今天我們遇到了一個問題,突然間我們的用戶都無法使用智慧卡登入他們的工作站。重新登入或「切換使用者」後會發生該錯誤,但鎖定工作站後登入時不會發生該錯誤。
使用者可以透過斷開網路電纜、進行身份驗證,然後重新連接電纜來解決此問題。
我們經歷了常見的嫌疑犯:
- 驗證使用者帳戶未鎖定/停用/過期且 UPN 設定正確
- 智慧卡仍然完好,並且當時具有有效的證書資訊。
- 智慧卡中間件已正確安裝、運作和運作。
- 有效/未過期的 CRL 可用於工作站和 DC
- 確保工作站和網域控制器上的時間正確同步
- 網域控制站在線,正確複製 AD DS 和 SYSVOL,且日誌中沒有重大錯誤
答案1
最後我們發現問題是使用者網站 DC 上的 Kerberos 驗證憑證過期。其他站點的 DC 工作正常,但站點 DC 由於證書已過期而停止提供 LDAPS 服務。