DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 887578 - Última revisão: quinta-feira, 4 de Dezembro de 2008 - Revisão: 7.0

Disponível transferência de hotfix
Ver e solicitar transferências de hotfix
 
 

importante Este artigo contém informações sobre como modificar o registo. Certifique-se de que cópia de segurança do registo antes de o modificar. Certifique-se que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
256986  (http://support.microsoft.com/kb/256986/ ) Descrição do registo do Microsoft Windows

Nesta página

Sintomas

Quando tenta utilizar um smart card para iniciar sessão a um controlador de domínio Microsoft Windows Server 2003, não é possível iniciar sessão e poderá receber a seguinte mensagem:
Falha de início de sessão

Causa

Este problema ocorre quando a lista de revogação de certificados (CRL) está desactualizado e uma nova CRL não está disponível. Uma infra-estrutura de chaves públicas (PKI, Public Key INFRASTRUCTURE) que é não funcionar pode causar o servidor de distribuição da CRL não para publicar uma nova CRL. Se não estiver publicada uma nova CRL, não são permitidos inícios de sessão a computadores cliente.

Resolução

Informações sobre Service Packs

Para resolver este problema, obtenha o service pack mais recente do Windows Server 2003. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
889100  (http://support.microsoft.com/kb/889100/ ) Como obter o service pack mais recente do Windows Server 2003

Informações sobre a correcção

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico. Esta correcção poderá submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo de base de dados de conhecimento da. Se esta secção não for apresentado, contacte o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Não pré-requisitos são necessários.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário no item Data e hora no painel de controlo.
Windows Server 2003
Versões baseadas em IA-64
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaSP requisitoRamo de serviço
Crypt32.dll5.131.3790.4251,578,49614-Oct-200505: 21IA-64NenhumRTMQFE
Cryptnet.dll5.131.3790.425160.25614-Oct-200505: 21IA-64NenhumRTMQFE
Kdcsvc.dll5.2.3790.425590,33614-Oct-200505: 21IA-64NenhumRTMQFE
Kerberos.dll5.2.3790.425907,26414-Oct-200505: 21IA-64NenhumRTMQFE
Wcrypt32.dll5.131.3790.425612,86414-Oct-200505: 21x 86NenhumIMPRESSIONANTE
Wcryptnet.dll5.131.3790.42561,95214-Oct-200505: 21x 86NenhumIMPRESSIONANTE
Wkerberos.dll5.2.3790.425344,06414-Oct-200505: 21x 86NenhumIMPRESSIONANTE
Crypt32.dll5.131.3790.25481,759,23214-Oct-200505: 21IA-64SP1SP1QFE
Cryptnet.dll5.131.3790.2548172,54414-Oct-200505: 21IA-64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548613,88814-Oct-200505: 21IA-64SP1SP1QFE
Kerberos.dll5.2.3790.2548963,07214-Oct-200505: 21IA-64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505: 21x 86SP1IMPRESSIONANTE
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505: 21x 86SP1IMPRESSIONANTE
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505: 21x 86SP1IMPRESSIONANTE
versões de 64 x
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaSP requisitoRamo de serviço
Crypt32.dll5.131.3790.25481,428,99214-Oct-200505: 21x 64SP1SP1QFE
Cryptnet.dll5.131.3790.2548111,10414-Oct-200505: 21x 64SP1SP1QFE
Kdcsvc.dll5.2.3790.2548419,84014-Oct-200505: 21x 64SP1SP1QFE
Kerberos.dll5.2.3790.2548720,89614-Oct-200505: 21x 64SP1SP1QFE
Wcrypt32.dll5.131.3790.2548595,96814-Oct-200505: 21x 86SP1IMPRESSIONANTE
Wcryptnet.dll5.131.3790.254862,46414-Oct-200505: 21x 86SP1IMPRESSIONANTE
Wkerberos.dll5.2.3790.2548350,72014-Oct-200505: 21x 86SP1IMPRESSIONANTE
x 86 versões
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaSP requisitoRamo de serviço
Crypt32.dll5.131.3790.425612,86414-Oct-200504: 10x 86NenhumRTMQFE
Cryptnet.dll5.131.3790.42561,95214-Oct-200504: 10x 86NenhumRTMQFE
Kdcsvc.dll5.2.3790.425227,84014-Oct-200504: 10x 86Nenhum

Depois de instalar a correcção

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows

Se a autoridade de certificação (AC) não estiver disponível para publicar uma nova CRL depois de instalar esta correcção, pode utilizar chaves de registo para expandir o período de validade da CRL. Para o fazer, siga estes passos.

