Produktdokumentation
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDF anzeigen

Problembehandlung für Windows-Anmeldeprobleme

April 28, 2026
Beitrag von: 
C C

Dieser Artikel beschreibt die Protokolle und Fehlermeldungen, die Windows bereitstellt, wenn sich ein Benutzer mithilfe von Zertifikaten und/oder Smartcards anmeldet. Diese Protokolle enthalten Informationen, die Sie zur Behebung von Authentifizierungsfehlern verwenden können.

  • Zertifikate und Public-Key-Infrastruktur

  • Windows Active Directory verwaltet mehrere Zertifikatspeicher, die Zertifikate für sich anmeldende Benutzer verwalten.

  • NTAuth-Zertifikatspeicher: Zur Authentifizierung bei Windows muss die Zertifizierungsstelle, die Benutzerzertifikate direkt ausstellt (d. h. keine Verkettung wird unterstützt), im NTAuth-Speicher abgelegt werden. Um diese Zertifikate anzuzeigen, geben Sie im Programm certutil Folgendes ein: certutil –viewstore –enterprise NTAuth.
  • Stamm- und Zwischenzertifikatspeicher: Normalerweise können Zertifikatsanmeldesysteme nur ein einziges Zertifikat bereitstellen. Wenn also eine Kette verwendet wird, muss der Zwischenzertifikatspeicher auf allen Computern diese Zertifikate enthalten. Das Stammzertifikat muss sich im Speicher für vertrauenswürdige Stammzertifikate befinden, und das vorletzte Zertifikat muss sich im NTAuth-Speicher befinden.
  • Anmeldezertifikaterweiterungen und Gruppenrichtlinien: Windows kann so konfiguriert werden, dass die Überprüfung von EKUs und anderen Zertifikatsrichtlinien erzwungen wird. Siehe die Microsoft-Dokumentation: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff404287(v=ws.10).
Registrierungsrichtlinie Beschreibung
AllowCertificatesWithNoEKU Wenn deaktiviert, müssen Zertifikate die erweiterte Schlüsselverwendung (EKU) für die Smartcard-Anmeldung enthalten.
  • AllowSignatureOnlyKeys Standardmäßig filtert Windows private Zertifikatsschlüssel heraus, die keine RSA-Entschlüsselung zulassen. Diese Option überschreibt diesen Filter.
    AllowTimeInvalidCertificates Standardmäßig filtert Windows abgelaufene Zertifikate heraus. Diese Option überschreibt diesen Filter.
    EnumerateECCCerts Aktiviert die Authentifizierung mit elliptischen Kurven.
    X509HintsNeeded Wenn ein Zertifikat keinen eindeutigen Benutzerprinzipalnamen (UPN) enthält oder dieser mehrdeutig sein könnte, ermöglicht diese Option Benutzern, ihr Windows-Anmeldekonto manuell anzugeben.
    UseCachedCRLOnlyAnd, IgnoreRevocationUnknownErrors Deaktiviert die Sperrprüfung (normalerweise auf dem Domänencontroller festgelegt).
    • Domänencontroller-Zertifikate: Zur Authentifizierung von Kerberos-Verbindungen müssen alle Server über entsprechende „Domänencontroller“-Zertifikate verfügen. Diese können über das MMC-Snap-In-Menü „Persönlicher Zertifikatspeicher des lokalen Computers“ angefordert werden.

UPN-Name und Zertifikatszuordnung

Es wird empfohlen, dass Benutzerzertifikate einen eindeutigen Benutzerprinzipalnamen (UPN) in der Erweiterung „Alternativer Antragstellername“ enthalten.

UPN-Namen in Active Directory

Standardmäßig hat jeder Benutzer in Active Directory einen impliziten UPN, basierend auf dem Muster <samUsername>@<domainNetBios> und <samUsername>@<domainFQDN>. Die verfügbaren Domänen und FQDNs sind im RootDSE-Eintrag für die Gesamtstruktur enthalten. Beachten Sie, dass eine einzelne Domäne mehrere im RootDSE registrierte FQDN-Adressen haben kann.

Zusätzlich hat jeder Benutzer in Active Directory einen expliziten UPN und altUserPrincipalNames. Dies sind LDAP-Einträge, die den UPN für den Benutzer angeben.

Bei der Suche nach Benutzern anhand des UPN sucht Windows zuerst in der aktuellen Domäne (basierend auf der Identität des Prozesses, der den UPN nachschlägt) nach expliziten UPNs, dann nach alternativen UPNs. Wenn keine Übereinstimmungen gefunden werden, wird der implizite UPN nachgeschlagen, der sich auf verschiedene Domänen in der Gesamtstruktur auflösen kann.

Zertifikatszuordnungsdienst

Wenn ein Zertifikat keinen expliziten UPN enthält, hat Active Directory die Möglichkeit, ein exaktes öffentliches Zertifikat für jede Verwendung in einem „x509certificate“-Attribut zu speichern. Um ein solches Zertifikat einem Benutzer zuzuordnen, kann ein Computer dieses Attribut direkt abfragen (standardmäßig in einer einzelnen Domäne).

