Windowsログオンの問題のトラブルシューティング
ここでは,ユーザーが証明書やスマートカードを使用してログオンするときに,Windowsが提供するログおよびエラーメッセージについて説明します。これらのログには,認証の失敗をトラブルシューティングするために使用できる情報が含まれています。
証明書と公開キー基盤
Windows Active Directoryはユーザーのログオン用証明書を管理するいくつかの証明書ストアを保守しています。
- NTAuth証明書ストア: Windowsへの認証のため,ユーザー証明書をすぐに発行する証明機関(つまりチェーンはサポートされません)をNTAuthストアに配置する必要があります。これらの証明書を表示するには,certutilプログラムから次のように入力します。certutil -viewstore -enterprise NTAuth
- ルートおよび中清明书ストア:通常,証明書ログオンシステムは単一の証明書のみを提供できるため,チェーンが使用中の場合,すべてのマシン上の中間証明書ストアがこれらの証明書を含んでいる必要があります。ルート証明書は信頼されたルートストアに,最後から2番目の証明書はNTAuthストアにある必要があります。
- ログオン証明書拡張とグループポリシー:ekuや他の证明说书ポリシーを强制的ににようにようにを成できます.microsoftのドキュメントサイトをししhttps://docs.microsoft.com/en - us/previous versions/windows/it pro/windows - server - 2008 r2 -和- 2008/ff404287 (v = ws.10)。
| レジストリポリシー | 説明 |
|---|---|
| AllowCertificatesWithNoEKU | 无效にすると,证明书にスマートカード拡张キー实用法(扩展键使用:EKU)が含まれる必要があります。 |
| AllowSignatureOnlyKeys | デフォルトで,Windowsは,RSA復号化を許可しない証明書秘密キーを拒否します。このオプションは,そのフィルターを上書きします。 |
| AllowTimeInvalidCertificates | デフォルトで,Windowsは期限切れの証明書を拒否します。このオプションは,そのフィルターを上書きします。 |
| inumeryecccerts. | 楕円曲線認証を有効化します。 |
| X509HintsNeeded | 証明書に一意のユーザープリンシパル名(隐喻)が含まれないか,複数の解釈が可能な場合,このオプションを使用すると,ユーザーが手動でWindowsログオンアカウントを指定できます。 |
| UseCachedCRLOnlyAnd, IgnoreRevocationUnknownErrors | 失効チェックを無効にします(通常ドメインコントローラー上で設定)。 |
- ドメインコントローラー証明書:Kerberos接続を認証するには,すべてのサーバーが適切な”ドメインコントローラー”証明書を持っている必要があります。これらは,本地计算机个人证书存储]MMCスナップインメニューを使用して要求できます。
UPN名と証明書マッピング
ユーザー証明書は,一意のユーザープリンシパル名(隐喻)をサブジェクトの別名拡張機能に含めることをお勧めします。
Active DirectoryでのUPN名
, Active Directoryのデフォルトですべてのユーザーは,パターン< samUsername > @ < domainNetBios >および< samUsername > @ < domainFQDN >に基づく暗黙的UPNを持っています。利用できるドメインおよびFQDNは,フォレストに対応するRootDSEエントリに含まれています。RootDSEで,単一のドメインに対して複数のFQDNアドレスが登録されていることがあることに注意してください。
また,Active Directoryののすべてのユーザー明显的なupnとoptUserprincipalnamesを持っ持っユーザーいいますを指定指定指定指定するするするするするするエントリエントリ指定指定エントリエントリエントリ。
UPNでユーザーを検索する場合,Windowsはまず(UPNを参照するプロセスのIDに基づいて)現在のドメインで明示的なUPNを,続けて代替UPNを探します。一致するものがない場合,暗黙的UPNを探しますが,これはフォレストの異なるドメインで解決されることがあります。
说明书マッピングサービス
証明書に明示的なUPNが含まれない場合,Active Directoryは各使用に対して正確な公開証明書を“x509certificate”属性に保管するオプションを持っています。そのような証明書をユーザーに解決するために,コンピューターは直接この属性を問い合わせることができます(デフォルトでは単一のドメインで)。
用意されているオプションを使用すると,ユーザーがユーザーアカウントを指定してこの検索の速度を上げたり,この機能がクロスドメイン環境で使用されるようにしたりできます。
フォレストにに数のドメインががあり,ユーザーがドメインを明显的に指定ないない合书,Active Directoryのrootdseが闻名书マッピングサービスの场所指定しますにれのグローバルカタログマシン置かれれれれ,フォレスト内のすべてX509Certificate属性属性のキャッシュビューを持っていいいいははははは书书ににづい任意任意のドメインでアカウントを的的任意任意のするするためて的的的任意的的的的的的的的
ログオンドメインコントローラーの選択制御
ある環境に複数のドメインコントローラーが含まれる場合,認証にどのドメインコントローラーが使用されているかを把握して制限すると,ログを有効化して取得するのに便利です。
ドメインコントローラーの選択制御
Windowsに対して,ログオンで特价の窗户ドメインコントローラーを强制的に使使ために,lmhostsファイル(\ windows \ system32 \ drivers \ etc \ lmhosts)をを成することで,窗户マシンが使でするするコントローラーのリストを明示的に设定することができます。
通常その場所には“lmhosts.samという名のサンプルファイルがあります。単に次の1行を追加します。
1.2.3.4 dcnetbiosname #pre #dom:mydomai
为1.2.3.4“ここでは,“mydomain”ドメインで“dcnetbiosname”という名前が付けられているドメインコントローラーのIPアドレスです。
再再后に,窗户マシンはその情情をしててログオンしししログオンログオンログオンししししログオンログオンししログオンしログオンしログオンログオンしログオンログオンログオンログオンログオンししにに注意取り消す取り消すし
使用中のドメインコントローラーの識別
Windowsはログオン時に,ユーザーをログオンさせたドメインコントローラーをMSDOS環境変数に設定します。これを参照するには,コマンドプロンプトで”回声% LOGONSERVER %“を実行します。
認証に関するログは,このコマンドで返されたコンピューターに保存されます。
アカウント監査イベントの有効化
デフォルトで,窗户ドメインコントローラーは完全アカウント监查ログをんしいませんんいませで,セキュリティ设定の监查を介してますますをできます。に追加のイベントログイベントログししし。
証明書検証ログ
说明书の有效性チェック
スマートカード証明書がDER証明書(秘密キー不要)としてエクスポートされた場合,次のコマンドで検証できます。certutil验证user.cer
CAPIログの有効化
ドメインコントローラーとユーザーマシンでは,イベントビューアーを開いて,微软Windows / CAPI2 /操作日志のロギングを有効化します。
CAPIログは,次のレジストリキーで制御できます。CurrentControlSet\Services\crypt32
| 値 | 説明 |
|---|---|
| DiagLevel字() | 詳細度レベル(0 ~ 5) |
| Diagmatchanymask(四字) | イベントフィルター(すべてに0 xffffffを使用) |
| DiagProcessName (MULTI_SZ) | プロセス名(たとえば,LSASS.exe)によるフィルター |
CAPIのログ
| メッセージ | 説明 |
|---|---|
| チェーンの構築 | LSAがCertGetCertificateChainをコールしました(結果含む) |
| 失効確認 | LSAがCertVerifyRevocationをコールしました(結果含む) |
| X509オブジェクト | 詳細モードでは,証明書と証明書失効リスト(CRL)がAppData \ LocalLow \微软\ X509Objectsにダンプされます |
| チェーンポリシーの検証 | LSAがCertVerifyChainPolicyをコールしました(パラメーター含む) |
エラーメッセージ
| エラーコード | 説明 |
|---|---|
| 信頼されていない証明書 | スマートカード证明书を,证明书を使用してコンピューターの中间证明书ストアおよび信頼できるルート证明书ストアに作成できませんでした。 |
