Résoudre les problèmes d 'ouverture de session Windows
文章décrit les journaux和les messages d ' reur Windows lorsqu 'un utilisateur our session à l 'aide de certificates et/ou de cartes à puce。本杂志提供了您可以使用résoudre les échecs认证的信息。
公共基础设施证书
Windows Active Directory建议使用gèrent les certificates pour les utilisateurs qui ouvrent session。
- Magasin de Certificats Ntauth: pour s ' authenticfier auprès de Windows, l 'autorité de certification émettant les certificats utilisateur (aucune chaîne n 'est prise en charge) doit être placée dans le magasin NTAuth。输入证书,代理程序certutil, entrez: certutil -viewstore -enterprise NTAuth。
- 认证机构和中介机构:enRègleGénérale,LesSystèmesd'Ouverturede会话Par Certificat Peuvent Fournir Un Seul认证。DONC,SI UNECHAîneStuillisée,Le Magasin de CertificatesIntermédiairessur吹捧Les Machines Doit Inderure CES认证。Le Certificat Racine Doitêtredanslemagasin racine de cuniance等,丹麦德·德尼尔证书Doitêtredanslemagasin ntauth。
- 会议和stratégie组证书的扩展:Windows Peutêtrecigcuréppashiquerlavérificationdes eku et d'autresstratégiesde certificat。Consultez La文档Microsoft:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-2008/ff404287(v=ws.10).
| 登记册 | 描述 |
|---|---|
| 允许使用Noeku的证书 | Lorsqu 'elle est désactivée,所有证书包括utilisation améliorée de la clé (EKU) pour l ' outure de session avec carte à puce。 |
| allikignitupeonlykeys. | Pardéfaut,Windows FiltreLesClésVéseesde Certificats Qui Ne Ne Ne Ne Ne渗透Pas LeDécryptageRSA。Cette选项删除CE Filtre。 |
| AllowTimeInvalidCertificates | Par défaut, Windows滤镜证书expirés。Cette选项删除CE Filtre。 |
| EnumerateECCCerts | 主动l'authentificationácourbe elliptique。 |
| X509HintsNeeded | SI UN Certificat Ne Contients Pas De Nom D'Utilisateur校长(UPN)独特,OU S'ilPatêtreambigu,Cette Occoped Permet Aux UtiliSateurseUsturs deSpécifier柔软leur compte d'Ouurmente De Session Windows。 |
| UseCachedCRLOnlyAnd, IgnoreRevocationUnknownErrors | 职业资格证书认证活动(区域合同最终确定)。 |
- 证书du contrôleur de domaine:倒立验证器LES Connexions Kerberos,Tous Les服务Doivent Avoir des Certificats«Contrôleurde Domaine»Appliés。ILS PEUVENTêtreSquaredssdequis le菜单Du Comporant Logiciel Enfichable MMC«本地计算机证书个人商店»(Magasin人员De Certificate De L'Ordintur本地)。
认证名称和地图页
我建议使用证书,包括联合国名称和使用人委托人(UPN)唯一名称和扩展名称。
Noms Upn Dans Active Directory
这是ActualAudieUnPnICITE,Base Surle mod Ele,No.UndoStudiaEuthaSAM> @ NETBIOSITORION SAM> > NUTIOLISTATEULIONSAM> @ FQDNDOMICAN>争议领域和域名的完整性包括所有争议的根源。Veuillez noter是一家名为peut disposer的酒庄,该酒庄的店名与店名完全一致。
另外,请检查active Directory是否使用一个明确的UPN和des userprincipalnames。这是entrées LDAP qui spécifient le nom d’utilisateur principal (UPN) pour l’utilisateur。
按照UPN的规定,在domaine courant (en函数'identité du recherche de UPN的过程)中,UPN明确说明了UPN的替代。它不存在没有通信,它隐含的upn,它可以是résoudre sur différents domaines de forêt。
Service de Mappage de Certificat
如果该证书没有明确的含义,Active Directory将该证书公开准确地使用«x509证书»。输入résoudre一tel证书,输入一个效用者,并询问属性指示(par défaut,但需输入一个域名)。
在联合国区域间环境利用的基础上,制定一份完整的资源利用计划,以确保资源的回收和利用。