Es wird eine Option bereitgestellt, mit der der Benutzer ein Benutzerkonto angeben kann, die diese Suche beschleunigt und es ermöglicht, diese Funktion auch in einer domänenübergreifenden Umgebung zu verwenden.

Wenn es mehrere Domänen in der Gesamtstruktur gibt und der Benutzer keine Domäne explizit angibt, gibt das Active Directory rootDSE den Speicherort des Zertifikatszuordnungsdienstes an. Dieser befindet sich normalerweise auf einem globalen Katalogserver und verfügt über eine zwischengespeicherte Ansicht aller x509certificate-Attribute in der Gesamtstruktur. Dieser Computer kann verwendet werden, um ein Benutzerkonto in jeder Domäne effizient zu finden, basierend nur auf dem Zertifikat.

Steuerung der Auswahl des Anmelde-Domänencontrollers

Wenn eine Umgebung mehrere Domänencontroller enthält, ist es nützlich zu sehen und einzuschränken, welcher Domänencontroller für die Authentifizierung verwendet wird, damit Protokolle aktiviert und abgerufen werden können.

Steuerung der Domänencontroller-Auswahl

Um Windows zu zwingen, einen bestimmten Windows-Domänencontroller für die Anmeldung zu verwenden, können Sie die Liste der Domänencontroller, die ein Windows-Computer verwendet, explizit festlegen, indem Sie die Datei lmhosts konfigurieren: \Windows\System32\drivers\etc\lmhosts.

Normalerweise befindet sich an diesem Speicherort eine Beispieldatei namens “lmhosts.sam”. Fügen Sie einfach eine Zeile hinzu:

1.2.3.4 dcnetbiosname #PRE #DOM:mydomai

Wobei “1.2.3.4” die IP-Adresse des Domänencontrollers namens “dcnetbiosname” in der Domäne “mydomain” ist.

Nach einem Neustart verwendet der Windows-Computer diese Informationen, um sich bei mydomain anzumelden. Beachten Sie, dass diese Konfiguration rückgängig gemacht werden muss, wenn das Debugging abgeschlossen ist.

Identifizieren des verwendeten Domänencontrollers

Bei der Anmeldung setzt Windows eine MSDOS-Umgebungsvariable mit dem Domänencontroller, der den Benutzer angemeldet hat. Um dies zu sehen, starten Sie die Eingabeaufforderung mit dem Befehl: echo %LOGONSERVER%.

Protokolle, die sich auf die Authentifizierung beziehen, werden auf dem Computer gespeichert, der von diesem Befehl zurückgegeben wird.

Aktivieren von Kontoüberwachungsereignissen

Standardmäßig aktivieren Windows-Domänencontroller keine vollständigen Kontoüberwachungsprotokolle. Dies kann über Überwachungsrichtlinien in den Sicherheitseinstellungen des Gruppenrichtlinieneditors gesteuert werden. Nach der Aktivierung erzeugt der Domänencontroller zusätzliche Ereignisprotokollinformationen in der Sicherheitsereignisprotokolldatei.

lokalisiertes Bild

Zertifikatsvalidierungsprotokolle

-  ### Überprüfen der Zertifikatsgültigkeit

-  Wenn ein Smartcard-Zertifikat als DER-Zertifikat exportiert wird (kein privater Schlüssel erforderlich), können Sie es mit dem Befehl überprüfen: certutil –verify user.cer

CAPI-Protokollierung aktivieren

  • Öffnen Sie auf dem Domänencontroller und dem Benutzercomputer die Ereignisanzeige und aktivieren Sie die Protokollierung für Microsoft/Windows/CAPI2/Operational Logs.

  • Sie können die CAPI-Protokollierung mit den Registrierungsschlüsseln unter: CurrentControlSet\Services\crypt32 steuern.

  • Wert Beschreibung
    DiagLevel (DWORD) Ausführlichkeitsgrad (0 bis 5)
    DiagMatchAnyMask (QUADWORD) Ereignisfilter (für alle 0xffffff verwenden)
    DiagProcessName (MULTI_SZ) Nach Prozessnamen filtern (z. B. LSASS.exe)

CAPI-Protokolle

Meldung Beschreibung
Zertifikatskette erstellen LSA hat CertGetCertificateChain aufgerufen (enthält Ergebnis)
Sperrung überprüfen LSA hat CertVerifyRevocation aufgerufen (enthält Ergebnis)
X509-Objekte Im ausführlichen Modus werden Zertifikate und Zertifikatsperrlisten (CRLs) nach AppData\LocalLow\Microsoft\X509Objects ausgegeben
Kettenrichtlinie überprüfen LSA hat CertVerifyChainPolicy aufgerufen (enthält Parameter)

