10
SmartCard-Anmeldung wird für ihr Konto nicht unterstützt
Liebe Kolleginnen und Kollegen,
ich halte die Fragestellung erst einmal allgemein, da ich hoffe nur eine Kleinigkeit vergessen zu haben.
Das Thema CA ist für mich Neuland. Mit viel Einlesen und Probieren habe ich jetzt eine AD-Umgebung mit einer Root-CA und Sub-CA.
Die CA mit angepassten Zertifikatsvorlagen funktioniert, mein Enroll-Benutzer tut was er soll und das erste Zertifikat habe ich auf einen YubiKey4 geladen.
Jetzt zu meinem Problem:
Versuche ich mich mit dem YubiKey an meiner Windows10-Maschine anzumelden erhalte ich die Meldung: "Die SmartCard-Anmeldung wird für ihr Konto nicht unterstützt. ... Administrator."
Die Gruppenrichtlinie für das automatische Ausrollen: Computer>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>"Zertifikatsdienstclient - Automatische Registrierung" habe ich konfiguriert.
Muss man die SmartCard-Anmeldung noch an anderer Stelle explizit erlauben? Ich bin ratlos.
Nachtrage: Es handelt sich um eine reine Windows-Netzwerkumgebung.
Mit freundlichen Grüßen
Uhli90
ich halte die Fragestellung erst einmal allgemein, da ich hoffe nur eine Kleinigkeit vergessen zu haben.
Das Thema CA ist für mich Neuland. Mit viel Einlesen und Probieren habe ich jetzt eine AD-Umgebung mit einer Root-CA und Sub-CA.
Die CA mit angepassten Zertifikatsvorlagen funktioniert, mein Enroll-Benutzer tut was er soll und das erste Zertifikat habe ich auf einen YubiKey4 geladen.
Jetzt zu meinem Problem:
Versuche ich mich mit dem YubiKey an meiner Windows10-Maschine anzumelden erhalte ich die Meldung: "Die SmartCard-Anmeldung wird für ihr Konto nicht unterstützt. ... Administrator."
Die Gruppenrichtlinie für das automatische Ausrollen: Computer>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>"Zertifikatsdienstclient - Automatische Registrierung" habe ich konfiguriert.
Muss man die SmartCard-Anmeldung noch an anderer Stelle explizit erlauben? Ich bin ratlos.
Nachtrage: Es handelt sich um eine reine Windows-Netzwerkumgebung.
Mit freundlichen Grüßen
Uhli90
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 374682
Url: https://administrator.de/contentid/374682
Ausgedruckt am: 04.12.2024 um 08:12 Uhr
10 Kommentare
Neuester Kommentar
Moin,
der Haken im Reiter "Konto" des Users "Benutzer muss sich mit einer Smartcard anmelden" ist gesetzt?
Liebe Grüße
Erik
der Haken im Reiter "Konto" des Users "Benutzer muss sich mit einer Smartcard anmelden" ist gesetzt?
Liebe Grüße
Erik
Moin Erik,
nein der Haken war nicht gesetzt, da ich zu Testzwecken beide Anmeldemöglichkeiten brauche.
Ich habe diesen jetzt versuchsweise gesetzt. Leider keine Änderung. Die Meldung bleibt bestehen.
Gruß Uhli.
nein der Haken war nicht gesetzt, da ich zu Testzwecken beide Anmeldemöglichkeiten brauche.
Ich habe diesen jetzt versuchsweise gesetzt. Leider keine Änderung. Die Meldung bleibt bestehen.
Gruß Uhli.
Windows 10 Build: 16299.431
Ich habe es jetzt mit einem Windows 7 Client ausprobiert und es erscheint eine ähnliche Meldung:
"Sie konnten nicht angemeldet werden. Sie können sich nicht mithilfe einer Smardcard anmelden, da die Smartcardanmeldung für ihr Benutzerkonto nicht unterstützt wird. Wenden Sie sich an den Systemadministrator, um sicherzustellen, dass die Smardcardanmeldung für Ihr Unternehmen konfiguriert ist."
Gruß Uhli.
Ich habe es jetzt mit einem Windows 7 Client ausprobiert und es erscheint eine ähnliche Meldung:
"Sie konnten nicht angemeldet werden. Sie können sich nicht mithilfe einer Smardcard anmelden, da die Smartcardanmeldung für ihr Benutzerkonto nicht unterstützt wird. Wenden Sie sich an den Systemadministrator, um sicherzustellen, dass die Smardcardanmeldung für Ihr Unternehmen konfiguriert ist."
Gruß Uhli.
Mal am Rande:
- Die Domaincontroller haben von der CA ein Domain Controller Zertifikat erhalten?
- Alle Computer im AD kennen diese CA als Root-CA? (Haben das Zertifikat der Root-CA unter "Vertrauenswürdige Zertifizierungsstellen" gespeichert)
Hallo emeriks,
dake für deine bisherigen Hilfsansätze. Da ich gerade noch dabei bin die CA zu verstehen bitte ich jetzt schon um Verständnis für meine Unwissenheit.