在forêt中存在多个域名,并且使用域名spécifie不是明确的一个域名,Active Directory rootDSE spécifie l 'emplacement du service de mappage de certificate。它是généralement situé在一个全局目录机器上,bénéficie在我们的属性x509证书的缓存上,forêt。在所有的域名中,我们都有一个独一无二的证书。
会议区控制选举
环境保护部继续加强对区域的控制,确保对区域的控制权和控制权的使用,以确保认证、新闻报道和杯赛的有效性。
Contrôler la sélection du contrôleur de domaine
在使用强制窗口时,您可以使用配置的fichier lmhosts:\Windows\System32\drivers\etc\lmhosts\。
IL存在Généraless联合国Exemple de FichierNommé«Lmhosts.sam»Dans Cet展开。ilvous sufet d'Iditure Une Ligne:
1.2.3.4 dcnetbiosname#PRE#DOM:mondomaine
Où«1.2.3.4»est l’address IP du contrôleur de domaine nommé«dcnetbiosname»dans le domaine«mondomaine»。
Après un redémarrage, la machine Windows利用ces信息将会话提交给mondomaine。注意这个配置是être rétablie或débogage。
标识符le contrôleur de domaine utilisé
À l 'ouverture de session, Windows définit une variable d ' environment MSDOS avec le contrôleur de domaine qui a ouversession de l 'utilisateur。Pour la voir, démarrez i 'invite de command avec la command:回显%LOGONSERVER%.
Les CysOxLi’s ''''鉴定'SttStays'''Surr.'Reavee'Paer-CeTe'命令。
activeles événements d 'audit de compte
P.DeEffutt,Les Cutr.LeulsDeMulaINDOWINDOWS N'ActualPaS LeaSouthx D'Couth-Dun-CoptTysPrimes。这是一个很好的例子。作为一项活动,信息领域的控制中心为《安全与环境杂志》提供支持。
证书的验证日期
Vérifier la validité du certificat
如果您的订单证书是出口证书(无需保密),您的订单有效期为:certutil–verify user.cer
Activer la journalisation CAPI
在区域控制和机器使用区,ouvrez l'Observator d'vénements et activez在Microsoft/Windows/CAPI2/Operational Logs日志中记录。
Vous pouvez contrôler la journalisation CAPI avec les clés de registration dans: CurrentControlSet\Services\crypt32。
| 个数值 | 描述 |
|---|---|
| Diadgevel(DWORD) | Niveau deétail(0°5) |
| DiagMatchAnyMask(四字) | 过滤设备(利用0xffffff倒头) |
| DiagProcessName(多线程) | filter par nom du process(例如,LSASS.exe) |
卡皮新闻社
| 信息 | 描述 |
|---|---|
| 构建链 | CertGetCertificateChain appelé par LSA (understand résultat) |
| 验证撤销 | CurtVIFIFY撤销AppEl PAR LSA(包括RR SultAT) |
| X509对象 | 在模式détaillé, les certificats et les listde révocation de certificats (CRL) sont placés dans AppData\LocalLow\Microsoft\X509Objects |
| 验证链策略 | CertverifyChainPolicyAppeléParLSA(包括Paramètres) |
留言
| 代码D'Erreur. | 描述 |
|---|---|
| 证明非approuve | 证书à puce n 'a pas être créé à内容证书在证书杂志approuvés和intermédiaires顺序。 |
| ErreurdeVérificationde larévocationde Certificats | 法律证书是一个很好的证明。公共基础设施证书. |
| erreurs d'利用率de证书 | Le认证N'est-PAS协议。 |
Kerberos日志
Pour activer la journalisation Kerberos, sur contrôleur de domaine et la machine utilisateur, créez les valevalde registrsuivantes:
| Ruche. | 诺姆德拉瓦勒尔 | valeur [DWORD] |
|---|---|---|
| CurrentControlset \ Control \ LSA \ Kerberos \参数 | 对数电平 | 0x1. |
| CurrentControlset \ Control \ LSA \ Kerberos \参数 | KerbDebuglevel | 0xFFFFFF |
| CurrentControlSet\Services\Kdc | KdcDebugLevel | 0x1. |
| CurrentControlSet\Services\Kdc | KdcExtraLogLevel | 0x1f. |
La Coundisidation KerberosEstécriteDansLe Journald'Événemenssystème。
- Les messages tell que«certificat non approuvé»(不受信任的证书)devraient être facility à diagnostiquer。
- 信息和信号的双重编码:
- 所需的KDC_ERR_PREAUTH_(适用于控制区域和古人)
- Erreur Innonnue 0x4B.