Fehlermeldungen

Fehlercode Beschreibung
Zertifikat nicht vertrauenswürdig Das Smartcard-Zertifikat konnte nicht mithilfe von Zertifikaten in den Zwischen- und vertrauenswürdigen Stammzertifikatspeichern des Computers erstellt werden.
Fehler bei der Zertifikatsperrprüfung Die CRL für die Smartcard konnte nicht von der im CRL-Verteilungspunkt des Zertifikats angegebenen Adresse heruntergeladen werden. Wenn die Sperrprüfung vorgeschrieben ist, verhindert dies eine erfolgreiche Anmeldung. Siehe den Abschnitt Zertifikate und Public-Key-Infrastruktur.
Fehler bei der Zertifikatsverwendung Das Zertifikat ist nicht für die Anmeldung geeignet. Es könnte sich beispielsweise um ein Serverzertifikat oder ein Signaturzertifikat handeln.

Kerberos-Protokolle

Um die Kerberos-Protokollierung zu aktivieren, erstellen Sie auf dem Domänencontroller und dem Endbenutzercomputer die folgenden Registrierungswerte:

Hive Wertname Wert [DWORD]
CurrentControlSet\Control\Lsa\Kerberos\Parameters LogLevel 0x1
CurrentControlSet\Control\Lsa\Kerberos\Parameters KerbDebuglevel 0xffffffff
CurrentControlSet\Services\Kdc KdcDebugLevel 0x1
CurrentControlSet\Services\Kdc KdcExtraLogLevel 0x1f

Die Kerberos-Protokollierung wird im Systemereignisprotokoll ausgegeben.

  • Meldungen wie “nicht vertrauenswürdiges Zertifikat” sollten leicht zu diagnostizieren sein.
  • Zwei Fehlercodes sind informativ und können bedenkenlos ignoriert werden:
    • KDC_ERR_PREAUTH_REQUIRED (wird zur Abwärtskompatibilität mit älteren Domänencontrollern verwendet)
    • Unbekannter Fehler 0x4b

Domänencontroller- und Arbeitsstationsprotokolle

Dieser Abschnitt beschreibt die erwarteten Protokolleinträge auf dem Domänencontroller und der Arbeitsstation, wenn sich der Benutzer mit einem Zertifikat anmeldet.

  • Domänencontroller-CAPI2-Protokoll
  • Domänencontroller-Sicherheitsprotokolle
  • Sicherheitsprotokoll des Virtual Delivery Agent (VDA)
  • VDA-CAPI-Protokoll
  • VDA-Systemprotokoll

Domänencontroller-CAPI2-Protokoll

Während einer Anmeldung validiert der Domänencontroller das Zertifikat des Anrufers und erzeugt eine Abfolge von Protokolleinträgen in der folgenden Form.

localized image

Die letzte Ereignisprotokollmeldung zeigt, wie lsass.exe auf dem Domänencontroller eine Kette basierend auf dem vom VDA bereitgestellten Zertifikat erstellt und diese auf Gültigkeit (einschließlich Sperrung) überprüft. Das Ergebnis wird als “ERROR_SUCCESS” zurückgegeben.

localized image

Domänencontroller-Sicherheitsprotokoll

Der Domänencontroller zeigt eine Abfolge von Anmeldeereignissen, wobei das Schlüsselereignis 4768 ist, bei dem das Zertifikat verwendet wird, um das Kerberos Ticket Granting Ticket (krbtgt) auszustellen.

Die Meldungen davor zeigen das Computerkonto des Servers, das sich beim Domänencontroller authentifiziert. Die Meldungen danach zeigen das Benutzerkonto, das zum neuen krbtgt gehört und zur Authentifizierung beim Domänencontroller verwendet wird.

lokalisiertes Bild

VDA-Sicherheitsprotokoll

Das VDA-Sicherheitsüberwachungsprotokoll, das dem Anmeldeereignis entspricht, ist der Eintrag mit der Ereignis-ID 4648, der von winlogon.exe stammt.

lokalisiertes Bild

VDA-CAPI-Protokoll

Dieses Beispiel des VDA-CAPI-Protokolls zeigt eine einzelne Kettenaufbau- und Verifizierungssequenz von lsass.exe, die das Domänencontroller-Zertifikat (dc.citrixtest.net) validiert.

lokalisiertes Bild

lokalisiertes Bild

VDA-Systemprotokoll

Wenn die Kerberos-Protokollierung aktiviert ist, zeigt das Systemprotokoll den Fehler KDC_ERR_PREAUTH_REQUIRED (der ignoriert werden kann) und einen Eintrag von Winlogon, der anzeigt, dass die Kerberos-Anmeldung erfolgreich war.

lokalisiertes Bild

Überwachung von FAS mithilfe des Windows-Ereignisprotokolls

Alle FAS-Ereignisse werden in das Windows-Anwendungsereignisprotokoll geschrieben. Sie können Produkte wie System Center Operations Manager (SCOM) verwenden, um den Zustand Ihres FAS-Dienstes anhand der hier beschriebenen Prozesse und Ereignisse zu überwachen.

