DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 887578 - Ultima modifica: giovedì 4 dicembre 2008 - Revisione: 7.0

Hotfix disponibile per il download
Visualizza e richiedi i download dell'hotfix
 
 

importante Vengono fornite informazioni su come modificare il Registro di sistema. Assicurarsi di backup del Registro di sistema prima di modificarlo. Verificare che come ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
256986  (http://support.microsoft.com/kb/256986/ ) Descrizione del Registro di sistema di Microsoft Windows

In questa pagina

Sintomi

Quando si tenta di utilizzare una smart card per accedere a un controller di dominio Microsoft Windows Server 2003, non è possibile accedere ed è possibile che venga visualizzato il seguente messaggio:
Errore durante l'accesso

Cause

Questo problema si verifica quando l'elenco di revoche di certificati (CRL) non è aggiornato e un nuovo CRL non è disponibile. Un'infrastruttura a chiave pubblica (PKI, Public Key INFRASTRUCTURE) è non funzionante può causare il server di distribuzione del CRL della non pubblicare un nuovo CRL. Se non è stato pubblicato un nuovo elenco CRL, gli accessi ai computer client non consentiti.

Risoluzione

Informazioni sul Service pack

Per risolvere il problema, ottenere il service pack più recente per Windows Server 2003. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
889100  (http://support.microsoft.com/kb/889100/ ) Come ottenere il service pack più recente per Windows Server 2003

Informazioni sull'hotfix

È disponibile un hotfix supportato. Questo hotfix è tuttavia destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Consente di applicare questo aggiornamento rapido (hotfix) solo ai sistemi in cui si verifica questo problema specifico. Questo aggiornamento rapido (hotfix) potrebbe essere eseguiti ulteriori test. Se non si è notevolmente interessati da questo problema, si consiglia pertanto di attendere il successivo aggiornamento di software che contiene questo aggiornamento rapido (hotfix).

Se l'hotfix è disponibile per il download, è una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, è necessario contattare servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota Se si verificano ulteriori problemi o se la risoluzione dei problemi è necessario, potrebbe essere necessario creare una richiesta di servizio separato. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico hotfix in questione. Per un elenco completo, di Microsoft Customer Service and Support numeri di telefono o a creare una richiesta di servizio distinto, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
Nota Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'aggiornamento rapido. Se non viene visualizzata la lingua, è perché un aggiornamento rapido (hotfix) non è disponibile per tale lingua.

Prerequisiti

Non è richiesto alcun prerequisito.

Necessità di riavvio

È necessario riavviare il computer dopo aver applicato questo hotfix.

Informazioni sulla sostituzione della correzione

Questo aggiornamento rapido (hotfix) non sostituisce eventuali altri hotfix.

Informazioni sui file

La versione di lingua inglese di questo aggiornamento rapido (hotfix) presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Date e ore dei file sono elencate di in ora UTC (UTC). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e l'ora locale, utilizzare la scheda fuso orario dello data e ora nel Pannello di controllo.
Windows Server 2003
Versioni basate su IA-64
Riduci questa tabellaEspandi questa tabella
Nome del fileVersione del fileDimensioni fileDataOraPiattaformaSP requisitoRamo del servizio
Crypt32.dll5.131.3790.4251,578,49614/10 / 200505: 21IA-64NessunoRTMQFE
CRYPTNET.dll5.131.3790.425160.25614/10 / 200505: 21IA-64NessunoRTMQFE
Kdcsvc.dll5.2.3790.425590,33614/10 / 200505: 21IA-64NessunoRTMQFE
Kerberos.dll5.2.3790.425907,26414/10 / 200505: 21IA-64NessunoRTMQFE
Wcrypt32.dll5.131.3790.425612,86414/10 / 200505: 21x 86NessunoWOW
Wcryptnet.dll5.131.3790.42561.95214/10 / 200505: 21x 86NessunoWOW
Wkerberos.dll5.2.3790.425344.06414/10 / 200505: 21x 86NessunoWOW
Crypt32.dll5.131.3790.25481,759,23214/10 / 200505: 21IA-64SP1SP1QFE
CRYPTNET.dll5.131.3790.2548172.54414/10 / 200505: 21IA-64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548613.88814/10 / 200505: 21IA-64SP1SP1QFE
Kerberos.dll5.2.3790.2548963,07214/10 / 200505: 21IA-64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595.96814/10 / 200505: 21x 86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414/10 / 200505: 21x 86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014/10 / 200505: 21x 86SP1WOW
-versioni basate su x 64
Riduci questa tabellaEspandi questa tabella
Nome del fileVersione del fileDimensioni fileDataOraPiattaformaSP requisitoRamo del servizio
Crypt32.dll5.131.3790.25481,428,99214/10 / 200505: 21x 64SP1SP1QFE
CRYPTNET.dll5.131.3790.2548111,10414/10 / 200505: 21x 64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548419,84014/10 / 200505: 21x 64SP1SP1QFE
Kerberos.dll5.2.3790.2548720,89614/10 / 200505: 21x 64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595.96814/10 / 200505: 21x 86SP1WOW
Wcryptnet.dll5.131.3790.254862,46414/10 / 200505: 21x 86SP1WOW
Wkerberos.dll5.2.3790.2548350,72014/10 / 200505: 21x 86SP1WOW
le versioni basate su 86 x
Riduci questa tabellaEspandi questa tabella
Nome del fileVersione del fileDimensioni fileDataOraPiattaformaSP requisitoRamo del servizio
Crypt32.dll5.131.3790.425612,86414/10 / 200504: 10x 86NessunoRTMQFE
CRYPTNET.dll5.131.3790.42561.95214/10 / 200504: 10x 86NessunoRTMQFE
Kdcsvc.dll5.2.3790.425227,84014/10 / 200504: 10x 86Nessuno

Dopo avere installato l'aggiornamento rapido

importante Questa sezione, metodo o l'attività sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, è eseguire il backup del Registro di sistema prima di modificarlo. È quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756  (http://support.microsoft.com/kb/322756/ ) Come eseguire il backup e il ripristino del Registro di sistema in Windows

Se l'autorità di certificazione (CA) non è disponibile di pubblicare un nuovo CRL dopo avere installato questo aggiornamento rapido, è possibile utilizzare le chiavi del Registro di sistema per estendere il periodo di validità del CRL. Per effettuare questa operazione, attenersi alla seguente procedura.

