Симптомы
В домене Windows 2008, с помощью службы каталогов Active Directory Включите клиентский компьютер для использования проверки подлинности смарт-карты для входа в домен. Однако при попытке входа в домен с компьютера под управлением Windows Vista, процесс входа в систему не удастся и может появиться следующее сообщение об ошибке:
Действительные сертификаты не найдены.
Проверьте, что карта вставлена
Эта проблема возникает, если сертификат смарт-карты не содержит использования расширенного ключа (EKU). Кроме того Если установлено исправление, описанное в статье базы знаний Майкрософт 955558 на клиентском компьютере может появиться следующее сообщение об ошибке:
Не удалось проверить учетные данные.
Эта проблема возникает, так как центр распространения ключей Kerberos (KDC) не удается проверить цепочку сертификатов, если правильно расширенного использования ключа не существует.
Причина
Эта проблема возникает, так как центр распространения ключей Kerberos (KDC) не поддерживают проверку подлинности клиента EKU должным образом.
При проверке клиентского сертификата KDC сервер проверяет клиента EKU. При проверки подлинности клиента EKU EKU Microsoft смарт-карты, ни шифрования с открытым ключом для клиента начальной проверки подлинности (PKINIT) расширенного использования ключа для проверки подлинности, как определено в RFC 4556 PKINIT, проверка подлинности завершается неудачно.
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
В те же пакеты включены важные исправления для Windows Vista и Windows Server 2008. Однако только один из этих продуктов могут быть указаны на странице «Запрос исправления». Чтобы запросить пакет исправлений, который применяется в Windows Vista и Windows Server 2008, просто выберите продукт, который указан на странице.
Предварительные условия
Для установки этого исправления установите исправление на сервере под управлением Windows Server 2008 KDC для решения этой проблемы.
Примечание. Исправление, описанное в данной статье базы знаний Майкрософт устраняет только со стороны сервера. Необходимо также установить исправление, описанное в 955558 на клиентском компьютере.
Необходимость перезагрузки
Необходимо перезагрузить компьютер после установки данного исправления.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Сведения о файлах
Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента Дата и время в панели управления.
Примечания к сведениям о файле Windows Vista и Windows Server 2008
Файлы МАНИФЕСТА (.manifest) и файлы MUM (.mum), устанавливаемые для каждой среды, указаны отдельно. MUM и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности (атрибуты не указаны) подписаны цифровой подписью Майкрософт.
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x86
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
---|---|---|---|---|---|
Kdcsvc.dll |
6.0.6001.22307 |
311,296 |
12-Nov-2008 |
05:28 |
x86 |
Kdcsvc.mof |
Неприменимо |
5 300 |
18-Dec-2007 |
21:27 |
Неприменимо |
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x64
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
---|---|---|---|---|---|
Kdcsvc.dll |
6.0.6001.22307 |
404,992 |
12-Nov-2008 |
06:03 |
x64 |
Kdcsvc.mof |
Неприменимо |
5 300 |
18-Dec-2007 |
21:27 |
Неприменимо |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Ссылки
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
291010 требования к сертификатам контроллеров домена от стороннего ЦС
955558 нельзя использовать сертификат смарт-карты для входа в домен с системой Windows Vista или компьютер под управлением Windows Server 2008
Дополнительные сведения
Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Сведения о дополнительных файлах для Windows Server 2008
Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 для систем на базе x86
Имя файла |
Package_for_kb959887_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Версия файла |
Неприменимо |
Размер файла |
1,430 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Имя файла |
Package_for_kb959887_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Версия файла |
Неприменимо |
Размер файла |
1,422 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Имя файла |
Package_for_kb959887_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Версия файла |
Неприменимо |
Размер файла |
1,427 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Имя файла |
Package_for_kb959887_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Версия файла |
Неприменимо |
Размер файла |
1,430 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Имя файла |
X86_3b4614c27e93e72d332d54b56ce7e9da_31bf3856ad364e35_6.0.6001.22307_none_a64617cf4e815743.manifest |
Версия файла |
Неприменимо |
Размер файла |
720 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Имя файла |
X86_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6001.22307_none_8c486aedad582e65.manifest |
Версия файла |
Неприменимо |
Размер файла |
42,276 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
08:25 |
Дополнительные файлы для всех поддерживаемых 64-разрядных версий Windows Server 2008
Имя файла |
Amd64_3929ca5251e14310415056ae12fb5733_31bf3856ad364e35_6.0.6001.22307_none_202c1cc021041400.manifest |
Версия файла |
Неприменимо |
Размер файла |
724 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Имя файла |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6001.22307_none_e867067165b59f9b.manifest |
Версия файла |
Неприменимо |
Размер файла |
42,320 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
08:56 |
Имя файла |
Package_for_kb959887_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Версия файла |
Неприменимо |
Размер файла |
1,438 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Имя файла |
Package_for_kb959887_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Версия файла |
Неприменимо |
Размер файла |
1,430 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Имя файла |
Package_for_kb959887_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Версия файла |
Неприменимо |
Размер файла |
1,435 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Имя файла |
Package_for_kb959887_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Версия файла |
Неприменимо |
Размер файла |
1,438 |
Дата (UTC) |
12-Nov-2008 |
Время (UTC) |
21:18 |
Продукты независимых производителей, обсуждаемые в этой статье, производятся компаниями, независимыми от корпорации Майкрософт. Корпорация Майкрософт не дает никаких явных или подразумеваемых гарантий относительно производительности или надежности этих продуктов.