Wird der FAS-Dienst ausgeführt?

Um festzustellen, ob der FAS-Dienst ausgeführt wird, überwachen Sie den Prozess Citrix.Authentication.FederatedAuthenticationService.exe.

In diesem Abschnitt werden nur die wichtigsten Ereignisse zur Überwachung des FAS-Dienstes beschrieben. Eine vollständige Liste der FAS-Ereigniscodes finden Sie unter FAS-Ereignisprotokolle.

FAS-Zustandsereignisse

Die folgenden Ereignisse zeigen an, ob Ihr FAS-Dienst fehlerfrei ist.

Die Ereignisquelle ist Citrix.Authentication.FederatedAuthenticationService.

Ereignis Ereignistext Erläuterung Hinweise
[S003] Administrator [{0}] setzt Wartungsmodus auf [{1}] Der FAS-Dienst wurde in den Wartungsmodus versetzt oder aus diesem herausgenommen. Im Wartungsmodus ist der FAS-Server nicht für Single Sign-On verwendbar.
[S022] Administrator [{0}] setzt Wartungsmodus auf Aus Der FAS-Dienst wurde aus dem Wartungsmodus herausgenommen. Verfügbar ab FAS 10.7 / CVAD 2109.
[S023] Administrator [{0}] setzt Wartungsmodus auf Ein Der FAS-Dienst wurde in den Wartungsmodus versetzt. Verfügbar ab FAS 10.7 / CVAD 2109.
[S123] Fehler beim Ausstellen eines Zertifikats für [upn: {0} Rolle: {1}] [Ausnahme: {2}] Dieses Ereignis tritt nach [S124] auf, wenn keine der mit FAS konfigurierten Zertifizierungsstellen erfolgreich ein Benutzerzertifikat ausgestellt hat. Single Sign-On schlägt für diesen Benutzer fehl. Dieses Ereignis kann darauf hinweisen, dass alle konfigurierten Zertifizierungsstellen nicht funktionieren. Wenn FAS für die Verwendung eines HSM konfiguriert ist, kann es auch darauf hinweisen, dass das HSM nicht funktioniert.
[S124] Fehler beim Ausstellen eines Zertifikats für [upn: {0} Rolle: {1}] bei [Zertifizierungsstelle: {2}] [Ausnahme: {3}] Ein Fehler trat auf, als FAS versuchte, ein Benutzerzertifikat von der angegebenen Zertifizierungsstelle anzufordern. Wenn FAS mit mehr als einer Zertifizierungsstelle konfiguriert ist, versucht FAS die Anforderung bei einer anderen Zertifizierungsstelle. Dieses Ereignis kann darauf hinweisen, dass die Zertifizierungsstelle nicht funktioniert oder nicht erreichbar ist. Wenn FAS für die Verwendung eines HSM konfiguriert ist, kann es auch darauf hinweisen, dass das HSM nicht funktioniert. Die Ausnahme kann verwendet werden, um die Ursache des Problems zu identifizieren.
[S413] Autorisierungszertifikat läuft bald ab ({0} Tage verbleibend). Zertifikatdetails: {1} Dieses Ereignis wird regelmäßig generiert, wenn das FAS-Autorisierungszertifikat kurz vor dem Ablauf steht. Standardmäßig wird das Ereignis täglich generiert, wenn das Autorisierungszertifikat innerhalb von 30 Tagen abläuft. Die Standardeinstellungen können mit dem Cmdlet Set-FasRaCertificateMonitor angepasst werden; siehe PowerShell-Cmdlets.
[S414] Autorisierungszertifikat ist abgelaufen. Zertifikatdetails: {0} Dieses Ereignis wird regelmäßig generiert, wenn das FAS-Autorisierungszertifikat abgelaufen ist. Standardmäßig wird das Ereignis täglich generiert. Nach dem Ablauf kann FAS keine neuen Benutzerzertifikate generieren, und Single Sign-On beginnt fehlzuschlagen.

Cloud-verbundene FAS-Ereignisse

Wenn Sie FAS in Verbindung mit Citrix Cloud™ verwenden, zeigen die folgenden Ereignisse an, ob Ihr FAS-Dienst fehlerfrei ist.

Die Ereignisquelle ist Citrix.Fas.Cloud.

