Vous recevez un message « Échec de la connexion » lorsque vous utilisez une carte à puce sur un ordinateur Windows Server 2003

N° de bogue : 28463 (Maintenance du contenu)bogue #: 87998 (Windows SE)
Important Cet article contient des informations sur la façon de modifier le Registre. Veillez à sauvegarder le Registre avant de le modifier. Assurez-vous que vous savez comment restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
256986 description du Registre Microsoft Windows

Symptômes

Lorsque vous essayez d’utiliser une carte à puce pour ouvrir une session sur un contrôleur de domaine Microsoft Windows Server 2003, vous ne pouvez pas vous connecter, et vous pouvez recevoir le message suivant :
Échec de l’ouverture de session

Cause

Ce problème se produit lorsque la liste de révocation de certificats (CRL) est obsolète et une nouvelle liste de révocation n’est pas disponible. Une infrastructure à clé publique (PKI) qui ne fonctionne pas peut entraîner le serveur de distribution de la liste CRL ne pas à publier une nouvelle liste de révocation. Si une nouvelle liste de révocation n’est pas publié, les ouvertures de session sur les ordinateurs clients ne sont pas autorisés.

Résolution

Informations sur le service pack

Pour résoudre ce problème, procurez-vous le dernier service pack pour Windows Server 2003. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
889100 comment faire pour obtenir le dernier service pack pour Windows Server 2003

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes rencontrant ce problème spécifique. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du Service clientèle et support technique de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l'adresse suivante :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

Conditions préalables

Aucunes conditions préalables ne sont requises.

Nécessite un redémarrage

Vous devez redémarrer votre ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et d’heure dans le panneau de configuration.
Windows Server 2003
Versions basés sur IA-64
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateformeSP requisDossier
Crypt32.dll5.131.3790.4251,578,49614-Oct-200505:21IA-64AucunRTMQFE
Cryptnet.dll5.131.3790.425160,25614-Oct-200505:21IA-64AucunRTMQFE
Kdcsvc.dll5.2.3790.425590,33614-Oct-200505:21IA-64AucunRTMQFE
Kerberos.dll5.2.3790.425907,26414-Oct-200505:21IA-64AucunRTMQFE
Wcrypt32.dll5.131.3790.425612,86414-Oct-200505:21x86AucunWOW
Wcryptnet.dll5.131.3790.42561,95214-Oct-200505:21x86AucunWOW
Wkerberos.dll5.2.3790.425344,06414-Oct-200505:21x86AucunWOW
Crypt32.dll5.131.3790.25481,759,23214-Oct-200505:21IA-64SP1SP1QFE
Cryptnet.dll5.131.3790.2548172,54414-Oct-200505:21IA-64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548613,88814-Oct-200505:21IA-64SP1SP1QFE
Kerberos.dll5.2.3790.2548963,07214-Oct-200505:21IA-64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505:21x86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505:21x86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505:21x86SP1WOW
versions basées sur les x64
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateformeSP requisDossier
Crypt32.dll5.131.3790.25481,428,99214-Oct-200505:21x64SP1SP1QFE
Cryptnet.dll5.131.3790.2548111,10414-Oct-200505:21x64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548419,84014-Oct-200505:21x64SP1SP1QFE
Kerberos.dll5.2.3790.2548720,89614-Oct-200505:21x64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505:21x86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505:21x86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505:21x86SP1WOW
versions basées sur les x86
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateformeSP requisDossier
Crypt32.dll5.131.3790.425612,86414-Oct-200504:10x86AucunRTMQFE
Cryptnet.dll5.131.3790.42561,95214-Oct-200504:10x86AucunRTMQFE
Kdcsvc.dll5.2.3790.425227,84014-Oct-200504:10x86Aucun

Après avoir installé le correctif logiciel

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows

Si l’autorité de certification (CA) n’est pas disponible pour publier une nouvelle liste de révocation après avoir installé ce correctif, vous pouvez utiliser des clés de Registre pour étendre la période de validité de la liste CRL. Pour ce faire, procédez comme suit.