| 証明書失効のチェックエラー | 证明书CRL配布ポイントによって指定されたアドレスからスマートカードのCRLをダウンロードできませんでした。失效チェックが必须の场合,これが原因となってログオンが失败します。証明書と公開キー基盤「をを参照してください。 |
| 証明書使用状況エラー | 証明書がログオンに適していません。たとえば,サーバー証明書または署名証明書の可能性があります。 |
Kerberosログ
Kerberosログを有効化するには,ドメインコントローラーおよびエンドユーザーマシン上で次のレジストリ値を作成します。
| ハイブ | 値の名前 | 値(字) |
|---|---|---|
| CurrentControlset \ Control \ LSA \ Kerberos \参数 | LogLevel | 0 x1 |
| CurrentControlset \ Control \ LSA \ Kerberos \参数 | KerbDebuglevel | 0 xffffffff |
| CurrentControlSet \ \ Kdc服务 | KdcDebugLevel | 0 x1 |
| CurrentControlSet \ \ Kdc服务 | KdcExtraLogLevel | 0 x1f |
Kerberosログはシステムイベントログに出力されます。
- “信頼できない証明書”などのメッセージは診断が簡単です。
- 2次のつのエラーコードは情報提供目的のもので,無視しても問題ありません。
- KDC_ERR_PREAUTH_REQUIRED(以前のドメインコントローラーとの後方互換性のために使用)
- 不明なエラx4bー0
イベントログメッセージ
ここでは,ユーザーが証明書を使用してログオンした場合にドメインコントローラーおよびワークステーションに出力されるログエントリの例について説明します。
- ドメインコントローラーCAPI2ログ
- ドメインコントローラーセキュリティログ
- 虚拟投递代理(VDA)セキュリティログ
- VDA CAPIログ
- VDAシステムログ
ドメインコントローラーCAPI2ログ
ログオン時にドメインコントローラーは発信者の証明書を検証し,一連のログエントリを次の形式で作成します。
最終イベントログメッセージは,VDAによって提供される証明書に基づいてチェーンを作成するドメインコントローラー上にlsass.exeを表示し,その妥当性(失効など)を検証します。結果は“ERROR_SUCCESSとして戻されます。
ドメインコントローラーセキュリティログ
ドメインコントローラーは一連のログオンイベントを表示します。主要なイベントは4768で証明書を使用してKerberos票据授予票(krbtgt)を発行します。
これより前のメッセージは,ドメインコントローラーに対して认证するサーバーのマシンアカウントを表示します。これより后のメッセージは,ドメインコントローラーに対して认证するために使用される新しいKRBTGTに属するユーザーアカウントを表示します。
VDAセキュリティログ
ログオンイベントに対応するVDAセキュリティ監査ログはイベントIDが4648のエントリで,winlogon.exeにより記録されます。
VDA CAPIログ
このサンプルのvda capiログは,lsass.exeから単一个のチェーンビルドおよび検证シーケンスを示して,ドメインドメイン说明书(dc.citrixtest.net)ををしています。
VDAシステムログ
Kerberosログが有効化されている場合,システムログは,エラーKDC_ERR_PREAUTH_REQUIRED(無視してかまいません)と,Kerberosログオンが成功したことを示す登录からのエントリを表示します。
イベントログ
次の表は,FASで生成されるイベントログエントリの一覧です。
管理イベント[フェデレーション認証サービス]
[イベントソース:citrix.authentication.federatedauthenticationservice]
これらのイベントは,FASサーバーでの構成変更に応じて記録されます。
| ログコード |
|---|
| [S001]アクセス拒否:ユーザー({0})は管理者グループのメンバーではありません |
| [S002]アクセス拒否:ユーザー[{0}]はは[{1}]の管理者ではありません |
| [S003]管理者({0})は保守モードを[{1}]に設定しています |
| [S004]管理者({0})はテンプレート[{2}と{3}]を使用してCA[{1}]から認証証明書を要求しています |
| [S005]管理者({0})はCA[{1}]の権限を取り消しています |
| [S006]管理者({0})は新しい証明書定義[{1}]を作成しています |
| [S007]管理者({0})は証明書定義[{1}]を更新しています |
