Supposons le scénario suivant :
- Un utilisateur dispose d'un Connexion par carte à puce et se connecte au domaine Active Directory avec ce certificat.
- La connexion échoue. Le message d'erreur suivant est renvoyé à l'utilisateur sur son ordinateur :
Signing in with a security device isn't supported for your account. For more info, contact your administrator.
En allemand, le message est le suivant
Die SmartCard-Anmeldung wird für ihr Konto nicht unterstützt.
Les événements correspondants doivent également être consignés sur le contrôleur de domaine authentifiant correspondant :
- Détails de l'événement avec ID 19 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center
- Détails de l'événement avec ID 29 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center
This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate.
The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.
Causes possibles
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
L'erreur se produit entre autres dans les cas suivants
- si les contrôleurs de domaine ne possèdent pas de certificats utilisables pour l'inscription par carte à puce (par exemple parce que les certificats nécessaires ne sont pas disponibles). Usages étendus des clés ne sont pas inclus).
- Il n'y a pas de Informations sur l'état de blocage via le certificat de contrôleur de domaine du contrôleur de domaine authentifiant, par exemple parce que le serveur sur lequel se trouvent les points de distribution de la liste de révocation n'est pas accessible par le contrôleur de domaine authentifiant (hors ligne ou par une Pare-feu bloqué), ou parce que les points de distribution de listes de blocage sont accessibles, mais que les listes de blocage ont expiré.
Les problèmes liés aux points de distribution des listes de révocation (disponibilité et actualité des listes de révocation) peuvent concerner n'importe quel certificat de la chaîne de certificats à vérifier, par exemple aussi lorsque la liste de révocation d'une autorité de certification de la chaîne a expiré (classiquement l'autorité de certification racine dont le renouvellement de la liste de révocation a été omis).
Si la liste de révocation de l'autorité de certification de base devait avoir expiré, il s'agit d'une erreur consécutive fréquente, que les autorités de certification subordonnées ne démarrent plusLes services de certification ne sont pas des services de certification de l'autorité de certification, car ils vérifient la validité de leur propre certificat d'autorité de certification au démarrage du service.
Liens complémentaires :
- La connexion via carte à puce échoue avec le message d'erreur "The revocation status of the authentication certificate could not be determined".
- Modèles de certificats de contrôleur de domaine et inscription par carte à puce
- Utilisations étendues des clés (Extended Key Usages) et politiques d'émission (Issuance Policies) fréquemment utilisées
Français 
Deutsch 
English
Les commentaires sont fermés.