Ereignis Ereignistext Erläuterung Hinweise
[S012] Der FAS-Dienst ist für Single Sign-On von Citrix Cloud verfügbar Dieses Ereignis zeigt an, dass Single Sign-On von Workspace (d.h. Citrix Cloud) funktionieren sollte. Bevor dieses Ereignis ausgelöst wird, prüft FAS (1), ob es konfiguriert ist, (2) nicht im Wartungsmodus ist und (3) mit Citrix Cloud verbunden ist.
[S013] Der FAS-Dienst ist für Single Sign-On von Citrix Cloud nicht verfügbar. [{0}] Weitere Details finden Sie in der Administratorkonsole. Dieses Ereignis zeigt an, dass FAS kein Single Sign-On von Workspace (d.h. Citrix Cloud) bereitstellen kann. Die Meldung enthält den Grund, warum Single Sign-On nicht funktioniert. FAS unterhält eine persistente Verbindung zu Citrix Cloud. Von Zeit zu Zeit kann diese Verbindung aus verschiedenen Gründen (z. B. eine Netzwerkstörung oder eine Verbindungslebensdauerrichtlinie auf einem Proxyserver) beendet werden. Wenn dies geschieht, enthält der Ereignistext “Dienst ist nicht mit der Cloud verbunden”. Dies ist ein normales Verhalten, und FAS versucht sofort, eine Verbindung zu Citrix Cloud wiederherzustellen.

Sicherheitsereignisse

Die folgenden Ereignisse zeigen an, dass eine nicht autorisierte Entität versucht hat, FAS zu verwenden.

Die Ereignisquelle ist Citrix.Authentication.FederatedAuthenticationService.

Ereignis Ereignistext Erläuterung
[S001] ZUGRIFF VERWEIGERT: Benutzer [{0}] ist kein Mitglied der Administratorengruppe Es wurde versucht, die Konfiguration von FAS anzuzeigen oder zu ändern, aber der Aufrufer war kein FAS-Administrator.
[S002] ZUGRIFF VERWEIGERT: Benutzer [{0}] ist kein Administrator der Rolle [{1}] Es wurde versucht, die Konfiguration einer FAS-Regel anzuzeigen oder zu ändern, aber der Aufrufer war kein FAS-Administrator.
[S101] Server [{0}] ist nicht berechtigt, Identitäten in Rolle [{1}] zu behaupten Es wurde versucht, Benutzeridentitäten zu behaupten, aber der Aufrufer ist dazu nicht berechtigt. Nur StoreFront™-Server, die in der FAS-Regelkonfiguration (und gegebenenfalls Workspace) zugelassen wurden, dürfen Benutzeridentitäten behaupten.
[S104] Server [{0}] konnte UPN [{1}] nicht behaupten (UPN nicht durch Rolle [{2}] zugelassen) Es wurde versucht, eine Benutzeridentität zu behaupten, aber das Benutzerkonto ist gemäß der FAS-Regelkonfiguration nicht zugelassen.
[S205] Zugriff der vertrauenden Seite verweigert – das aufrufende Konto [{0}] ist keine zugelassene vertrauende Seite der Regel [{1}] Ein VDA versuchte, Single Sign-On mit FAS durchzuführen, aber der VDA ist gemäß der FAS-Regelkonfiguration nicht zugelassen.

FAS-Ereignisprotokolle

Die folgenden Tabellen listen die von FAS generierten Ereignisprotokolleinträge auf.

Verwaltungsereignisse [Federated Authentication Service]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden als Reaktion auf eine Konfigurationsänderung im FAS-Server protokolliert.