消息des Journaux d'événements
在décrit les entrées的期刊上,在contrôleur de domaine和工作地点,我们将使用我们的会议和证书。
- CAPI2 du contrôleur de domaine期刊
- 地区控制新闻社
- 虚拟交付代理(VDA)
- Capi VDA期刊
- 杂志和共识
CAPI2 du contrôleur de domaine期刊
会议通知请见contrôleur有效域名证书,上诉人请见séquence d 'entrées期刊请见illustré cis -dessous。
Le Dernier Message Du JournalD'ÉvénementsIgiqueQue Lsass.exe Sur LeContrôleurde Domaine Constuit UneChaîneen Fonction du Certificat Fourni Par Le VDA etVérifieSAanvervité(Y Contris LaRévocation)。LeRésultat«Error_Success»。
DeSécuritéducontôleurde Domaine
区域管理委员会,会议结束后的会议,会议结束后的会议结束,会议结束后的会议结束时间为4768天,会议结束后的会议结束后的会议结束后,会议结束后的会议结束后,会议结束后的会议结束后,会议结束后的会议结束后,会议结束后的会议结束。
这封信的作者是一位独立的服务器管理员,他是一位独立的管理员。这封信是一家独立的公司,它是一家新成立的krbtgt utilisépour s'authentifier auprès du contrôleur de domaine的公司。
sécurité VDA杂志
《证券交易审计期刊》第4648期,Provant de winlogon.exe。
Capi VDA期刊
CET Exemple de Journal CapiVdaPrésenteUneSéquenceDeChaîneTevérificationdechuis Lsass.exe,有效的Le Certificat DuContrôleurde Domaine(DC.CitrixTest.Net)。
杂志和共识
如果会话Kerberos是activée,则日志système affiche l ' error KDC_ERR_PREAUTH_REQUIRED (qui peut être ignorée)和另一个entrée de Winlogon,如果会话Kerberos是réussi。
新闻周刊
Les TableauxSuivantsRépertorientLESNERTÉESde journal d'événemensgénéréespar fas。
Événements d 'administration du [Service d ' authentication fédérée]
[来源:événement: Citrix.Authentication.FederatedAuthenticationService]
由于服务配置的修改,因此,客户不需要对其进行响应。
| 代码DE Journal. |
|---|
| [S001]访问被拒绝:用户[{0}]不是管理员组的成员 |
| [S002]访问被拒绝:用户[{0}]不是角色的管理员[{1}] |
| [S003]管理员[{0}]设置维护模式为[{1}] |
| [S004]管理员[{0}]使用模板[{2}和{3}]向CA[{1}]请求授权证书 |
| [S005]管理员[{0}]取消授权CA[{1}] |
| [S006]管理员[{0}]创建新证书定义[{1}] |
| [S007]管理员[{0}]更新证书定义[{1}] |
| [S008]管理员[{0}]删除证书定义[{1}] |
| [S009]管理员[{0}]创建新规则[{1}] |
| [S010]管理员[{0}]更新规则[{1}] |
| [S011]管理员[{0}]删除规则[{1}] |
| [S012] Administrator [{0}] creating certificate [upn: {1} sid: {2} rule: {3}][certificate Definition: {4}][Security Context: {5}] |
| [S013]管理员[{0}]删除证书[UPN:{1}角色:{2}证书定义:{3}安全上下文:{4}] |
| [S015]管理员[{0}]创建证书请求[TPM:{1}] |
| [S016]管理员[{0}]导入授权证书[参考:{1}] |
| [S022]管理员[{0}]设置维护模式为“关闭 |
| [S023]管理员[{0}]将维护模式设置为ON |
| [S024]管理员[{0}]设置系统健康监视器 |
| [S025]管理员设置系统运行状况监视器 |
| [S050]管理员[{0}]创建新的云配置:[{1}] |
| [S051]管理员[{0}]更新云配置[{1}] |
| [S052]管理员[{0}]正在删除云配置 |
| 代码DE Journal. |
|---|
| [S401]执行配置升级- [From version {0}][to version {1}] |
| [S402] ERROR: The Citrix Federated Authentication Service must be run as Network Service [current running as:{0}]错误提示 |