| [S008]管理者({0})は証明書定義[{1}]を削除しています |
| [S009]管理者[{0}]は新闻ルール[{1}]を作物してます |
| [S010]管理者({0})はルール[{1}]を更新しています |
| [S011]管理者({0})はルール[{1}]を削除しています |
| [S012]管理者({0})は証明書を作成しています(UPN:{1}席德:{2}ルール:{3}][证书定义:{4}][セキュリティコンテキスト:{5}] |
| [S013]管理者({0})は証明書を削除しています(UPN:{1}ロール:{2}証明書定義:{3}セキュリティコンテキスト:{4}] |
| [S015]管理者[{0}]は证明书籍要求作物作作作作作作作作后[TPM:{1}] |
| [S016]管理者({0})は認証証明書をインポートしています[参照:{1}) |
| [S022]管理者({0})はメンテナンスモードをオフに設定しています |
| [S023]管理者[{0}]はメンテナンスモードをににています |
| [S024]管理者({0})はシステムヘルスモニターを設定しています |
| [S025]管理者({0})はシステムヘルスモニターを設定しています |
| [S050]管理者({0})は新しいクラウド構成を作成しています:[{1}] |
| [S051]管理者({0})はクラウド構成を更新しています:[{1}] |
| [S052]管理者[{0}]はクラウド构成を削除ています |
| ログコード |
|---|
| [S401]構成アップグレードを実行中です-[開始バージョン{0}][版本{1}] |
| [S402]エラー:Citrixフェデレーション認証サービスは网络服务として実行する必要があります[現在は{0}として実行中) |
| [S404] Citrixフェデレーション認証サービスのデータベースを強制的に消去しています |
| [S405]レジストリからデータベースへのデータの移行中にエラーが発生しました:({0}) |
| [S406]レジストリからデータベースへのデータ移行が完了しました(注:ユーザー証明書は移行されない) |
| [S407]データベースが既に存在していたため,レジストリベースのデータはデータベースに移行されませんでした |
| [S408]構成をダウングレードできません-[バージョン{0}以降)(版本{1}) |
| [S409] ThreadPool構成が成功しました——MinThreadsは[ワーカー:{0}完了:{1}]から[ワーカー:{2}完了:{3}]に変更されました |
| [S410] ThreadPool構成が失敗しました——MinThreadsは[ワーカー:{0}完了:{1}]から[ワーカー:{2}完了:{3}]に変更できませんでした。これは,FASサーバーの拡張性に影響を与える可能性があります |
| [S411] FASサービスの開始エラー:({0}) |
| [S412]構成のアップグレードが完了しました-[バージョン{0}以降)(版本{1}) |
IDアサーションの作成[フェデレーション認証サービス]
[イベントソース:citrix.authentication.federatedauthenticationservice]
これらのイベントは,信頼済みのサーバーがユーザーログオンをアサートすると,ランタイム時にFASサーバーに記録されます。
| ログコード |
|---|
| (S101)サーバー({0})にはロール[{1}]のIDをアサートする権限がありません |
| (世界时)サーバー({0})はUPN[{1}]のアサートに失敗しました(例外:{2}{3}) |
| (算是)サーバー({0})はUPN [{1}], SID{2}を要求しましたが,検索でSID{3}が返されました |
| (S104)サーバー({0})はUPN[{1}]のアサートに失敗しました(UPNはロール({2})によって許可されていません) |
| [][希腊悲剧诗人]サーバー({0})はIDのアサーションを発行しました(UPN:{1},ロール:{2},セキュリティコンテキスト:[{3}]] |
| [S120][隐喻:{0},ロール:{1},セキュリティコンテキスト:[{2}]]に対して証明書を発行しています |
| [S121]証明書が[隐喻:{0}ロール:{1}]に[認証局:{2}]から発行されました |
| [S122]警告:サーバー過負荷です(UPN:{0},ロール:{1}][1分あたりの要求{2}]。 |
| [S123] [UPN:{0}ロール:{1}]の証明書の発行に失敗しました[例外:{2}] |
| [S124][認証局:{2}]の(UPN:{0}ロール:{1}]の証明書の発行に失敗しました[例外:{3}] |
