Não é possível utilizar um certificado de smart card para iniciar sessão num domínio a partir de um computador cliente baseado no Windows Vista

Sintomas

Num domínio baseado no Windows 2008 que está a utilizar o serviço de directório do Active Directory, activar um computador cliente utilizar a autenticação de cartão Smart Card para iniciar sessão no domínio. No entanto, quando tenta iniciar sessão no domínio de um computador cliente baseado no Windows Vista, o processo de início de sessão poderá falhar e poderá receber a seguinte mensagem de erro:

Não foram encontrados certificados válidos.
Verifique que o cartão está inserido

Este problema ocorre se o certificado de smart card não contém a utilização de chaves expandidas ' (EKU) da Microsoft. Além disso, se tiver instalado a correcção mencionada na Microsoft Knowledge Base artigo 955558 no computador cliente, poderá receber a seguinte mensagem de erro:

Não foi possível verificar as credenciais.

Este problema ocorre porque o Kerberos Key Distribution Center (KDC) não consegue validar a cadeia de certificados, se não existir o EKU correcto.

Causa

Este problema ocorre porque o Kerberos Key Distribution Center (KDC) não aceita a autenticação de cliente EKU conforme esperado.

Durante a verificação do certificado de cliente, o servidor KDC verifica o EKU de cliente. Se a autenticação de cliente EKU nem o smart card da Microsoft EKU nem a criptografia de chave pública para o cliente de autenticação inicial (PKINIT) EKU de autenticação, tal como definido no 4556 de RFC PKINIT, a autenticação falha.

Resolução

Informações sobre correção

Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.

Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.

Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:

Nota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.

Correcções importantes do Windows Vista e Windows Server 2008 são incluídas nos pacotes mesmos. No entanto, apenas um destes produtos pode ser listado na página "Pedido de correcção". Para pedir o pacote de correcções que se aplica ao Windows Vista e Windows Server 2008, basta seleccione o produto que está listado na página.

Pré-requisitos

Para aplicar esta correcção, instale a correcção no servidor baseado no Windows Server 2008 KDC para resolver este problema.

Nota A correcção descrita por este dados da base de dados de conhecimento da Microsoft corrige apenas o lado do servidor. Também tem de instalar a correcção descrita no 955558 no computador cliente.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correção.

Informações sobre substituição da correção

Esta correcção não substitui quaisquer outras correcções disponibilizadas anteriormente.

Informações de ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário no item data e hora no painel de controlo.

Notas informativas sobre os ficheiros do Windows Vista e Windows Server 2008

Os ficheiros MANIFEST (. manifest) e os ficheiros MUM (. mum) instalados em cada ambiente são listados separadamente. MUM e ficheiros de MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são importantes para manter o estado do componente actualizado. Os ficheiros de catálogo de segurança (atributos não listados) são assinados com uma assinatura digital da Microsoft.

Para todas as versões baseadas em x86 do Windows Server 2008 suportadas

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×