| [S404]强制删除Citrix联邦认证服务数据库 |
| [S405]将数据从注册表迁移到数据库时出错:[{0}] |
| [S406]已完成从注册表到数据库的数据迁移(注意:未迁移用户证书) |
| [S407]基于注册表的数据未迁移到数据库,因为数据库已存在 |
| [S408]不能降级配置- [From version {0}][to version {1}] |
| [S409] ThreadPool configuration succeeded - MinThreads adjusted from [workers: {0} completion: {1}] to: [workers: {2} completion: {3}] |
| [S410] ThreadPool configuration failed - failed to adjust MinThreads from [workers: {0} completion: {1}] to: [workers: {2} completion: {3}];这可能会影响FAS服务器的可伸缩性 |
| [S411]启动FAS服务时出错:[{0}] |
| [S412]配置升级完成 - [从版本{0}] [版本{1}] |
确认[服务认证fédérée]
[来源:événement: Citrix.Authentication.FederatedAuthenticationService]
CESÉvénemenssSont作业版AU MOUNT DE L'EXIARCUTION SUR LE Sityur Fas Lorsqu'un ServicurAppouvé假设L'Ouverture de Session d'Un Unitisateur。
| 代码DE Journal. |
|---|
| [S101]服务器[{0}]未被授权在角色[{1}]中断言身份 |
| [S102]服务器[{0}]无法assert UPN [{1}](例外:{2} {3}) |
| [S103]服务器[{0}]请求UPN [{1}] SID{2},但查找返回SID {3} |
| [S104] Server [{0}]无法assert UPn [{1}](upn不允许通过角色[{2}]) |
| [S105] Server [{0}]发出的标识断言[UPn:{1},角色{2},安全上下文:[{3}]] |
| [S120]向[upn: {0} role: {1} Security Context:[{2}]]颁发证书 |
| [S121][认证机构:{2}]颁发给[upn: {0} role:{1}]的证书 |
| [S122]警告:服务器超载[upn:{0}角色:{1}][每分钟请求数{2}]。 |
| [S123]无法为[UPN:{0}角色:{1}] [异常:{2}]发出证书 |
| [S124] Failed to issue a certificate for [upn: {0} role: {1}] at [certificate authority: {2}] [exception: {3}] |
委托方[认证服务fédérée]
[来源:événement: Citrix.Authentication.FederatedAuthenticationService]
这是一份关于服务执行时刻的新闻报道,它将VDA与利用者联系起来。
| 代码DE Journal. |
|---|
| [S201]依赖方[{0}]无法访问密码。 |
| [S202]依赖于方[{0}]无法访问证书。 |
| [S203]依赖方[{0}]无权访问登录CSP |
| [S204]依赖方[{0}]以[{4}]授权的[upn:{1}]角色[{2}][操作:{3}]访问登录CSP |
| [S205]拒绝依赖方访问-呼叫帐户[{0}]不是规则[{1}]允许的依赖方 |
| [S206]呼叫帐户[{0}]不是依赖方 |
| [S208] Private Key operation failed [operation: {0}][upn: {1} role: {2} certificateDefinition {3}][Error{4}{5}]。 |
Service de certificats dans la session [Service d ' authentication fédérée]
[来源:événement: Citrix.Authentication.FederatedAuthenticationService]
在这里输入événements sont journalisés在我们的服务中,您可以在会议中使用一份证书。
| 代码DE Journal. |
|---|
| [S301] Access Denied:用户[{0}]没有访问虚拟智能卡的权限 |
| [S302]用户[{0}]请求未知虚拟智能卡[拇指指纹:{1}] |
| [S303]访问被拒绝:用户[{0}]与虚拟智能卡不匹配[UPN:{1}] |
| [S304]用户[{0}]使用虚拟智能卡[upn:{3}角色:{4}指纹:{5}]在计算机[{2}]上运行程序[{1}],用于私钥操作[{6}] |
| [S305]私钥操作失败[操作:{0}][upn:{1}角色:{2}容器名称{3}][错误{4}{5}]。 |
FAS断言插件[Service d ' authentication fédérée]
