Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account."

Folgendes Szenario angenommen:

  • Ein Benutzer verfügt über ein Smartcard Logon Zertifikat und meldet sich mit diesem an der Active Directory Domäne an.
  • Die Anmeldung schlägt fehl. Folgende Fehlermeldung wird dem Benutzer an seinem Computer zurückgegeben:
Signing in with a security device isn't supported for your account. For more info, contact your administrator.

Im Deutschen lautet die Meldung:

Die SmartCard-Anmeldung wird für ihr Konto nicht unterstützt.

Entsprechende Ereignisse sollte auch auf dem entsprechenden authentisierenden Domänencontroller protokolliert werden:

This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate.
The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.

Mögliche Ursachen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Der Fehler tritt unter Anderem dann auf,

  • wenn die Domänencontroller keine für Smartcard Anmeldung nutzbaren Zertifikate besitzen (beispielsweise weil die notwendigen Extended Key Usages nicht enthalten sind).
  • Es sind keine Sperrstatusinformationen über das Dmänencontroller-Zertifikat des authentisierenden Domänencontrollers, etwa weil der Server, auf dem sich die Sperrlistenverteilungspunkte befinden, vom authentisierenden Domänencontroller nicht erreichbar ist (offline oder durch eine Firewall blockiert), oder weil die Sperrlistenverteilungspunkte zwar erreichbar, die Sperrlisten jedoch abgelaufen sind.

Probleme mit den Sperrlistenverteilungspunkten (Verfügbarkeit und Aktualität der Sperrlisten) kann jedes Zertifikat in der zu prüfenden Zertifikatkette betreffen, beispielsweise auch dann wenn die Sperrliste einer Zertifizierungsstelle in der Kette abgelaufen ist (klassischerweise die Stammzertifizierungsstelle, deren Sperrlistenerneuerung versäumt wurde).

Wenn die Sperrliste der Stammzertifizierungsstelle abgelaufen sein sollte ist ein häufiger Folgefehler, dass untergeordnete Zertifizierungsstellen nicht mehr starten, da diese beim Dienststart die Gültigkeit ihres eigenen Zertifizierungsstellen-Zertifikats überprüfen.

Weiterführende Links:

de_DEDeutsch