Sintomas
Num domínio baseado no Windows 2008 que está a utilizar o serviço de directório do Active Directory, activar um computador cliente utilizar a autenticação de cartão Smart Card para iniciar sessão no domínio. No entanto, quando tenta iniciar sessão no domínio de um computador cliente baseado no Windows Vista, o processo de início de sessão poderá falhar e poderá receber a seguinte mensagem de erro:
Não foram encontrados certificados válidos.
Verifique que o cartão está inserido
Este problema ocorre se o certificado de smart card não contém a utilização de chaves expandidas ' (EKU) da Microsoft. Além disso, se tiver instalado a correcção mencionada na Microsoft Knowledge Base artigo 955558 no computador cliente, poderá receber a seguinte mensagem de erro:
Não foi possível verificar as credenciais.
Este problema ocorre porque o Kerberos Key Distribution Center (KDC) não consegue validar a cadeia de certificados, se não existir o EKU correcto.
Causa
Este problema ocorre porque o Kerberos Key Distribution Center (KDC) não aceita a autenticação de cliente EKU conforme esperado.
Durante a verificação do certificado de cliente, o servidor KDC verifica o EKU de cliente. Se a autenticação de cliente EKU nem o smart card da Microsoft EKU nem a criptografia de chave pública para o cliente de autenticação inicial (PKINIT) EKU de autenticação, tal como definido no 4556 de RFC PKINIT, a autenticação falha.
Resolução
Informações sobre correção
Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.
Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.
Correcções importantes do Windows Vista e Windows Server 2008 são incluídas nos pacotes mesmos. No entanto, apenas um destes produtos pode ser listado na página "Pedido de correcção". Para pedir o pacote de correcções que se aplica ao Windows Vista e Windows Server 2008, basta seleccione o produto que está listado na página.
Pré-requisitos
Para aplicar esta correcção, instale a correcção no servidor baseado no Windows Server 2008 KDC para resolver este problema.
Nota A correcção descrita por este dados da base de dados de conhecimento da Microsoft corrige apenas o lado do servidor. Também tem de instalar a correcção descrita no 955558 no computador cliente.
Requisito de reinício
Tem de reiniciar o computador depois de aplicar esta correção.
Informações sobre substituição da correção
Esta correcção não substitui quaisquer outras correcções disponibilizadas anteriormente.
Informações de ficheiro
A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário no item data e hora no painel de controlo.
Notas informativas sobre os ficheiros do Windows Vista e Windows Server 2008
Os ficheiros MANIFEST (. manifest) e os ficheiros MUM (. mum) instalados em cada ambiente são listados separadamente. MUM e ficheiros de MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são importantes para manter o estado do componente actualizado. Os ficheiros de catálogo de segurança (atributos não listados) são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x86 do Windows Server 2008 suportadas
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.0.6001.22307 |
311,296 |
12-Nov-2008 |
05:28 |
x86 |
Kdcsvc.mof |
Não aplicável |
e 5.300 |
18-Dec-2007 |
21:27 |
Não aplicável |
Para todas as versões baseadas em x64 do Windows Server 2008 suportadas
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.0.6001.22307 |
404,992 |
12-Nov-2008 |
06:03 |
x64 |
Kdcsvc.mof |
Não aplicável |
e 5.300 |
18-Dec-2007 |
21:27 |
Não aplicável |
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Referências
Para mais informações, clique nos números de artigo que se segue para visualizar os artigos na Microsoft Knowledge Base:
Requisitos de 291010 para certificados de controlador de domínio de uma AC de outros fabricantes
955558 não é possível utilizar um certificado de smart card para iniciar sessão num domínio de um com o Windows Vista ou um computador cliente baseado no Windows Server 2008
Mais informações
Para mais informações sobre a terminologia de atualização de software, clique no seguinte número de artigo para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
824684 descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft
Informações sobre ficheiros adicionais para o Windows Server 2008
Ficheiros adicionais para todas as versões baseadas em x86 do Windows Server 2008 suportadas
Nome do ficheiro |
Package_for_kb959887_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,430 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nome do ficheiro |
Package_for_kb959887_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,422 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nome do ficheiro |
Package_for_kb959887_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,427 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nome do ficheiro |
Package_for_kb959887_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,430 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nome do ficheiro |
X86_3b4614c27e93e72d332d54b56ce7e9da_31bf3856ad364e35_6.0.6001.22307_none_a64617cf4e815743.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
720 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nome do ficheiro |
X86_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6001.22307_none_8c486aedad582e65.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
42,276 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
08:25 |
Ficheiros adicionais para todas as versões baseadas em x64 do Windows Server 2008 suportadas
Nome do ficheiro |
Amd64_3929ca5251e14310415056ae12fb5733_31bf3856ad364e35_6.0.6001.22307_none_202c1cc021041400.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
724 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nome do ficheiro |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6001.22307_none_e867067165b59f9b.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
42,320 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
08:56 |
Nome do ficheiro |
Package_for_kb959887_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,438 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nome do ficheiro |
Package_for_kb959887_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,430 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nome do ficheiro |
Package_for_kb959887_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,435 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Nome do ficheiro |
Package_for_kb959887_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,438 |
Data (UTC) |
12-Nov-2008 |
Hora (UTC) |
21:18 |
Os produtos de outros fabricantes que este artigo aborda são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, expressa ou implícita, relativamente, ao desempenho ou à fiabilidade destes produtos.