Protokollcodes
[S001] ZUGRIFF VERWEIGERT: Benutzer [{0}] ist kein Mitglied der Administratorengruppe
[S002] ZUGRIFF VERWEIGERT: Benutzer [{0}] ist kein Administrator der Rolle [{1}]
[S003] Administrator [{0}] setzt Wartungsmodus auf [{1}]
[S004] Administrator [{0}] fordert Autorisierungszertifikat von Zertifizierungsstelle [{1}] unter Verwendung der Vorlagen [{2} und {3}] an
[S005] Administrator [{0}] entzieht Zertifizierungsstelle [{1}] die Autorisierung
[S006] Administrator [{0}] erstellt neue Zertifikatdefinition [{1}]
[S007] Administrator [{0}] aktualisiert Zertifikatdefinition [{1}]
[S008] Administrator [{0}] löscht Zertifikatdefinition [{1}]
[S009] Administrator [{0}] erstellt neue Regel [{1}]
[S010] Administrator [{0}] aktualisiert Regel [{1}]
[S011] Administrator [{0}] löscht Regel [{1}]
[S012] Administrator [{0}] erstellt Zertifikat [upn: {1} sid: {2} Regel: {3} Zertifikatdefinition: {4} Sicherheitskontext: {5}]
[S013] Administrator [{0}] löscht Zertifikate [upn: {1} Rolle: {2} Zertifikatdefinition: {3} Sicherheitskontext: {4}]
[S015] Administrator [{0}] erstellt Zertifikatanforderung [TPM: {1}]
[S016] Administrator [{0}] importiert Autorisierungszertifikat [Referenz: {1}]
[S022] Administrator [{0}] setzt Wartungsmodus auf Aus
[S023] Administrator [{0}] setzt Wartungsmodus auf Ein
[S024] Administrator [{0}] richtet Systemzustandsüberwachung ein
[S025] Administrator [{0}] richtet Systemzustandsüberwachung ein
[S026] Administrator [{0}] richtet RA-Zertifikatüberwachung ein
[S027] Administrator [{0}] setzt RA-Zertifikatüberwachung zurück
[S050] Administrator [{0}] erstellt neue Cloud-Konfiguration: [{1}]
[S051] Administrator [{0}] aktualisiert Cloud-Konfiguration: [{1}]
[S052] Administrator [{0}] entfernt Cloud-Konfiguration
[S060] Administrator [{0}] fordert Cloud-Registrierung an. Instanz: {1}
[S060] Administrator [{0}] fordert Direct Trust Cloud-Registrierung an. Instanz: {1} CloudServiceUrlFormat: {2}
[S061] Administrator [{0}] schließt Cloud-Registrierung ab. Ressourcenstandort: {1}, Regelname: {2}
[S062] Administrator [{0}] hat Cloud-Registrierung abgeschlossen. Ressourcenstandort: {1} ({2}), Regelname: {3}, Kunde: {4} ({5})
[S063] Während der Cloud-Registrierung ist ein KRS-Fehler aufgetreten. Die Ausnahme war {0}
[S063] [S064] Während der Cloud-Registrierung ist ein unbekannter Fehler aufgetreten. Die Ausnahme war {0}
Protokollcodes
[S401] Konfigurations-Upgrade wird durchgeführt – [Von Version {0} auf Version {1}]
[S402] FEHLER: Der Citrix Federated Authentication Service muss als Netzwerkdienst ausgeführt werden [wird derzeit ausgeführt als: {0}]
[S404] Lösche die Citrix Federated Authentication Service-Datenbank erzwungen
[S405] Ein Fehler ist während der Migration von Daten aus der Registrierung in die Datenbank aufgetreten: [{0}]
[S406] Migration der Daten von der Registrierung in die Datenbank ist abgeschlossen (Hinweis: Benutzerzertifikate werden nicht migriert)
[S407] Registrierungsbasierte Daten wurden nicht in eine Datenbank migriert, da bereits eine Datenbank existierte
[S408] Konfiguration kann nicht herabgestuft werden – [Von Version {0} auf Version {1}]
[S409] ThreadPool-Konfiguration erfolgreich - MinThreads angepasst von [Worker: {0} Abschluss: {1}] auf: [Worker: {2} Abschluss: {3}]
[S410] ThreadPool-Konfiguration fehlgeschlagen - Fehler beim Anpassen von MinThreads von [Worker: {0} Abschluss: {1}] auf: [Worker: {2} Abschluss: {3}]; dies kann die Skalierbarkeit des FAS-Servers beeinträchtigen
[S411] Fehler beim Starten des FAS-Dienstes: [{0}]
[S412] Konfigurations-Upgrade abgeschlossen – [Von Version {0} auf Version {1}]
[S413] Autorisierungszertifikat läuft bald ab (noch {0} Tage). Zertifikatdetails: {1}
[S414] Autorisierungszertifikat ist abgelaufen. Zertifikatdetails: {0}
[S415] Autorisierungszertifikatsprüfung abgeschlossen. {0} Probleme wurden protokolliert. Nächste Prüfung fällig in {1}

Erstellen von Identitätsansprüchen [Federated Authentication Service]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn ein vertrauenswürdiger Server eine Benutzeranmeldung bestätigt.

Protokollcodes
[S101] Server [{0}] ist nicht autorisiert, Identitäten in der Rolle [{1}] zu bestätigen
[S102] Server [{0}] konnte UPN [{1}] nicht bestätigen (Ausnahme: {2}{3}).
[S103] Server [{0}] forderte UPN [{1}] SID {2} an, aber die Suche ergab SID {3}.
[S104] Server [{0}] konnte UPN [{1}] nicht bestätigen (UPN nicht durch Rolle [{2}] zugelassen).
[S105] Server [{0}] gab Identitätsbestätigung aus [upn: {1}, Rolle {2}, Sicherheitskontext: [{3}]].
[S120] Zertifikat wird ausgestellt an [upn: {0} Rolle: {1} Sicherheitskontext: [{2}]].
[S121] Zertifikat ausgestellt an [upn: {0} Rolle: {1}] durch [Zertifizierungsstelle: {2}].
[S122] Warnung: Server ist überlastet [upn: {0} Rolle: {1}][Anfragen pro Minute {2}].
[S123] Fehler beim Ausstellen eines Zertifikats für [upn: {0} Rolle: {1}] [Ausnahme: {2}].
[S124] Fehler beim Ausstellen eines Zertifikats für [upn: {0} Rolle: {1}] bei [Zertifizierungsstelle: {2}] [Ausnahme: {3}].

Als vertrauende Seite agieren [Federated Authentication Service]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn ein VDA einen Benutzer anmeldet.

