我正在建立一个测试实验室。
使用 AD CS,我已将智能卡登录证书部署到 HID Crescendo C1150。当我尝试使用智能卡登录 WIN7 工作站时,我看到的是:
系统无法让您登录。指定的域不可用。请稍后重试。
该机器已连接到实验室交换机。如果我使用用户名:密码登录,我可以验证工作站是否具有网络连接并且可以访问域控制器。
任何见解都将不胜感激。
答案1
问题是身份验证证书中指定的域无效或无法访问。打开客户端证书(在证书管理器中),切换到“详细信息”选项卡并向下滚动到Subject Alternative Names证书扩展。检查User Principal Name。它包含您的用户帐户的登录用户名和权威域。客户端工作站尝试联系指定的域来验证您的凭据,但失败了。
答案2
如果您的 UPN 正确,下一步是检查您的事件日志。几乎所有登录错误的原因都记录在那里。它要么在安全类别中,要么在应用程序 -> windows -> CAPI 下。根据错误,您可以在客户端或域控制器上获得有价值的信息。
智能卡认证有很多活动部件,遗憾的是登录用户界面中显示的错误消息非常不具体。