Kurz zu meinem Aufbau:
Server2016 Std. als Domain-Controller
Server2016 Std. mit Root-CA (ist heruntergefahren)
Server2016 Std. mit Sub-CA
Windows 10 Client (Domain-Mitglied)
Windows 7 Client (Domain-Mitglied)
Auf dem Windows 10 und Windows 7 Client ist unter "Vertrauenswürdige Zertifizierungsstellen" mein Root-CA Zertifikat zu finden.
Wie kann ich überprüfen ob mein DC ein Zertifikat erhalten hat? Wo muss das liegen? Ich glaube nämlich dort liegt der Hund begraben.
Ich habe im Übrigen endlich eine brauchbare Fehlermeldung im Ereignisprotokoll gefunden:
"Dieses Ereignis zeigt an, dass ein Versuch unternommen wurde, die Smartcard-Anmeldung zu verwenden, aber der KDC kann das PKINIT-Protokoll nicht verwenden, weil ein geeignetes Zertifikat fehlt."
Gruß Uhli.
dake für deine bisherigen Hilfsansätze. Da ich gerade noch dabei bin die CA zu verstehen bitte ich jetzt schon um Verständnis für meine Unwissenheit.
Kurz zu meinem Aufbau:
Server2016 Std. als Domain-Controller
Server2016 Std. mit Root-CA (ist heruntergefahren)
Server2016 Std. mit Sub-CA
Windows 10 Client (Domain-Mitglied)
Windows 7 Client (Domain-Mitglied)
Auf dem Windows 10 und Windows 7 Client ist unter "Vertrauenswürdige Zertifizierungsstellen" mein Root-CA Zertifikat zu finden.
Wie kann ich überprüfen ob mein DC ein Zertifikat erhalten hat? Wo muss das liegen? Ich glaube nämlich dort liegt der Hund begraben.
Ich habe im Übrigen endlich eine brauchbare Fehlermeldung im Ereignisprotokoll gefunden:
"Dieses Ereignis zeigt an, dass ein Versuch unternommen wurde, die Smartcard-Anmeldung zu verwenden, aber der KDC kann das PKINIT-Protokoll nicht verwenden, weil ein geeignetes Zertifikat fehlt."
Gruß Uhli.
Auf dem DC
MMC starten
SnapIn "Zertifikate" laden für "Computerkonto", lokaler Computer
Unter "Eigene Zertifikate\Zertifikate" sollte ein Zertifikat liegen, welches von der Vorlage "Domänencontroller" erstellt wurde.
MMC starten
SnapIn "Zertifikate" laden für "Computerkonto", lokaler Computer
Unter "Eigene Zertifikate\Zertifikate" sollte ein Zertifikat liegen, welches von der Vorlage "Domänencontroller" erstellt wurde.
Okay, da haben wir den Fehler, es gibt an diesem Ort kein Zertifikat. Dann versuche ich mal herauszufinden was ich vergessen habe.
Kann es ein, dass ich die Zertifikatsvorlagen "Domänencontroller" und "Domänencontrollerauth." noch aktivieren muss? Das habe ich nämlich nicht gemacht. Anschließend sollte sich der DC doch sein Zertifikat anfordern oder? So habe ich das zumindest verstanden.
Gruß Uhli.
Kann es ein, dass ich die Zertifikatsvorlagen "Domänencontroller" und "Domänencontrollerauth." noch aktivieren muss? Das habe ich nämlich nicht gemacht. Anschließend sollte sich der DC doch sein Zertifikat anfordern oder? So habe ich das zumindest verstanden.
Gruß Uhli.
Na ja, meines Wissens ist standardmäßig eingestellt, dass Domaincontroller dieses Zertifikat anfordern dürfen. Sprich die Gruppe "Domaincontroller der Organisation" hat standardmäßig für die Vorlage "Domaincontroller" das Recht "registrieren".
Die DC's schon mal durchgestartet seit dem die CA in Betrieb ist?
Die DC's schon mal durchgestartet seit dem die CA in Betrieb ist?
Vielen Dank für deinen Input Emeriks,
nachdem ich in meiner Zertifizierungsstelle die Zertifikatsvorlagen "Domänencontroller" und "Domänencontrollerauthentifizierung" hinzugefügt und einen Neustart am DC durchgeführt hatte ging die SmartCard-Anmeldung endlich.
Mein Problem ist somit gelöst.
Gruß Uhli.
nachdem ich in meiner Zertifizierungsstelle die Zertifikatsvorlagen "Domänencontroller" und "Domänencontrollerauthentifizierung" hinzugefügt und einen Neustart am DC durchgeführt hatte ging die SmartCard-Anmeldung endlich.
Mein Problem ist somit gelöst.
Gruß Uhli.
