Heute ist uns ein Problem begegnet, bei dem sich plötzlich keiner unserer Benutzer mit Smartcards an seinem Arbeitsplatz anmelden konnte. Der Fehler trat bei einer Neuanmeldung oder nach einem „Benutzerwechsel“ auf, jedoch nicht bei der Anmeldung nach Sperren des Arbeitsplatzes.
Benutzer konnten das Problem umgehen, indem sie das Netzwerkkabel trennten, sich authentifizierten und das Kabel dann wieder anschlossen.
Wir haben die üblichen Verdächtigen durchgesehen:
- Überprüft, ob das Benutzerkonto nicht gesperrt/deaktiviert/abgelaufen ist und ob der UPN korrekt eingestellt wurde
- Die Chipkarten waren zu diesem Zeitpunkt noch funktionsfähig und verfügten über gültige Zertifikatsinformationen.
- Die Smartcard-Middleware wurde korrekt installiert, läuft und funktioniert.
- Gültige/nicht abgelaufene CRLs waren für Workstations und DCs verfügbar
- Sicherstellen, dass die Zeit auf den Arbeitsstationen und Domänencontrollern ordnungsgemäß synchronisiert wurde
- Domänencontroller waren online, replizierten AD DS und SYSVOL korrekt und es gab keine signifikanten Fehler in den Protokollen
Antwort1
Letztendlich stellte sich heraus, dass unser Problem abgelaufene Kerberos-Authentifizierungszertifikate auf den DCs für die Benutzersite waren. DCs auf anderen Sites funktionierten einwandfrei, aber die Site-DCs stellten LDAPS nicht mehr bereit, da die Zertifikate abgelaufen waren.