不能使用智能卡证书从基于 Windows Vista 客户端计算机登录到域

适用于: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

症状


在基于 Windows 2008 的域中使用 Active Directory 目录服务,则将启用客户端计算机以使用智能卡身份验证登录到域。不过,当您尝试登录到的域,从基于 Windows Vista 客户端计算机,登录过程可能会失败,并且您可能会收到以下错误消息︰
未找到有效的证书。
检查卡插入
如果智能卡证书不包含 Microsoft 扩展密钥用法 (EKU),则会出现此问题。此外,如果已安装在客户端计算机上的 Microsoft 知识库文章 955558 中提到的修补程序,可能会收到以下错误消息︰
无法验证您的凭据。
由于 Kerberos 密钥分发中心 (KDC) 不能验证证书链,如果正确 EKU 不存在,将出现此问题。

原因


由于 Kerberos 密钥分发中心 (KDC) 不接受客户端身份验证 EKU 像预期的那样出现问题。

在客户端证书验证过程,KDC 服务器会检查客户端 EKU。如果客户端身份验证 EKU Microsoft 智能卡 EKU 和初始身份验证 (PKINIT) 客户端身份验证 EKU 公共密钥加密算法都不在 PKINIT RFC 4556,身份验证将失败。

解决方案


修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

Windows Vista 和 Windows Server 2008 的重要修复程序包含在相同的程序包中。但是,这些产品中的只有一个可能"修补程序请求"页上列出。若要请求适用于 Windows Vista 和 Windows Server 2008 的修复程序包,只需选择页列出的产品。

系统必备组件

若要应用此修补程序,安装在基于 Windows Server 2008 的 KDC 服务器来解决此问题的修复。

注意:通过这篇 Microsoft 知识库文章介绍的修复程序只解决了服务器端。您还必须安装在客户端计算机在 955558 中介绍的修复程序。

重启要求

您必须在应用此修补程序后,重新启动计算机。

修补程序替换信息

此修补程序不替换任何其他以前发布的修补程序。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。

Windows Vista 和 Windows Server 2008 的文件信息笔记

分别列出的清单文件 (.manifest) 和安装每个环境的菊花文件 (.mum) 了。菊花和清单文件和关联的安全目录 (.cat) 文件中,是重要的维护更新组件的状态。Microsoft 的数字签名与签名安全目录文件 (未列出的属性)。
对于所有受支持的基于 x86 的 Windows Server 2008 的版本
文件名称文件版本文件大小日期时间平台
Kdcsvc.dll6.0.6001.22307311,29612-Nov-200805:28x86
Kdcsvc.mof不适用530018-Dec-200721:27不适用
对于所有受支持的基于 x64 的 Windows Server 2008 的版本
文件名称文件版本文件大小日期时间平台
Kdcsvc.dll6.0.6001.22307404,99212-Nov-200806:03x64
Kdcsvc.mof不适用530018-Dec-200721:27不适用

状态


Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

参考资料


有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
291010要求从第三方 CA 的域控制器证书


955558向登录到某个域,从基于 Windows Vista 的或基于 Windows Server 2008 的客户端计算机上,您不能使用智能卡证书

详细信息


有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
用于描述 Microsoft 软件更新的标准术语的824684说明

Windows Server 2008 的附加文件信息

对于所有其他文件支持的基于 x86 的 Windows Server 2008 的版本
文件名称Package_for_kb959887_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum
文件版本不适用
文件大小1,430
日期(UTC)12-Nov-2008
时间 (UTC)21:18
文件名称Package_for_kb959887_sc~31bf3856ad364e35~x86~~6.0.1.0.mum
文件版本不适用
文件大小1,422
日期(UTC)12-Nov-2008
时间 (UTC)21:18
文件名称Package_for_kb959887_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum
文件版本不适用
文件大小1,427
日期(UTC)12-Nov-2008
时间 (UTC)21:18
文件名称Package_for_kb959887_server~31bf3856ad364e35~x86~~6.0.1.0.mum
文件版本不适用
文件大小1,430
日期(UTC)12-Nov-2008
时间 (UTC)21:18
文件名称X86_3b4614c27e93e72d332d54b56ce7e9da_31bf3856ad364e35_6.0.6001.22307_none_a64617cf4e815743.manifest
文件版本不适用
文件大小720
日期(UTC)12-Nov-2008
时间 (UTC)21:18
文件名称X86_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6001.22307_none_8c486aedad582e65.manifest
文件版本不适用
文件大小42,276
日期(UTC)12-Nov-2008
时间 (UTC)08:25
所有支持基于 x64 版本的 Windows Server 2008 的其他文件
文件名称Amd64_3929ca5251e14310415056ae12fb5733_31bf3856ad364e35_6.0.6001.22307_none_202c1cc021041400.manifest
文件版本不适用
文件大小724
日期(UTC)12-Nov-2008
时间 (UTC)21:18
文件名称Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6001.22307_none_e867067165b59f9b.manifest
文件版本不适用
文件大小42,320
日期(UTC)12-Nov-2008
时间 (UTC)08:56
文件名称Package_for_kb959887_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum
文件版本不适用
文件大小1,438
日期(UTC)12-Nov-2008
时间 (UTC)21:18
文件名称Package_for_kb959887_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum
文件版本不适用
文件大小1,430
日期(UTC)12-Nov-2008
时间 (UTC)21:18
文件名称Package_for_kb959887_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum
文件版本不适用
文件大小1,435
日期(UTC)12-Nov-2008
时间 (UTC)21:18
文件名称Package_for_kb959887_server~31bf3856ad364e35~amd64~~6.0.1.0.mum
文件版本不适用
文件大小1,438
日期(UTC)12-Nov-2008
时间 (UTC)21:18
本文讨论的第三方产品是由与 Microsoft 无关的公司生产的。Microsoft 不做这些产品的任何担保、默示或其他有关的性能或可靠性。