Sur les contrôleurs de domaine

  1. Démarrez l'Éditeur du Registre.
  2. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. Dans le menu Edition , cliquez sur
    De Nouveau, puis ajoutez l’entrée de Registre suivante :


    Nom de la valeur : CRLValidityExtensionPeriod
    Type de la valeur : DWORD

    Données de la valeur : Heures (décimal)
    Description : Cette valeur DWORD vous permet pour étendre la période de validité de révocation de certificats par un nombre d’heures spécifié. Lorsque vous définissez cette valeur sur une valeur différente de zéro, le statut de certificat vérification de code pour les ouvertures de session de carte à puce ignore toute période de validité erreurs tant que la liste de révocation n’a pas expiré plus que le nombre d’heures spécifiés. Cette extension de la période de validité s’applique uniquement à la révocation de certificats qui est utilisées lors de l’évaluation des certificats qui sont utilisés pour l’ouverture de session de carte à puce. Par exemple, cette extension s’appliquerait un certificat qui est émis par une autorité de certification dans le magasin NTAuth de remplissage et de tous les certificats qui font partie de la chaîne d’approbation qui est utilisée pour vérifier le certificat du magasin NTAuth.
  4. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. Dans le menu Edition , cliquez sur Nouveau, puis ajoutez l’entrée de Registre suivante :

    Nom de la valeur : CRLTimeoutPeriod
    Type de la valeur : DWORD

    Données de la valeur : Secondes (décimal)
    Description : Cette valeur DWORD vous permet de spécifier le délai d’attente de révocation de certificats pour réduire les faux positifs. Le centre de Distribution de clés (KDC) passe cette valeur à la stratégie de certificat vérification de code. Par défaut, le KDC spécifie un délai de 90 secondes, même si cette valeur de Registre n’est pas définie.

Sur les ordinateurs clients

Windows XP
  1. Démarrez l’Éditeur du Registre.
  2. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. Dans le menu Edition , cliquez sur
    De Nouveau, puis ajoutez l’entrée de Registre suivante :


    Nom de la valeur : CRLTimeoutPeriod
    Type de la valeur : DWORD
    Données de la valeur : Secondes (décimal)
    Description : Cette valeur DWORD vous permet de spécifier le délai d’attente de révocation de certificats pour réduire les faux positifs. Le client Kerberos passe cette valeur à la stratégie de certificat vérification de code. Par défaut, le client Kerberos spécifie un délai de 90 secondes, même si cette valeur de Registre n’est pas définie.
  4. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. Dans le menu Edition , cliquez sur
    De Nouveau, puis ajoutez l’entrée de Registre suivante :


    Nom de la valeur : UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors

    Type de la valeur : DWORD
    Données de la valeur : 1
    Description : Après avoir défini cette valeur DWORD à 1, les clients Kerberos (clients d’ouverture de session de carte à puce) ignore les erreurs « révocation inconnu » provoqués par une liste CRL a expiré.
Windows Server 2003, Windows Vista et Windows Server 2008
  1. Démarrez l'Éditeur du Registre.
  2. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. Dans le menu Edition , cliquez sur Nouveau, puis ajoutez l’entrée de Registre suivante :

    Nom de la valeur : CRLTimeoutPeriod
    Type de la valeur : DWORD
    Données de la valeur : Secondes (décimal)

    Description : Cette valeur DWORD vous permet de spécifier le délai d’attente de révocation de certificats pour réduire les faux positifs. Le client Kerberos passe cette valeur à la stratégie de certificat vérification de code. Par défaut, le client Kerberos spécifie un délai de 90 secondes, même si cette valeur de Registre n’est pas définie.
  4. Recherchez la sous-clé de Registre suivante :
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. Dans le menu Edition , cliquez sur
    De Nouveau, puis ajoutez l’entrée de Registre suivante :


    Nom de la valeur : UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors

    Type de la valeur : DWORD
    Données de la valeur : 1
    Description : Après avoir défini cette valeur DWORD à 1, les clients Kerberos (clients d’ouverture de session de carte à puce) ignore les erreurs « révocation inconnu » provoqués par une liste CRL a expiré.

Solution de contournement

Pour contourner ce problème, désactivez la stratégie qui requiert une carte à puce pour ouvrir une session. Pour désactiver cette stratégie, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez gpedit.msc, puis cliquez sur
    OK.
  2. Sous Stratégie ordinateur Local, développez
    Configuration de l’ordinateur, développez Paramètres Windows, puis développez Paramètres de sécurité.
  3. Développez Stratégies locales, puis cliquez sur Options de sécurité.
  4. Dans le volet droit, double-cliquez sur ouverture de session Interactive : carte à puce nécessaire.
  5. Cliquez sur désactivé, puis cliquez sur
    OK.

État

Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés dans la section « S’applique à ». Ce problème a été corrigé dans Windows Server 2003 Service Pack 2.

Plus d'informations

Pour plus d’informations sur la révocation de certificats et infrastructure à clé publique, consultez la « liste de vérification : déploiement de cartes à puce pour ouvrir une session Windows » rubrique d’aide sur le site Web de Microsoft à l’adresse suivante :Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft

Propriétés

ID d'article : 887578 - Dernière mise à jour : 27 janv. 2017 - Révision : 1

Commentaires