Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account."

Folgendes Szenario angenommen:

• Ein Benutzer verfügt über ein Smartcard Logon Zertifikat und meldet sich mit diesem an der Active Directory Domäne an.
• Die Anmeldung schlägt fehl. Folgende Fehlermeldung wird dem Benutzer an seinem Computer zurückgegeben:

Signing in with a security device isn't supported for your account. For more info, contact your administrator.

Im Deutschen lautet die Meldung:

Die SmartCard-Anmeldung wird für ihr Konto nicht unterstützt.

Entsprechende Ereignisse sollte auch auf dem entsprechenden authentisierenden Domänencontroller protokolliert werden:

• Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
• Details zum Ereignis mit ID 29 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center

This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate.

The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.

Mögliche Ursachen

Der Fehler tritt unter Anderem dann auf,

• wenn die Domänencontroller keine für Smartcard Anmeldung nutzbaren Zertifikate besitzen (beispielsweise weil die notwendigen Extended Key Usages nicht enthalten sind).
• Es sind keine Sperrstatusinformationen über das Dmänencontroller-Zertifikat des authentisierenden Domänencontrollers, etwa weil der Server, auf dem sich die Sperrlistenverteilungspunkte befinden, vom authentisierenden Domänencontroller nicht erreichbar ist (offline oder durch eine Firewall blockiert), oder weil die Sperrlistenverteilungspunkte zwar erreichbar, die Sperrlisten jedoch abgelaufen sind.

Probleme mit den Sperrlistenverteilungspunkten (Verfügbarkeit und Aktualität der Sperrlisten) kann jedes Zertifikat in der zu prüfenden Zertifikatkette betreffen, beispielsweise auch dann wenn die Sperrliste einer Zertifizierungsstelle in der Kette abgelaufen ist (klassischerweise die Stammzertifizierungsstelle, deren Sperrlistenerneuerung versäumt wurde).

Wenn die Sperrliste der Stammzertifizierungsstelle abgelaufen sein sollte ist ein häufiger Folgefehler, dass untergeordnete Zertifizierungsstellen nicht mehr starten, da diese beim Dienststart die Gültigkeit ihres eigenen Zertifizierungsstellen-Zertifikats überprüfen.

Weiterführende Links:

• Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "The revocation status of the authentication certificate could not be determined."
• Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung
• Häufig verwendete erweiterte Schlüsselverwendungen (Extended Key Usages) und Ausstellungsrichtlinien (Issuance Policies)