Сегодня мы столкнулись с проблемой, когда внезапно никто из наших пользователей не мог войти в свои рабочие станции с помощью смарт-карт. Ошибка возникала при новом входе или после «переключения пользователя», но не при входе после блокировки рабочей станции.
Пользователи смогли обойти эту проблему, отсоединив сетевой кабель, пройдя аутентификацию, а затем снова подключив кабель.
Мы рассмотрели обычных подозреваемых:
- Проверено, что учетная запись пользователя не заблокирована/отключена/срок ее действия не истек, а UPN задан правильно.
- Смарт-карты были все еще пригодны к использованию и имели действительную информацию о сертификате.
- Промежуточное программное обеспечение смарт-карты было правильно установлено, запущено и функционирует.
- Действительные/неистекшие CRL были доступны для рабочих станций и контроллеров домена
- Убедились, что время на рабочих станциях и контроллерах домена синхронизировано правильно.
- Контроллеры домена были в сети, корректно реплицировали AD DS и SYSVOL, и никаких существенных ошибок в журналах не было.
решение1
В конце концов, наша проблема оказалась в просроченных сертификатах аутентификации Kerberos на контроллерах домена для сайта пользователя. Контроллеры доменов на других сайтах работали правильно, но контроллеры доменов сайта перестали обслуживать LDAPS, поскольку срок действия сертификатов истек.