[来源:événement: Citrix.Authentication.FederatedAuthenticationService]
Ces événements sont enregistrés par le d’assertion FAS。
| 代码DE Journal. |
|---|
| [S500]未配置FAS断言插件 |
| [S501]配置的FAS断言插件无法加载[例外:{0}] |
| [S502] FAS断言插件加载[pluginId={0}] [assembly={1}] [location={2}] |
| [S503] Server [{0}] failed to assert UPN [{1}] (logon evidence被提供,但插件[{2}]不支持它) |
| [S504]服务器[{0}]无法断言UPN[{1}](提供了登录证据,但没有配置FAS插件) |
| [S505]服务器[{0}]无法断言UPN[{1}](插件[{2}]拒绝了状态为[{3}]且消息为[{4}]的登录证据) |
| [S506] The plugin [{0}] accepted login evidence from server [{1}] for UPN [{2}] with message [{3}] |
| [S507]服务器[{0}]无法断言UPN[{1}](插件[{2}]在方法[{4}]期间引发异常[{3}]) |
| [S507]服务器[{0}]无法断言UPN[{1}](插件[{2}]引发异常[{3}]) |
| [S508]服务器[{0}]无法断言UPn [{1}](提供访问处理,但插件[{2}]不支持它) |
| [S509] Server [{0}] failed to assert UPN [{1}] (access disposition was供应,但没有配置FAS插件) |
| [S510]服务器[{0}]无法断言UPN[{1}](插件[{2}认为访问配置无效) |
FAS兼容AVEC工作区[Service d'身份艺术Fédérée]
[来源:Citrix.Fas.Cloud]
Ces événements sont consignés lorsque FAS est utilisé conjoinement avec Workspace。
| 代码DE Journal. |
|---|
| [S001]旋转Citrix云服务键[fas id={0}] |
| [S002]云支持模块启动。FasHub云服务URL: {0} |
| [S003]FAS已向云注册[FAS id:{0}][事务id:{1}] |
| [S004] FAS failed to register with the cloud [FAS id: {0}] [transaction id: {1}] [exception: {2}] |
| [S005] FAS将当前配置发送到云[FAS id: {0}] [transaction id: {1}] |
| [S006]FAS无法将其当前配置发送到云[FAS id:{0}][事务id:{1}][异常:{2}] |
| [S007] FAS从云中缺省[FAS ID:{0}] [事务ID:{1}] |
| [S009] FAS failed to unregister from the cloud [FAS id: {0}] [transaction id: {1}] [exception: {2}] |
| [S010] FAS服务连接到云消息URL: {0} |
| [S011] FAS服务未接入云 |
| [S012]FAS服务可用于Citrix Cloud的单点登录 |
| [S013] FAS服务无法从Citrix Cloud单点登录更多细节可以在管理控制台找到 |
[S014]对云服务的呼叫<服务名称>失败[fas id: {0}] [transaction id: {1}] [exception: {2}] |
| [S015]来自Citrix Cloud的消息被阻止,因为不允许调用方[message ID{0}][transaction ID{1}][caller{2}] |
[S016]对云服务的呼叫<服务名称>成功[FAS ID:{0}] [事务ID:{1}] |
| [S019] FAS从云下载其配置[FAS id: {0}] [transaction id: {1}] |
| [S020]FAS未能从云下载其配置[FAS id:{0}][事务id:{1}][异常:{2}] |
| [S021]云支持模块启动失败。异常:{0} |
| [S022]云支持模块停止 |
| [S202]运行状况监控器遇到意外异常,可能已停止工作:异常:{0} |
会议概况[VDA]
[来源:événement: Citrix.Authentication.IdentityAssertion]
Ces événements sont journalisés在VDA杜兰特的会议开始阶段。
| 代码DE Journal. |
|---|
| [S101]身份断言登录失败无法识别的联邦认证服务[id: {0}] |
| [S102] Identity断言登录失败。无法查找{0} [异常:{1} {2}] |
| [S103]身份断言登录失败。用户{0}具有SID{1},应为SID{2} |
| [S104]标识断言登录失败。无法连接到联合身份验证服务:{0}[错误:{1}{2}] |
| [S105]标识断言登录。登录[用户名:{0}][域:{1}] |
