Hoje nos deparamos com um problema em que, de repente, nenhum de nossos usuários conseguia fazer login em suas estações de trabalho usando cartões inteligentes. O erro ocorreu com um novo logon ou após uma 'troca de usuário', mas não ao efetuar logon após bloquear a estação de trabalho.
Os usuários conseguiram contornar o problema desconectando o cabo de rede, autenticando e reconectando o cabo.
Passamos pelos suspeitos do costume:
- Verificou que a conta do usuário não estava bloqueada/desativada/expirada e que o UPN estava configurado corretamente
- Os cartões inteligentes ainda estavam bons e continham informações de certificado válidas.
- O middleware do cartão inteligente foi instalado, executado e funcionando corretamente.
- CRLs válidas/não expiradas estavam disponíveis para estações de trabalho e DCs
- Certifique-se de que o horário nas estações de trabalho e nos controladores de domínio esteja sincronizado corretamente
- Os controladores de domínio estavam on-line, replicando corretamente o AD DS e o SYSVOL e sem erros significativos nos logs
Responder1
No final, nosso problema eram certificados de autenticação Kerberos expirados nos DCs do site do usuário. Os controladores de domínio em outros sites estavam funcionando corretamente, mas os controladores de domínio do site pararam de servir LDAPS porque os certificados expiraram.