Détails de l'événement avec ID 29 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center

Source de l'événement :	Centre de distribution de clés Microsoft-Windows-Kerberos
ID de l'événement :	29 (0x8000001D)
Journal des événements :	Système
Type d'événement :	Avertissement
Texte de l'événement (en anglais) :	Le Centre de distribution de clés (KDC, Key Distribution Center) ne parvient pas à trouver un certificat approprié à utiliser pour les connexions par carte à puce, ou le certificat KDC n'a pas pu être vérifié. La connexion par carte à puce peut ne pas fonctionner correctement si ce problème n'est pas résolu. Pour résoudre ce problème, vérifiez le certificat KDC existant à l'aide de certutil.exe ou inscrivez-vous pour obtenir un nouveau certificat KDC.
Texte de l'événement (en allemand) :	Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von „certutil.exe“, oder registrieren Sie sich für ein neues KDC-Zertifikat.

Exemple d'événements

The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Description

Diese Meldung tritt auf, wenn eine Anmeldung via Smartcard erfolgt, aber das Zertifikat des Domänencontrollers über keine der erforderlichen utilisation étendue des clés (Extended Key Usage) verfügt.

Dies ist beispielsweise dann der Fall, wenn eine angepasste sicherheitsgehärtete Zertifikatvorlage für die Domänencontroller verwendet wird, welche keine Smartcard Anmeldung erlaubt.

Das Ereignis tritt zusammen auf mit dem Événement n° 19.

Voir aussi l'article "La connexion via carte à puce échoue avec le message d'erreur "Signing in with a security device isn't supported for your account".„ .

Kann auch auftreten, wenn die Domänencontroller die Gültigkeit ihrer eigenen Zertifikate nicht prüfen können, etwa weil die Sperrlistenveteilpunkte offline sind, oder weil die Vertrauensstellung zur Stammzertifizierungsstelle nicht eingerichtet ist.

Weitere Informationen

• Für mehr Informationen betreffend der Standard-Zertifikatvorlagen für Domänencontroller siehe Artikel „Aperçu des différentes générations de certificats de contrôleur de domaine„ .
• Für mehr Informationen betreffend Smartcard Anmeldung siehe Artikel „Modèles de certificats de contrôleur de domaine et inscription par carte à puce„ .
• Für die korrekte Konfiguration einer Zertifikatvorlage für Domänencontroller siehe Artikel „Configurer un modèle de certificat pour les contrôleurs de domaine„ .

Évaluation de la sécurité

L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).

Werden sicherheitsgehärtete Zertifikatvorlagen für die Domänencontroller-Zertifikate verwendet, welche die Anmeldung via Smartcard nicht erlauben, kann dieses Ereignis ein Hinweis auf einen unerlaubten Anmeldeversuch sowie auf Kompromittierung einer Zertifizierungsstelle hinweisen. Es wäre in diesem Fall hinsichtlich der Integrität als „kritisch“ zu bewerten.

Für eine Beschreibung der zugrundeliegenden Problematik siehe Artikel „Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce„ .

Liens complémentaires :

• Aperçu des événements Active Directory pertinents pour la PKI
• Aperçu des événements Windows générés par l'autorité de certification
• Aperçu des événements d'audit générés par l'organisme de certification
• Modèles de certificats de contrôleur de domaine et inscription par carte à puce
• Configurer un modèle de certificat pour les contrôleurs de domaine
• Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce

Sources externes

• Event ID 29 — KDC Certificate Availability (Microsoft)