Anmeldefehler mit Windows Hello for Business: "Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte."

Folgendes Szenario angenommen:

  • Das Unternehmen setzt Windows Hello for Business ein.
  • Benutzer erhalten bei der Anmeldung am Client folgende Fehlermeldung:
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.

Die deutsche Übersetzung der Fehlermeldung lautet:

Fehler beim Anmelden. Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte. Das Systemereignisprotokoll enthält möglicherweise zusätzliche Informationen

Auf den Domänencontrollern wird eventuell das Ereignis mit ID 32 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center protokolliert.

Mögliche Ursachen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Wie die Fehlermeldung verlauten lässt, kann das KDC-Zertifikat (also das Domänencontroller-Zertifikat) vom Client nicht verifiziert werden. Als Ursachen können in Frage kommen:

  • Die Domänencontroller verfügen nicht über entsprechende Zertifikate.
  • Das Domänencontroller-Zertifikat ist abgelaufen.
  • Das Domänencontroller-Zertifikat verfügt nicht über eines der für Windows Hello for Business (analog Smartcard Anmeldung) notwendigen Extended Key Usage ("KDC Authentication" oder "Smartcard Logon").
  • Die Zertifizierungsstelle, welche die Domänencontroller-Zertifikate ausstellt, ist nicht im NTAuthCertificates Objekt im Active Directory eingetragen.
  • Der Sperrstatus des Domänencontroller-Zertifikats kann nicht überprüft werden, beispielsweise weil die Sperrinformation abgelaufen oder nicht erreichbar ist. Hier auch an die gesamte Zertifizierungsstellen-Hierarchie denken, das gleiche Problem tritt auf, wenn die Sperrinformation einer übergeordneten Zertifizierungsstelle nicht gültig ist.

Weiteres Eingrenzen des Fehlers

Die Domänencontroller-Zertifikate können mit folgendem Befehl überprüft werden:

certutil -dcinfo verify

Hierbei bitte beachten, dass der Befehl Domänen-Administrator-Berechtigungen voraussetzt.

Beispielsweise könnte auf diesem Weg ein Problem mit der Sperrstatusüberprüfung identifiziert werden:

The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).

Bitte beachten, dass der Fehlercode CRYPT_E_REVOCATION_OFFLINE nicht unterscheidet, ob die Sperrliste nicht heruntergeladen werden kann, oder ob sie zwar heruntergeladen werden kann aber abgelaufen ist.

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Anmeldefehler mit Windows Hello for Business: "Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte."“

Kommentare sind geschlossen.

de_DEDeutsch