今天我们遇到了一个问题,突然所有用户都无法使用智能卡登录工作站。错误发生在全新登录或“切换用户”之后,但在锁定工作站后登录时不会发生。
用户可以通过断开网线、进行身份验证,然后重新连接网线来解决该问题。
我们调查了常见的嫌疑人:
- 已验证用户帐户未被锁定/禁用/过期,并且 UPN 设置正确
- 智能卡仍然完好并且具有有效的证书信息。
- 智能卡中间件已正确安装、运行并工作。
- 有效/未过期的 CRL 可供工作站和 DC 使用
- 确保工作站和域控制器上的时间正确同步
- 域控制器处于在线状态,正确复制 AD DS 和 SYSVOL,并且日志中没有重大错误
答案1
最终,我们发现问题出在用户站点的 DC 上 Kerberos 身份验证证书已过期。其他站点的 DC 运行正常,但站点 DC 已停止提供 LDAPS,因为证书已过期。