Em controladores de domínio

  1. Inicie o Editor de registo.
  2. Localize a seguinte subchave do registo:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  3. No menu Editar , clique em Novo e, em seguida, adicione a seguinte entrada de registo:

    Nome do valor: CRLValidityExtensionPeriod
    Tipo de valor: DWORD
    Dados do valor: Horas (decimal)
    Descrição: Este valor DWORD permite alargar o período de validade CRL por um número especificado de horas. Quando definir este valor para um valor diferente de zero, o estado de certificado a verificar o código para inícios de sessão de smart card ignora qualquer período de validade erros desde que a CRL não tiver expirada por mais do que o número de especificado horas. Esta extensão do período de validade aplica-se apenas a CRL que são utilizadas durante a avaliação de certificados que são utilizados para início de sessão de smart card. Por exemplo, deverá aplicar esta extensão para um certificado emitido por uma AC for preenchida no arquivo NTAuth e todos os certificados que fazem parte da cadeia de fidedignidade que é utilizada para verificar o certificado do arquivo NTAuth.
  4. Localize a seguinte subchave do registo:
    HKEY_Local_Machine\System\CurrentControlSet\Services\KDC
  5. No menu Editar , clique em Novo e, em seguida, adicione a seguinte entrada de registo:

    Nome do valor: CRLTimeoutPeriod
    Tipo de valor: DWORD
    Dados do valor: Segundos (decimal)
    Descrição: Este valor DWORD permite especificar o período de tempo limite CRL para reduzir positivas falsas. O Centro de distribuição de chaves (KDC, Key Distribution Center) transmite este valor para a política de certificado código de verificação. Por predefinição, o KDC, Key Distribution Center Especifica um valor de limite de tempo de 90 segundos mesmo que este valor de registo não está definido.

Em computadores cliente

Windows XP
  1. Inicie o editor de registo.
  2. Localize a seguinte subchave do registo:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  3. No menu Editar , clique em Novo e, em seguida, adicione a seguinte entrada de registo:

    Nome do valor: CRLTimeoutPeriod
    Tipo de valor: DWORD
    Dados do valor: Segundos (decimal)
    Descrição: Este valor DWORD permite especificar o período de tempo limite CRL para reduzir positivas falsas. O cliente Kerberos transmite este valor para a política de certificado código de verificação. Por predefinição, o cliente Kerberos Especifica um valor de limite de tempo de 90 segundos mesmo que este valor de registo não está definido.
  4. Localize a seguinte subchave do registo:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos
  5. No menu Editar , clique em Novo e, em seguida, adicione a seguinte entrada de registo:

    Nome do valor: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Tipo de valor: DWORD
    Dados do valor: 1
    Descrição: Depois de definir este valor DWORD para 1, os clientes de Kerberos (clientes de início de sessão de smart card) irão ignorar erros de "revogação desconhecido" são causados por uma CRL expirada.
Windows Server 2003, Windows Vista e Windows Server 2008
  1. Inicie o Editor de registo.
  2. Localize a seguinte subchave do registo:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  3. No menu Editar , clique em Novo e, em seguida, adicione a seguinte entrada de registo:

    Nome do valor: CRLTimeoutPeriod
    Tipo de valor: DWORD
    Dados do valor: Segundos (decimal)
    Descrição: Este valor DWORD permite especificar o período de tempo limite CRL para reduzir positivas falsas. O cliente Kerberos transmite este valor para a política de certificado código de verificação. Por predefinição, o cliente Kerberos Especifica um valor de limite de tempo de 90 segundos mesmo que este valor de registo não está definido.
  4. Localize a seguinte subchave do registo:
    HKEY_Local_Machine\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  5. No menu Editar , clique em Novo e, em seguida, adicione a seguinte entrada de registo:

    Nome do valor: UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors
    Tipo de valor: DWORD
    Dados do valor: 1
    Descrição: Depois de definir este valor DWORD para 1, os clientes de Kerberos (clientes de início de sessão de smart card) irão ignorar erros de "revogação desconhecido" são causados por uma CRL expirada.

Como contornar

Para contornar este problema, desactive a política que requer um smart card para iniciar sessão. Para desactivar esta política, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva gpedit.msc e, em seguida, clique em OK .
  2. Em Política de computador local , expanda Configuração do computador , expanda Definições do Windows e, em seguida, expanda Definições de segurança .
  3. Expanda Políticas locais (Local Policies) e, em seguida, clique em Opções de segurança .
  4. No painel da direita, faça duplo clique em início de sessão interactivo: requerer smart card .
  5. Clique em desactivado e, em seguida, clique em OK .

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a". Este problema foi corrigido pela primeira vez no Windows Server 2003 Service Pack 2.

Mais Informação

Para obter informações adicionais sobre infra-estrutura de chaves públicas e CRL, consulte o "lista de verificação: Implementar cartões Smart Card para iniciar sessão no Windows" tópico de ajuda no seguinte Web site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true)
Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
824684  (http://support.microsoft.com/kb/824684/ ) Descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
Palavras-chave: 
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbcertservices kbppkey kbsmartcard kbwinserv2003presp1fix kbfix kbprb KB887578 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 887578  (http://support.microsoft.com/kb/887578/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft