none
При аутентификации по смарт-карте вместо запроса пин-кода возникает ошибка "Вход в систему не возможен..." RRS feed

  • Общие обсуждения

  • Здравствуйте!

    Пользователь подключается к терминальной ферме Citrix XenApp. После запуска приложения должна проиcходить аутентификация пользователя по смарт-карте на терминальном сервере. Сервер Win Srv 2008 R2, у пользователей на ПК Win 7 x64, смарт-карты e-token Aladdin. Проблема в том, что когда должен появляться экран с запросом пин-кода для смарт-карты или выбора сертификата, он не появляется. А выходит ошибка "Вход в систему не возможен. Ваши учетные данные не могут быть проверены." После этого нажимаем кнопку ОК и появляется нужное окно (запрос пин-кода) и дальше всё нормально отрабатывает. Такая проблема не у всех пользователей. Примерно 1000 АРМ подключаясь получают эту ошибку, а 300 АРМ подключаются корректно. Проблема стала проявляться после 13 ноября. Подумали на виндовые обновления, различий в наборе установленных обновлений не обнаружено.
    Пробовали настраивать АРМ с нуля:
    1.       Поставили ОС MS Windows 7 64x.
    2.       Поставили необходимое ПО для подключения и сертификаты.
    3.       Зашли на ТФ – нормально. Запустили приложения –нормально.
    4.       Включились в сеть и получили все актуальные Windows – обновления.
    5.       Перезагрузились – зашли на ТФ – снова нормально стартуют приложения.
    6.       Ввели компьютер в свой домен. Домены у терминальных серверов и АРМов разные.
    7.       Запуск приложения на ТФ – стал происходить с ошибкой.
    Подскажите, что может влиять на аутентификацию по смарт-карте в этом случае? RSOP с работающего и неработающего АРМов сравнивали, вроде каких-то отличий не заметили. На что ещё нужно обратить внимание?

    20 февраля 2015 г. 13:46

Все ответы

  • Здравствуйте,

    1)Уточните какая ошибка возникает в событиях (Eventlogs)?

    2)Убедитесь, чтобы сертификат был валидным, также доступен сервер сертификации для терминального сервера.

    Ознакомьтесь со статьями "Event ID 29 when starting KDC service on Windows Server 2008 R2 DC's", "Event ID 9 — KDC Certificate Availability",


    Best Regards, Andrei ...
    Microsoft Certified Professional

    22 февраля 2015 г. 22:04
    Модератор
  • Контроллеры Windows Server 2008 или 2008 R2?
    23 февраля 2015 г. 16:58
    Отвечающий
  • 1) Вы имеете ввиду логи на КД или на терминальном сервере?

    2) Сертификат валиден, т.к. после появления ошибки и нажатия кнопки ОК всё же удаётся по нему аутентифицироваться.

    У нас схема доменов следующая:

    Есть домен 1, в котором находятся терминальные сервера. Есть домен 2, субдомен домена 1, в котором находятся пользователи смарт-карт и выдающий центр сертификации, с которыми происходит подключение.

    Есть домен 3, никак не связанный с доменами 1 и 2, в котором находятся АРМы, с которых подключаются пользователи, имеющие смарт-карты из домена 2.

    КД 1 и 2 Windows Server 2008 R2.

    Насколько понимаю, смотреть ошибки KDC нужно на КД 2?

    С АРМов должен быть доступ до CDP, выдавшего смарт-карту? Или достаточно доступа с терминального сервера?

    24 февраля 2015 г. 8:00
  • КД 1 и 2 Windows Server 2008 R2. Функциональный уровень домена имеет значение?

    КД 3 тоже вроде Windows Server 2008 R2, но возможно уровень там 2003.

    24 февраля 2015 г. 8:04
  • У кого-нибудь есть мысли по описанной проблеме?
    16 марта 2015 г. 14:10
  • На сторонних форумах пишут следующее по ошибке "The system could not log you on. Your credentials could not be verified."

    -----------
    Cause :
    The domain controller couldn't find the account which is associated to the smart card
    OR the certificate has been associated to more than one account.

    Solution :
    Associate the certificate to the account using explicit or UPN mapping.
    OR verify that the certificate has not been assigned using explicit mapping twice.
    Run
    AdExplorer.exe and go the menu "search".
    Search for the attribute "altSecurityIdentities" with the relation "Not Empty". Then check for duplicate results.
    -------------

    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 16 марта 2015 г. 14:43 исправлено
    16 марта 2015 г. 14:41
    Модератор
  • 1) Вы имеете ввиду логи на КД или на терминальном сервере?

    На терминальном сервере, во время воспроизведения ошибки.

    P.S. убедитесь чтобы время и дата были синхронизированы.


    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 16 марта 2015 г. 16:42 исправлено
    16 марта 2015 г. 15:01
    Модератор