Protokollcodes
[S201] Vertrauende Seite [{0}] hat keinen Zugriff auf ein Kennwort.
[S202] Vertrauende Seite [{0}] hat keinen Zugriff auf ein Zertifikat.
[S203] Vertrauende Seite [{0}] hat keinen Zugriff auf den Anmelde-CSP.
[S204] Vertrauende Seite [{0}] greift auf den Anmelde-CSP für [upn: {1}] in der Rolle: [{2}] [Vorgang: {3}] zu, wie autorisiert durch [{4}].
[S205] Zugriff der vertrauenden Seite verweigert – das aufrufende Konto [{0}] ist keine zulässige vertrauende Seite der Regel [{1}].
[S206] Aufrufendes Konto [{0}] ist keine vertrauende Seite.
[S208] Vorgang mit privatem Schlüssel fehlgeschlagen [Vorgang: {0}] upn: {1} Rolle: {2} Zertifikatdefinition {3}][Fehler {4} {5}].

In-Session-Zertifikatserver [Federated Authentication Service]

  • [Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

  • Diese Ereignisse werden auf dem FAS-Server protokolliert, wenn ein Benutzer ein In-Session-Zertifikat verwendet.

Protokollcodes
[S301] Zugriff verweigert: Benutzer [{0}] hat keinen Zugriff auf eine virtuelle Smartcard.
[S302] Benutzer [{0}] forderte unbekannte virtuelle Smartcard an [Fingerabdruck: {1}].
[S303] Zugriff verweigert: Benutzer [{0}] stimmt nicht mit virtueller Smartcard [upn: {1}] überein.
[S304] Benutzer [{0}] führt Programm [{1}] auf Computer [{2}] aus, verwendet virtuelle Smartcard [upn: {3} Rolle: {4} Fingerabdruck: {5}] für Vorgang mit privatem Schlüssel [{6}].
[S305] Vorgang mit privatem Schlüssel fehlgeschlagen [Vorgang: {0} upn: {1} Rolle: {2} Containername {3}] [Fehler {4} {5}].

FAS-Bestätigungs-Plug-In [Federated Authentication Service]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden vom FAS-Bestätigungs-Plug-In protokolliert.

Protokollcodes
[S500] Kein FAS-Bestätigungs-Plug-In konfiguriert.
[S501] Das konfigurierte FAS-Bestätigungs-Plug-In konnte nicht geladen werden [Ausnahme:{0}].
[S502] FAS-Bestätigungs-Plug-In geladen [Plug-In-ID={0}] [Assembly={1}] [Speicherort={2}].
[S503] Server [{0}] konnte UPN [{1}] nicht bestätigen (Anmeldeinformationen wurden bereitgestellt, aber das Plug-In [{2}] unterstützt dies nicht).
[S504] Server [{0}] konnte UPN [{1}] nicht bestätigen (Anmeldeinformationen wurden bereitgestellt, aber es ist kein FAS-Plug-In konfiguriert).
[S505] Server [{0}] konnte UPN [{1}] nicht bestätigen (das Plug-In [{2}] lehnte die Anmeldeinformationen mit Status [{3}] und Meldung [{4}] ab).
[S506] Das Plug-In [{0}] akzeptierte Anmeldeinformationen vom Server [{1}] für UPN [{2}] mit Meldung [{3}].
[S507] Server [{0}] konnte UPN [{1}] nicht bestätigen (das Plug-In [{2}] löste während Methode [{4}] Ausnahme [{3}] aus).
[S507] Server [{0}] konnte UPN [{1}] nicht bestätigen (das Plug-In [{2}] löste Ausnahme [{3}] aus).
[S508] Server [{0}] konnte UPN [{1}] nicht bestätigen (Zugriffsdisposition wurde bereitgestellt, aber das Plug-In [{2}] unterstützt dies nicht).
[S509] Server [{0}] konnte UPN [{1}] nicht bestätigen (Zugriffsdisposition wurde bereitgestellt, aber es ist kein FAS-Plug-In konfiguriert).
[S510] Server [{0}] konnte UPN [{1}] nicht bestätigen (die Zugriffsdisposition wurde vom Plug-In [{2}] als ungültig erachtet).

Workspace-fähiger FAS [Federated Authentication Service]

[Ereignisquelle: Citrix.Fas.Cloud]

Diese Ereignisse werden protokolliert, wenn FAS in Verbindung mit Workspace verwendet wird.