証明書利用者の行動[フェデレーション認証サービス]
[イベントソース:citrix.authentication.federatedauthenticationservice]
これらのイベントは,VDAにユーザーがログオンすると,ランタイム时にFASサーバーに记录されます。
| ログコード |
|---|
| [S201]証明書利用者({0})にはパスワードへのアクセス権がありません。 |
| [S202]証明書利用者({0})には証明書へのアクセス権がありません。 |
| [S203]証明書利用者({0})にはログオンCSPへのアクセス権がありません |
| [S204]証明書利用者({0})が[{4}]によって承認されたログオンCSPにアクセスしています(UPN:{1})役割:[{2}][操作:{3}] |
| [S205]証明書利用者のアクセスが拒否されました——呼び出し元アカウント({0})はルール[{1}]の許可された証明書利用者ではありません |
| [S206]呼び出しアカウント({0})は証明書利用者ではありません |
| [S208]秘密秘密の定理がが失败まし[作文[upn:{1},ロール:{2},说明书定义{3}] [{4} {5}] |
セッション内証明書サーバー[フェデレーション認証サービス]
[イベントソース:citrix.authentication.federatedauthenticationservice]
これらのイベントは,ユーザーはセッション内証明書を使用すると,FASサーバーで記録されます。
| ログコード |
|---|
| [S301]アクセス拒否:ユーザー({0})には仮想スマートカードへのアクセス権がありません |
| [S302]ユーザー({0})は不明な仮想スマートカードを要求しました[拇印:{1}) |
| [S303]アクセス拒否:ユーザーが({0})仮想スマートカードと(UPN:{1}]一致しません |
| [S304]コンピューター({2})でプログラム[{1}]を実行中のユーザー({0})は秘密キー処理[{6}]のために仮想スマートカードを使用しています(UPN:{3},ロール:{4},拇印:{5}] |
| [S305]秘密キーの処理が失敗しました[操作:{0}][隐喻:{1},ロール:{2},コンテナ名{3}][エラー{4}{5}]。 |
FASアサーションプラグイン[フェデレーション認証サービス]
[イベントソース:citrix.authentication.federatedauthenticationservice]
これらのイベントは,FASアサーションプラグインによって記録されます。
| ログコード |
|---|
| (准备)FASアサーションプラグインが設定されていません |
| [S501]設定されたFASアサーションプラグインをロードできませんでした[例外:{0}) |
| [S502FA] FASアサーションプラグインがロードさまし[pluginid = {0}] [assemast = {1}] [location = {2}] |
| [S503]サーバー({0})がUPN[{1}]のアサートに失敗しました(ログオン値が提供されましたがプラグイン({2})が対応していません) |
| [S504]サーバー({0})がUPN[{1}]のアサートに失敗しました(ログオン値が提供されましたが,FASプラグインが構成されていません) |
| [S505]サーバーが({0})UPNの[{1}]アサートに失敗しました(プラグインに({2})よりログオン値が拒否されステータス[{3}]とメッセージ[{4}]が返されました) |
| [S506]プラグイン({0})がサーバー[{1}]のログオン値をUPN({2})として承認しメッセージ[{3}]が返されました |
| [S507]サーバー[{0}]はupn [{1}]のアサートに失败した(プラグイン[{2}]がが外[{3}]をメソッド[{4}]中にスローしました |
| [S507]サーバー({0})はUPN[{1}]のアサートに失敗しました(プラグイン({2})が例外[{3}]をスローしました) |
| [S508]サーバー({0})がUPN[{1}]のアサートに失敗しました(処理へのアクセスが提供されましたがプラグイン({2})が対応していません) |
| [S509]サーバー({0})がUPN[{1}]のアサートに失敗しました(処理へのアクセスが提供されましたが,FASプラグインが構成されていません) |
| [产品线S510]サーバー({0})がUPN[{1}]のアサートに失敗しました(プラグイン({2})によってアクセス処理が無効と判断されました) |
工作区対応FAS[フェデレーション認証サービス]
