| Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ereignis-ID: | 32 (0x80000020) |
| Ereignisprotokoll: | System |
| Ereignistyp: | Warnung |
| Ereignistext (englisch): | The Key Distribution Center (KDC) uses a certificate without KDC Extended Key Usage (EKU) which can result in authentication failures for device certificate logon and smart card logon from non-domain-joined devices. Enrollment of a KDC certificate with KDC EKU (Kerberos Authentication template) is required to remove this warning. |
| Ereignistext (deutsch): | Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) wird ein Zertifikat ohne erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für das KDC verwendet. Dies kann bei Gerätezertifikatanmeldungen und Smartcardanmeldungen von Geräten ohne Domänenzugehörigkeit zu Authentifizierungsfehlern führen. Die Registrierung eines KDC-Zertifikats mit KDC-EKU (Kerberos-Authentifizierungsvorlage) ist erforderlich, um diese Warnung zu beseitigen. |
Kategorie: Active Directory
Details zum Ereignis mit ID 200 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
| Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ereignis-ID: | 200 (0xC8) |
| Ereignisprotokoll: | Microsoft-Windows-Kerberos-Key-Distribution-Center/Operational |
| Ereignistyp: | Warnung |
| Ereignistext (englisch): | The Key Distribution Center (KDC) cannot find a suitable certificate to use. This KDC is not enabled for smart card or certificate authentication. |
| Ereignistext (deutsch): | Das Schlüsselverteilungscenter (KDC) kann kein geeignetes Zertifikat finden. Dieses KDC ist nicht für die Smartcard- oder Zertifikatauthentifizierung aktiviert. |
Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
| Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ereignis-ID: | 21 (0x80000015) |
| Ereignisprotokoll: | System |
| Ereignistyp: | Warnung |
| Ereignistext (englisch): | The client certificate for the user %1\%2 is not valid, and resulted in a failed smartcard logon. Please contact the user for more information about the certificate they’re attempting to use for smartcard logon. The chain status was : %3 |
| Ereignistext (deutsch): | Das Clientzertifikat für den Benutzer %1\%2 ist nicht gültig. Das Ergebnis war ein Fehler bei der Smartcard-Anmeldung. Wenden Sie sich an den Benutzer, um weitere Informationen über das Zertifikat zu erhalten, das für die Smartcard-Anwendung verwendet werden soll. Kettenstatus: %3 |
Details zum Ereignis mit ID 302 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
| Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ereignis-ID: | 302 (0x12E) |
| Ereignisprotokoll: | Microsoft-Windows-Kerberos-Key-Distribution-Center/Operational |
| Ereignistyp: | Information |
| Ereignistext (englisch): | The Key Distribution Center (KDC) uses the below KDC certificate for smart card or certificate authentication. Kdc Certificate Information: Issuer Name: %1 Serial Number: %2 Thumbprint: %3 Template: %4 |
| Ereignistext (deutsch): | Das Schlüsselverteilungscenter (KDC) verwendet das folgende Zertifikat für die Smartcard- oder Zertifikatauthentifizierung. KDC-Zertifikatinformationen: Ausstellername: %1 Seriennummer: %2 Fingerabdruck: %3 Vorlage: %4 |
Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
| Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ereignis-ID: | 19 (0x80000013) |
| Ereignisprotokoll: | System |
| Ereignistyp: | Warnung |
| Ereignistext (englisch): | This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate. |
| Ereignistext (deutsch): | Dieses Ereignis zeigt an, dass ein Versuch unternommen wurde, die Smartcard-Anmeldung zu verwenden, aber der KDC kann das PKINIT-Protokoll nicht verwenden, weil ein geeignetes Zertifikat fehlt. |
Details zum Ereignis mit ID 20 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
| Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ereignis-ID: | 20 (0x80000014) |
| Ereignisprotokoll: | System |
| Ereignistyp: | Warnung |
| Ereignistext (englisch): | The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found. Smartcard logon may not function correctly if this problem is not remedied. Have the system administrator check on the state of the domain’s public key infrastructure. The chain status is in the error data. |
| Ereignistext (deutsch): | Das zurzeit ausgewählte KDC-Zertifikat war zuvor gültig, ist jetzt aber ungültig. Es wurde kein geeigneter Ersatz gefunden. Die Smartcard-Anmeldung funktioniert ggf. nicht richtig, wenn dieses Problem nicht behoben wird. Lassen Sie den Systemadministrator den Status der Public Key-Infrastruktur (PKI) der Domäne überprüfen. Der Kettenstatus ist in den Fehlerdaten enthalten. |
Details zum Ereignis mit ID 29 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
| Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ereignis-ID: | 29 (0x8000001D) |
| Ereignisprotokoll: | System |
| Ereignistyp: | Warnung |
| Ereignistext (englisch): | The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate. |
| Ereignistext (deutsch): | Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat. |
Details zum Ereignis mit ID 120 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
| Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ereignis-ID: | 120 (0x78) |
| Ereignisprotokoll: | Microsoft-Windows-Kerberos-Key-Distribution-Center/Operational |
| Ereignistyp: | Fehler |
| Ereignistext (englisch): | The Key Distribution Center (KDC) failed to validate its current KDC certificate. This KDC might not be enabled for smart card or certificate authentication. Kdc Certificate Information: Issuer Name: %1 Serial Number: %2 Thumbprint: %3 Template: %4 Kerberos Error: %5 Validation Error: %6 |
| Ereignistext (deutsch): | Das Schlüsselverteilungscenter (KDC) konnte das aktuelle KDC-Zertifikat nicht überprüfen. Dieses KDC kann möglicherweise nicht für die Smartcard- oder Zertifikatauthentifizierung verwendet werden. KDC-Zertifikatinformationen: Ausstellername: %1 Seriennummer: %2 Fingerabdruck: %3 Vorlage: %4 Kerberos-Fehler: %5 Überprüfungsfehler: %6 |
Konfigurieren einer Zertifikatvorlage für Domänencontroller
Auch bei einer vermeintlich simpel zu konfigurierenden Zertifikatvorlage für Domänencontroller gibt es einiges zu beachten.
„Konfigurieren einer Zertifikatvorlage für Domänencontroller“ weiterlesenSmartcard Anmeldung im Netzwerk unterbinden
Installiert man die Active Directory Zertifikatdienste in der Standard-Konfiguration, wird die Umgebung automatisch dafür konfiguriert, dass Smartcard-Anmeldungen von den Domänencontrollern akzeptiert werden.
Wenn die Verwendung von Smartcard Anmeldungen nicht gewünscht ist, ist es daher sinnvoll, die Funktionalität abzustellen, um im Falle der Kompromittierung der Zertifizierungsstelle das Active Directory nicht zu gefährden.
„Smartcard Anmeldung im Netzwerk unterbinden“ weiterlesenWie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet?
Seit den Verwaltungstools für die Zertifikatdienste in Windows Server 2012 kann man beim Konfigurieren einer Zertifikatvorlage die gewünschte Kompatibilität für die Zertifizierungsstelle und Zertifikatempfänger auswählen.
Nachfolgend wird diese Funktion näher beschrieben, sowie auf mögliche Auswirkungen in der Praxis eingegangen.
„Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet?“ weiterlesenAutomatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern
Eine neue Funktion von Windows Server 2016 ist, dass die Passwörter für Konten, die eine reine Anmeldung mit Smartcards erfordern, gemäß den Passwortlichtlinien automatisch erneuert werden.
Wird die Option "Smart card is required for interactive logon" für ein Benutzerkonto aktiviert, wird das Kennwort des Benutzerkontos einmalig auf einen zufälligen Wert gesetzt. Das Passwort ändert sich jedoch anschließend nie mehr, was das Konto anfälliger für Pass-the-Hash Angriffe macht.
Die neu eingeführte Funktion löst dieses Problem, indem für entsprechende Konten regelmäßig (in Abhängigkeit der für das Konto konfigurierten Passwortrichtlinie) neue zufallsgenerierte Passwörter erzeugt werden.
„Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern“ weiterlesenEinordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)
Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.
„Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)“ weiterlesenGrundlagen und Risikobetrachtung Delegierungseinstellungen
Delegierung ist immer dann erforderlich, wenn es zwischen dem Anwender und dem eigentlichen Dienst einen Mittelsmann gibt. Im Fall der Zertifizierungsstellen-Webregistrierung wäre dies der Fall, wenn diese auf einem separaten Server installiert ist. Sie fungiert dann als Mittelsmann zwischen dem Antragsteller und der Zertifizierungsstelle.
„Grundlagen und Risikobetrachtung Delegierungseinstellungen“ weiterlesenNach Installation oder Migration einer Zertifizierungsstelle auf einen neuen Server können keine eigenen Zertifikatvorlagen mehr veröffentlicht werden
Folgendes Szenario angenommen:
- Es ist eine Active Directory integrierte Zertifizierungsstelle (Enterprise CA) im Netzwerk integriert.
- Die Zertifizierungsstelle wurde auf einen neuen Server migriert (siehe auch Artikel "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server").
- Beim Veröffentlichen der Zertifikatvorlagen stellt man fest, dass sich nur die Standard-Zertifikatvorlagen zur Veröffentlichung auswählen lassen. Eigene Zertifikatvorlagen werden nicht angezeigt.
Deutsch 
English