| [S106]身份断言登录。\ n \ nfederated身份验证服务:{0} \ n \ n \ n \ n \ n in [证书:{1}] |
| [S107]身份断言登录失败。[例外:{0}{1}] |
| [S108]身份断言子系统。访问被拒绝[调用方:{0}] |
课程证书[VDA]
[来源:événement: Citrix.Authentication.IdentityAssertion]
《世界新闻报》的新闻报道使用了联合国证书。
| 代码DE Journal. |
|---|
| [S201][{0}]授权的虚拟智能卡访问[PID:{1}程序名:{2}][证书拇指印:{3}] |
| [S203]虚拟智能卡子系统。拒绝访问[调用方:{0},会话{1}] |
| [S204]虚拟智能卡子系统智能卡支持失效 |
证书和证书副本需求[认证服务fédérée]
[来源:événement: Citrix.Fas.PkiCore]
这是一份新闻报道,它的服务对基本新闻的密文操作产生了影响。
| 代码DE Journal. |
|---|
| [S001] trustarea :: trustarea:安装证书[trustarea:{0}] [证书{1}] [trustareajoinparameters {2} |
| [S014] Pkcs10Request::Create: Created PKCS10 request [Distinguished Name {0}] |
| [S016] PrivateKey::Create [Identifier {0}][MachineWide: {1}][Provider: {2}][ProviderType: {3}][EllipticCurve: {4}][KeyLength: {5}][isExportable: {6}] |
| [S017]PrivateKey::删除[CspName:{0},标识符{1}] |
| 代码DE Journal. |
|---|
| [S104] MicrosoftCertificateAuthority::GetCredentials: Authorized to use {0} |
| [S105] MicrosoftCertificateAuthority :: submitCertificateRequest错误提交响应[{0}] |
| [S106]MicrosoftCertificateAuthority::SubmitCertificateRequest颁发的证书[{0}] |
| [S112] MicrosoftCertificateAuthority :: submitCertificateRequest - 等待批准[CR_DISP_UNDER_SUBMISSION] [参考:{0}] |
最终使用信息
在会议窗口的页面上贴上一张邮件列表。
| 信息误差公告 | 描述和频率 |
|---|---|
| 使用的笔名或者已经失效的笔名 | 联合国证书和证书的处理协调技术,包括Kerberos领域的控制和连接。领事部Kerberos日志德塞特文章。 |
| système,我不给你们接电话。识别信息是不可能的。/ La requête n 'est pas prise en charge。 | Le Controller De Domaine Ne Patut PasêtreCollegeAteOu Le Controller de Domaine N'aPasÉtéConfiguréAvec联合国证书奖励en充电L'验证ParCarteàPuce。Intcrivez Les Certificats deContrôleurde domaine pour«验证kerberos»,«验证ducontrôleurdo domain»ou«contrôleurde Domaine»。CetteRéinscriptionest推荐的Cette rorscription EstRessionée,Même环形LE证书现有的词场valide。 |
| système,我不给你们接电话。certificate de carte à puce utilisé pour l ' certification n '不是approuvé。 | 在当地坐标上安装认证证书。咨询公共基础设施证书. |
| 需求方不正确 | 我们习惯性地认为证书的扩展不应该是définies的修正,而应该是clé的RSA(<2 048位)。 |
信息Connexes.
- 酒庄的配置可根据您的选择à紫色:http://support.citrix.com/article/CTX206156
- Stratégies d 'ouverture de session par carte à puce:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-2008/ff404287(v=ws.10)
- 会话CAPI的激活:http://social.technet.microsoft.com/wiki/contents/articles/242.troubleshooting-pki-problems-on-windows.aspx
- Kerberos会话启动:https://support.microsoft.com/en-us/kb/262177
- 使用说明为激活的会话权限à puce avec des autorités认证层:https://support.microsoft.com/en-us/kb/281245