Контроллер домена в моем лесу работал нормально (как обычно говорят).
Затем, внезапно, я не могу войти в систему со своей смарт-картой. Вместо этого меня встречает следующее сообщение:
Система не смогла войти в систему. Не удалось определить состояние отзыва сертификата контроллера домена, используемого для проверки подлинности смарт-карты.
Я буквально понятия не имею, что здесь произошло. В качестве попытки быстрого исправления я удалил корневой сертификат, выдавший сертификат смарт-карты из центра сертификации как клиента, так и контроллера домена. Затем импортировал только что экспортированный из рассматриваемого DC. Та же проблема.
Я заметил ряд статей на форумах Microsoft и документ поддержки HP. На самом деле каждый из них не проливает много света, поскольку, по-видимому, это общее сообщение об ошибке.
Сказав все это, другие смарт-карты (выпущенные из других DC) работают нормально. Так что я понятия не имею, что с этим.
Когда вы видите это конкретное сообщение об ошибке, это означает, что рабочая станция, на которую вы входите, не может получить доступ к списку отзыва сертификатов для центра сертификации, выдавшего сертификат контроллера домена. Вам необходимо убедиться, что CRL, опубликованный для сертификата DC, доступен и действителен.
Я ищу ссылки, чтобы отправить вам более подробное описание проблемы и отредактирую ответ, когда найду их.
редактировать - Вот несколько полезных ссылок:
Устранение неполадок при входе в CAC - Это наиболее авторитетный список сообщений об ошибках входа в систему со смарт-картой и их исправлений, которые я нашел на сегодняшний день.
Почему для входа с помощью смарт-карты Kerberos требуются сертификаты открытого ключа, закрытые ключи и центр сертификации (ЦС)? - Самый краткий обзор входа в систему со смарт-картой и взаимодействия с PKI.