inteligente para iniciar sesión en el dominio. Sin embargo, cuando intenta iniciar sesión en el dominio desde un equipo cliente basado en Windows Vista, el proceso de inicio de sesión puede fallar y puede recibir el siguiente mensaje de error:
Ningún certificado válido encontrado.
Compruebe que la tarjeta está insertada
Este problema se produce si el certificado de tarjeta inteligente no contiene el uso de clave extendida (EKU). Además, si ha instalado la revisión que se menciona en el artículo de Microsoft Knowledge Base 955558 en el equipo cliente, puede recibir el siguiente mensaje de error:
No se podrían comprobar sus credenciales.
Este problema se produce porque el centro de distribución de claves Kerberos (KDC) no puede validar la cadena de certificados si no está presente el EKU correcto.
Causa
El problema se produce porque el centro de distribución de claves Kerberos (KDC) no acepta la autenticación de cliente EKU como se esperaba.
Durante la comprobación de certificado de cliente, el servidor KDC comprueba al cliente EKU. Si la autenticación de cliente EKU no es la tarjeta inteligente de Microsoft EKU ni la criptografía de clave pública para el cliente de autenticación inicial (PKINIT) EKU de autenticación, tal como se define en el 4556 de RFC PKINIT, se produce un error en la autenticación.
Solución
Información de la revisión
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.
Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Revisiones importantes de Windows Vista y Windows Server 2008 se incluyen en los mismos paquetes. Sin embargo, sólo uno de estos productos puede aparecer en la página "Solicitud de revisión". Para solicitar el paquete de revisiones que se aplica a Windows Vista y Windows Server 2008, seleccione el producto que aparece en la página.
Requisitos previos
Para aplicar esta revisión, instale la revisión en el servidor KDC basado en Windows Server 2008 para resolver este problema.
Nota: La revisión que se describe en este artículo de Microsoft Knowledge Base sólo corrige el lado del servidor. También debe instalar el hotfix que se describe en 955558 en el equipo cliente.
Requisito de reinicio
Tendrá que reiniciar el equipo después de aplicar este hotfix.
Información de reemplazo de revisión
Este hotfix no sustituye a otras revisiones publicadas anteriormente.
Información de archivo
La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Notas sobre la información de archivos de Windows Vista y Windows Server 2008
Los archivos MANIFEST (.manifest) y archivos MUM (.mum) instalados para cada entorno están enumerados por separado. MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad (atributos no enumerados) están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x86 compatibles de Windows Server 2008
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.0.6001.22307 |
311,296 |
12-Nov-2008 |
05:28 |
x86 |
Kdcsvc.mof |
No aplicable |
5.300 |
18-Dec-2007 |
21:27 |
No aplicable |
Para todas las versiones basadas en x64 compatibles de Windows Server 2008
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.0.6001.22307 |
404,992 |
12-Nov-2008 |
06:03 |
x64 |
Kdcsvc.mof |
No aplicable |
5.300 |
18-Dec-2007 |
21:27 |
No aplicable |
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Referencias
Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
291010 requisitos para los certificados de controlador de dominio de una CA de terceros
955558 no puede utilizar un certificado de tarjeta inteligente para iniciar sesión en un dominio basado en Windows Vista o en un equipo cliente basado en Windows Server 2008
Más información
Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Información adicional de archivos para Windows Server 2008
Archivos adicionales para todas las versiones compatibles basadas en x86 de Windows Server 2008
Nombre del archivo |
Package_for_kb959887_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1.430 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nombre del archivo |
Package_for_kb959887_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1,422 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nombre del archivo |
Package_for_kb959887_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1,427 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nombre del archivo |
Package_for_kb959887_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1.430 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nombre del archivo |
X86_3b4614c27e93e72d332d54b56ce7e9da_31bf3856ad364e35_6.0.6001.22307_none_a64617cf4e815743.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
720 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nombre del archivo |
X86_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6001.22307_none_8c486aedad582e65.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
42,276 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
08:25 |
Archivos adicionales para todas las versiones compatibles basadas en x64 de Windows Server 2008
Nombre del archivo |
Amd64_3929ca5251e14310415056ae12fb5733_31bf3856ad364e35_6.0.6001.22307_none_202c1cc021041400.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
724 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nombre del archivo |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6001.22307_none_e867067165b59f9b.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
42,320 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
08:56 |
Nombre del archivo |
Package_for_kb959887_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1,438 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nombre del archivo |
Package_for_kb959887_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1.430 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nombre del archivo |
Package_for_kb959887_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1,435 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nombre del archivo |
Package_for_kb959887_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Versión del archivo |
No aplicable |
Tamaño de archivo |
1,438 |
Fecha (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Los productos de terceros que se indican en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.