Hoy nos encontramos con un problema en el que de repente ninguno de nuestros usuarios podía iniciar sesión en sus estaciones de trabajo mediante tarjetas inteligentes. El error se produjo al iniciar sesión nuevamente o después de "cambiar de usuario", pero no al iniciar sesión después de bloquear la estación de trabajo.
Los usuarios pudieron solucionar el problema desconectando el cable de red, autenticándose y luego reconectando el cable.
Revisamos a los sospechosos habituales:
- Verificó que la cuenta de usuario no estaba bloqueada/deshabilitada/caducada y que el UPN estaba configurado correctamente
- Las tarjetas inteligentes todavía estaban en buen estado y tenían información de certificado válida en ese momento.
- El middleware de la tarjeta inteligente se instaló, ejecutó y funcionó correctamente.
- Había CRL válidas/vigentes disponibles para estaciones de trabajo y controladores de dominio
- Se aseguró de que la hora en las estaciones de trabajo y los controladores de dominio estuviera sincronizada correctamente
- Los controladores de dominio estaban en línea, replicaban correctamente AD DS y SYSVOL y no había errores significativos en los registros.
Respuesta1
Al final, nuestro problema resultó ser que los certificados de autenticación Kerberos caducaron en los controladores de dominio del sitio del usuario. Los DC de otros sitios funcionaban correctamente, pero los DC del sitio habían dejado de ofrecer LDAPS porque los certificados habían caducado.