[イベントソース:Citrix.Fas.Cloud]
FASと工作区を組み合わせて使用している場合,これらのイベントがログに記録されています。
| ログコード |
|---|
| [S001] Citrix云サービスキーを切り替えています(FAS ID = {0}) |
| [S002]クラウドサポートモジュールが開始しています。FasHubクラウドサービスURL: {0} |
| [S003] FASはクラウドに登録しました(FAS ID:{0}][トランザクションID: {1}) |
| [S004] FASはクラウドへの登録に失敗しました(FAS ID:{0}][トランザクションID:{1}][例外:{2}] |
| [S005] FASはクラウドに現在の構成を送信しました(FAS ID:{0}][トランザクションID: {1}) |
| [S006] FASはクラウドに現在の構成を送信できませんでした(FAS ID:{0}][トランザクションID:{1}][例外:{2}] |
| [S007] FASはクラウドから登録解除しました(FAS ID:{0}][トランザクションID: {1}) |
| [S009] FASはクラウドからの登録解除に失敗しました(FAS ID:{0}][トランザクションID:{1}][例外:{2}] |
| [S010] FASサービスはクラウドメッセージングURLに接続されています:{0} |
| [S011] FASサービスはクラウドに接続されていません |
| [S012] FASサービスはCitrix云からのシングルサインオンで利用可能です |
| [S013] FASサービスはCitrix云からのシングルサインオンで利用できません。({0})詳しくは,管理コンソールを確認してください |
[S014]クラウドサービス<服务名称>の呼び出しに失敗しました(FAS ID:{0}][トランザクションID:{1}][例外:{2}] |
| [S015] Citrix云からのメッセージは,呼び出し元が許可されていないためブロックされました[メッセージID{0}][トランザクションID{1}][呼び出し元{2}] |
[S016]クラウドサービス<服务名称>の呼び出しに成功しまし[fas id:{0}] [トランザクションID:{1}] |
| [S019] FASはクラウド(FAS ID:{0}][トランザクションID:{1}]から構成をダウンロードしました |
| [S020] FASはクラウド(FAS ID:{0}][トランザクションID:{1}][例外:{2}]から構成をダウンロードできませんでした |
| [S021]クラウドサポートモジュールを开启できませんでした。依托外:{0} |
| [S022]クラウドサポートモジュールが停止しています |
| [S202]ヘルスモニターで予期しない例外が発生し,動作を停止した可能性があります。例外: {0} |
ログオン(VDA)
[イベントソース:Citrix.Authentication.IdentityAssertion]
これらのイベントは,ログオン時にVDAで記録されます。
| ログコード |
|---|
| (S101) IDアサーションログオンに失敗しました。認識できないフェデレーション認証サービス[ID: {0}] |
| (世界时)IDアサーションログオンに失敗しました。{0}のSIDが見つかりませんでした[例外:{1}{2}] |
| (算是)IDアサーションログオンに失敗しました。ユーザー{0}のSIDは{1}ですが,想定されたSIDは{2}です |
| (S104) IDアサーションログオンに失敗しました。フェデレーション認証サービスへの接続に失敗しました:{0}[エラー:{1}{2}] |
| [][希腊悲剧诗人]IDアサーションログオン。[ユーザー名:{0}][域:{1}]にログインしています |
| [S106] IDアサーションログオン。\ n \ nフェデレーション認証サービス:{0}\ n \ n[証明書:{1}]にログインしています |
| (来说)IDアサーションログオンに失敗しました。[例外:{0}{1}] |
| [S108] IDアサーションサブシステム。ACCESS_DENIED[呼び出し元:{0}) |
セッション内说明书[VDA]
[イベントソース:Citrix.Authentication.IdentityAssertion]
これらのイベントは,ユーザーがセッション内証明書を使用しようとすると,VDAに記録されます。
| ログコード |
|---|
| [S201]仮想スマートカードの[PID:{1}プログラム名:{2}][证书指纹:{3}]へのアクセスが({0})に認証されました |
