vista/7 cannot verify crl when logging on with smart card

-

hello,

several times have encountered weird behavior @ customers when
logging on smart card (microsoft base smart card crypt provider,
gemalto .net v2) outside network.

their computer not have access private network - cdp nor aia locations nor of dcs.
but have logged on same smart card , account (so account should have been cached s/c logon).
the error when logging on smart card "cannot verify crl".
the crl may expired, cannot confirm.
their computer have network connection internet, not of cdp nor aia locations (on .local domain names domain has .local suffix).
their cdps , aias contain http:/...local , ldap
they can log on keyboard password (this proves account cached @ least password logon).
without network connection (not internet), logon successful using smart card.

according this, suspect, machine somehow thinks online (although not), should normal online logon instead of cached 1 , tries verify crl not accessible machine @ time.

so question - reason possible?
is possible machine reason tries validate crl if no dc accessible?
for example if domain name .local example , machine on public internet?
how prevent machine trying check crl when dcs not accessible?

thank much.

ondrej.

bonjour,

plusieurs fois j'ai rencontré un comportement bizarre à mes clients quand ils sont
ouvrir une session avec une carte à puce (microsoft base smart card crypte provider,
gemalto. net v2) de l'extérieur de leur réseau.

leur ordinateur n'ont pas accès à leur réseau privé - pour le cdp, ni aia lieux, ni aucun des pays en développement.
mais ils ont déjà connecté auparavant même avec la même carte à puce et de son compte (si le compte doit avoir été mis en cache pour s / c de connexion).
l'erreur lors de la connexion avec la carte à puce été "ne peut pas vérifier crl".
le lcr mai-être déjà dépassée, mais ce que je ne peux pas confirmer.
leur réseau informatique disposent d'une connexion à internet, mais pas tout de cdp, ni aia endroits (sur noms de domaine. locales comme leur nom de domaine fait. suffixe local).
leur ldc et aias contiennent http:/...local et ldap
ils peuvent se connecter avec succès à partir du clavier avec un mot de passe (ce qui prouve que le compte est réellement mis en cache au moins pour l'ouverture de session mot de passe).
sans connexion réseau (pas même à l'internet), la connexion est réussie en utilisant la carte à puce.

selon ce document, je le soupçonne, que la machine semble penser qu'il est en ligne (même si elle l'est pas), qu'il devrait faire en ligne d'ouverture de session normale au lieu de la mise en cache un seul et tente de vérifier lcr qui n'est vraiment pas accessible à partir de cette machine à cette époque .

donc la question est - est la raison possible?
est-il possible que la machine pour une raison quelconque essaie de valider lcr, même si aucun contrôleur de domaine est-il accessible?
par exemple si le nom de domaine est. local par exemple et la machine n'est que sur l'internet public?
comment faire pour éviter que la machine tente de vérifier la lcr lors de leur dec ne sont pas accessibles?

merci beaucoup.

ondrej.




Windows Server  >  Security



Comments

Post a Comment

Popular posts from this blog

DCOM received error "2147746132" from...

-
hi everybody, i have dc (my windows essentials 2012 server) , windows 2012 server in network.  the windows server 2012 inside domain. on server, got "non stopping" error says in event logs : ===> dcom received error "2147746132" fromd computer xxxx(my dc computer) while server trying activation : {6df8cb71-153b-4c66-8fc4-e59301b8011b} it never stops, got 11000+ new events :s i found : http://support.microsoft.com/kb/971153/fr i'm not sure should ? does got idea ? matthieu. hi, please try solution mentioned in below link: http://www.eventid.net/display-eventid-10006-source-dcom-eventno-272-phase-1.htm regards, cicely Windows Server  >  Windows Server 2012 General ...
Read more

DFSR RPC replication errors 5014 1726 with large files over VPN

-
i have similar issue ryan in reply http://social.technet.microsoft.com/forums/en-gb/winserverfiles/thread/6d49fd71-2236-4fcb-9763-bf1c03459ee8 cited below. start additional thread here because other 1 related windows server 2003 (r2) , i'm (as ryan) on windows 2008 r2 x64. here first of post ryan: i've got same problem on 2008 r2 dfsr server.  the spoke server has 2x intel 1 gigb on-board nics in active/standby teamed configuration. the hub server (running on vmware using 10gbit vmnet3 nic driver) logs dfsr event 5014 every 2-15mins (usually around 5mins). the spoke server not log event. replication running slowly. initial sync/replication. had re-configure replication folder because of lost dfsr database on spoke server.  could teamed nic on spoke causing error on host? a note: last time did initial sync on folder processed @ 30k files , hour. time it's doing few hundred and hour. another note: hub server has several replication groups , conne...
Read more

ADFS 3.0 Event ID 4625 | An Error occurred During Logon | Status: 0xC000035B

-
we're getting these random errors on our adfs security logs, how can track down generating them? an account failed log on. subject: security id: null sid account name: - account domain: - logon id: 0x0 logon type: 3 account logon failed: security id: null sid account name: account domain: failure information: failure reason: an error occured during logon. status: 0xc000035b sub status: 0x0 process information: caller process id: 0x0 caller process name: - network information: workstation name: - source network address: - source port: - detailed authentication information: logon process: kerberos authentication package: kerberos transited services: - package name (ntlm only): - key length: 0 event generated when logon request fails. generated on computer access attempted. subject fields indicate account on local system requested logon. commonly service such server service, or local process such ...
Read more