Nei controller di dominio

  1. Avviare l'editor del Registro di sistema.
  2. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. Dal menu Modifica , fare clic su Nuovo e quindi aggiungere la seguente voce del Registro di sistema:

    Nome valore: CRLValidityExtensionPeriod
    Tipo valore: DWORD
    Dati valore: Ore (decimale)
    Descrizione: Questo valore DWORD consente di estendere il periodo di validità CRL di un numero specificato di ore. Quando si imposta questo valore su un valore diverso da zero, lo stato del controllo del codice per accessi con smart card certificato ignora qualsiasi periodo di validità degli errori, purché il CRL non è scaduto rispetto al numero di base specificati ore. L'estensione del periodo di validità valida solo per i CRL vengono utilizzati durante la valutazione dei certificati utilizzati per l'accesso con smart card. Questa estensione sarebbe ad esempio, applicare un certificato emesso da una CA che viene compilata nell'archivio NTAuth e gli eventuali certificati fanno parte della catena di attendibilità viene utilizzata per verificare il certificato dell'archivio NTAuth.
  4. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. Dal menu Modifica , fare clic su Nuovo e quindi aggiungere la seguente voce del Registro di sistema:

    Nome valore: CRLTimeoutPeriod
    Tipo valore: DWORD
    Dati valore: Secondi (decimale)
    Descrizione: Questo valore DWORD consente di specificare il periodo di timeout CRL per ridurre i falsi positivi. Il centro distribuzione chiavi (KDC) passa questo valore al controllo del codice il criterio di certificato. Per impostazione predefinita, il KDC specifica un valore di timeout di 90 secondi, anche se non si imposta questo valore del Registro di sistema.

Nei computer client

Windows XP
  1. Avviare l'editor del Registro di sistema.
  2. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. Dal menu Modifica , fare clic su Nuovo e quindi aggiungere la seguente voce del Registro di sistema:

    Nome valore: CRLTimeoutPeriod
    Tipo valore: DWORD
    Dati valore: Secondi (decimale)
    Descrizione: Questo valore DWORD consente di specificare il periodo di timeout CRL per ridurre i falsi positivi. Il client Kerberos passa questo valore al controllo del codice il criterio di certificato. Per impostazione predefinita, il client Kerberos specifica un valore di timeout di 90 secondi, anche se non si imposta questo valore del Registro di sistema.
  4. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. Dal menu Modifica , fare clic su Nuovo e quindi aggiungere la seguente voce del Registro di sistema:

    Nome valore: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Tipo valore: DWORD
    Valore dati: 1
    Descrizione: Dopo questo valore DWORD è impostato su 1, i client Kerberos (client di accesso smart card) verranno ignorati gli errori causati da un elenco CRL scaduto "revoca sconosciuto".
Windows Server 2003, Windows Vista e Windows Server 2008
  1. Avviare l'editor del Registro di sistema.
  2. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. Dal menu Modifica , fare clic su Nuovo e quindi aggiungere la seguente voce del Registro di sistema:

    Nome valore: CRLTimeoutPeriod
    Tipo valore: DWORD
    Dati valore: Secondi (decimale)
    Descrizione: Questo valore DWORD consente di specificare il periodo di timeout CRL per ridurre i falsi positivi. Il client Kerberos passa questo valore al controllo del codice il criterio di certificato. Per impostazione predefinita, il client Kerberos specifica un valore di timeout di 90 secondi, anche se non si imposta questo valore del Registro di sistema.
  4. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. Dal menu Modifica , fare clic su Nuovo e quindi aggiungere la seguente voce del Registro di sistema:

    Nome valore: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Tipo valore: DWORD
    Valore dati: 1
    Descrizione: Dopo questo valore DWORD è impostato su 1, i client Kerberos (client di accesso smart card) verranno ignorati gli errori causati da un elenco CRL scaduto "revoca sconosciuto".

Workaround

Per risolvere questo problema, disattivare il criterio che richiede una smart card per l'accesso. Per disattivare questo criterio, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare gpedit.msc e scegliere OK .
  2. In Criteri del computer locale , espandere Configurazione Computer espandere Impostazioni di Windows e quindi espandere Impostazioni protezione .
  3. Espandere Criteri locali e quindi fare clic su Opzioni di protezione .
  4. Nel riquadro di destra fare doppio clic su accesso interattivo: Richiedi smart card .
  5. Fare clic su disattivato e quindi fare clic su OK .

Status

Microsoft ha confermato che questo problema riguarda i prodotti sono elencati nella sezione "Si applica a". Questo problema è stato innanzitutto corretto in Windows Server 2003 Service Pack 2.

Informazioni

Per ulteriori informazioni su PKI e CRL, vedere la "elenco di controllo: distribuzione di smart card per accedere a Windows" argomento della Guida il seguente sito Web Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true)
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
824684  (http://support.microsoft.com/kb/824684/ ) Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft

Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Chiavi: 
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbcertservices kbppkey kbsmartcard kbwinserv2003presp1fix kbfix kbprb KB887578 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 887578  (http://support.microsoft.com/kb/887578/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store