| [S203]仮想スマートカードサブシステム。アクセスが拒否されました[呼び出し元:{0},セッション:{1}) |
| [S204]仮想スマートカードサブシステム。スマートカードのサポートが無効化されました。 |
証明書要求およびキーペア生成[フェデレーション認証サービス]
[イベントソース:Citrix.Fas.PkiCore]
これらのイベントは,FASサーバーが低レベルの暗号化操作を実行すると記録されます。
| ログコード |
|---|
| [S001] Trustarea :: Trantarea:证明书がインストールされたた[trantarea:{0}] [证明书{1}] [trustareajoinparameters {2} |
| [S014] PKCS10Request :: Create:PKCS10要求が作用成された[识别名{0}] |
| [S016] PrivateKey::创建[識別子{0}][MachineWide:{1}][プロバイダー:{2}][ProviderType: {3}] [EllipticCurve: {4}] [KeyLength: {5}] [isExportable {6}): |
| [S017]专用密钥::删除[CspName:{0},识别子{1}] |
| ログコード |
|---|
| [S104] MicrosoftCertificateAuthority :: GetCredentials:{0}の使用过権付与されました |
| [][希腊悲剧诗人]MicrosoftCertificateAuthority: SubmitCertificateRequestエラーが応答({0})を返しました |
| [S106] MicrosoftCertificateAuthority :: SubmitCertificateRequest证明书[{0}]が発行されました |
| [S112] MicrosoftCertificateAuthority:: SubmitCertificateRequest -承認待機中[CR_DISP_UNDER_SUBMISSION][参照:{0}) |
エンドユーザーエラーメッセージ
ここでは,Windowsログオンページでユーザーに表示される一般的なエラーメッセージの一覧を示します。
| 表示されるエラーメッセージ | 説明および参照先 |
|---|---|
| 無効なユーザー名またはパスワードです。 | コンピューターはユーザーが有効な証明書および秘密キーを持っていると判断していますが,Kerberosドメインコントローラーが接続を拒否しました。この記事の”Kerberosログ「をを参照してください。 |
| システムにログオンできませんでした。資格情報を確認できませんでした。/この要求は,サポートされていません。 | ドメインコントローラーに接続できないか,ドメインコントローラーにスマートカード认证をサポートする证明书が构成されていません。「Kerberos的认证」,「ドメインコントローラー认证」,または「ドメインコントローラー」证明书のドメインコントローラーを登录します。これは通常试す価値があります。既存の证明书が有效に见える场合でも同様です。 |
| システムにログオンできませんでした。認証のために使用されたスマートカード証明書が信頼できませんでした。 | 中間証明書とルート証明書がローカルコンピューターにインストールされていません。「証明書と公開キー基盤「をを参照してください。 |
| 不得な要求 | これは通常,証明書の拡張子が正しく設定されていないか,RSAキーが短すぎることを示します(2048ビット未満)。 |
関連情報
- スマートカードログオン用のドメインを構成します:http://support.citrix.com/article/CTX206156
- スマートカードログオンポリシー:https://docs.microsoft.com/en - us/previous versions/windows/it pro/windows - server - 2008 r2 -和- 2008/ff404287 (v = ws.10)
- CAPIログの有効化:http://social.technet.microsoft.com/wiki/contents/articles/242.troubleshooting-pki-problems-on-windows.aspx
- Kerberosログの有効化:https://support.microsoft.com/en-us/kb/262177
- サードパーティの証明機関を使用してスマートカードログオンを有効化するためのガイドライン:https://support.microsoft.com/en-us/kb/281245