Protokollcodes
[S001] Citrix Cloud-Autorisierungsschlüssel rotiert [FAS-ID: {0}] [alte Schlüssel-ID:{1}] [neue Schlüssel-ID:{2}].
[S002] Das Cloud-Supportmodul wird gestartet. FasHub Cloud-Dienst-URL: {0}.
[S003] FAS bei der Cloud registriert [FAS-ID: {0}] [Transaktions-ID: {1}].
[S004] FAS konnte sich nicht bei der Cloud registrieren [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}].
[S005] FAS hat seine aktuelle Konfiguration an die Cloud gesendet [FAS-ID: {0}] [Transaktions-ID: {1}].
[S006] FAS konnte seine aktuelle Konfiguration nicht an die Cloud senden [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}].
[S007] FAS von der Cloud abgemeldet [FAS-ID: {0}] [Transaktions-ID: {1}].
[S009] FAS konnte sich nicht von der Cloud abmelden [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}].
[S010] Der FAS-Dienst ist mit der Cloud-Messaging-URL verbunden: {0}.
[S011] Der FAS-Dienst ist nicht mit der Cloud verbunden.
[S012] Der FAS-Dienst ist für Single Sign-On von Citrix Cloud verfügbar.
[S013] Der FAS-Dienst ist für Single Sign-On von Citrix Cloud nicht verfügbar. [{0}] Weitere Details finden Sie in der Administratorkonsole.
[S014] Ein Aufruf des Cloud-Dienstes <Dienstname> ist fehlgeschlagen [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}].
[S015] Eine Meldung von Citrix Cloud wurde blockiert, weil der Aufrufer nicht berechtigt ist [Meldungs-ID {0}] [Transaktions-ID {1}] [Aufrufer {2}].
[S016] Ein Aufruf des Cloud-Dienstes <Dienstname> war erfolgreich [FAS-ID: {0}] [Transaktions-ID: {1}].
[S019] FAS hat seine Konfiguration aus der Cloud heruntergeladen [FAS-ID: {0}] [Transaktions-ID: {1}].
[S020] FAS konnte seine Konfiguration nicht aus der Cloud herunterladen [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}].
[S021] Das Cloud-Supportmodul konnte nicht gestartet werden. Ausnahme: {0}.
[S022] Das Cloud-Supportmodul wird beendet.
[S023] Fehler beim Rotieren des Citrix Cloud-Autorisierungsschlüssels [FAS-ID: {0}] [aktuelle Schlüssel-ID:{1}] [neue Schlüssel-ID:{2}] [Schlüssel in der Cloud:{3}]
[S024] Rotation des Citrix Cloud-Autorisierungsschlüssels wird initiiert [FAS-ID: {0}] [aktuelle Schlüssel-ID:{1}] [neue Schlüssel-ID:{2}]
[S025] Der Autorisierungsschlüssel dieses Dienstes ist in Citrix Cloud vorhanden [aktueller Schlüssel: {0}] [Schlüssel in der Cloud: {1}]
[S026] Der Autorisierungsschlüssel dieses Dienstes ist nicht in Citrix Cloud vorhanden [aktueller Schlüssel: {0}] [Schlüssel in der Cloud: {1}]
[S027] Das Speicherformat des Citrix Cloud-Autorisierungsschlüssels wurde aktualisiert [FAS-ID: {0}]

Anmelden [VDA]

[Ereignisquelle: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden während der Anmeldephase auf dem VDA protokolliert.

Protokollcodes
[S101] Identity Assertion-Anmeldung fehlgeschlagen. Nicht erkannter Federated Authentication Service [ID: {0}]
[S102] Identity Assertion-Anmeldung fehlgeschlagen. SID für {0} konnte nicht nachgeschlagen werden [Ausnahme: {1}{2}]
[S103] Identity Assertion-Anmeldung fehlgeschlagen. Benutzer {0} hat SID {1}, erwartete SID {2}
[S104] Identity Assertion-Anmeldung fehlgeschlagen. Verbindung zum Federated Authentication Service fehlgeschlagen: {0} [Fehler: {1} {2}]
[S105] Identity Assertion-Anmeldung. Anmeldung läuft [Benutzername: {0} Domäne: {1}]
[S106] Identity Assertion-Anmeldung.

Federated Authentication Service: {0}

Anmeldung läuft [Zertifikat: {1}]  
  [S107] Identity Assertion-Anmeldung fehlgeschlagen. [Ausnahme: {0}{1}]
  [S108] Identity Assertion-Subsystem. ZUGRIFF_VERWEIGERT [Aufrufer: {0}]

In-Session-Zertifikate [VDA]

[Ereignisquelle: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden auf dem VDA protokolliert, wenn ein Benutzer versucht, ein In-Session-Zertifikat zu verwenden.

Protokollcodes
[S201] Zugriff auf virtuelle Smartcard autorisiert durch [{0}] für PID: {1} Programmname: {2}[Zertifikat-Fingerabdruck: {3}]
[S203] Subsystem für virtuelle Smartcards. Zugriff verweigert [Aufrufer: {0}, Sitzung {1}]
[S204] Subsystem für virtuelle Smartcards. Smartcard-Unterstützung deaktiviert

Zertifikatsanforderung und Schlüsselpaar-Generierung [Federated Authentication Service]

[Ereignisquelle: Citrix.Fas.PkiCore]

Diese Ereignisse werden protokolliert, wenn der FAS-Server kryptografische Operationen auf niedriger Ebene durchführt.

Protokollcodes
[S001] TrustArea::TrustArea: Zertifikat installiert [TrustArea: {0} Zertifikat {1}TrustAreaJoinParameters{2}]
[S014] Pkcs10Request::Create: PKCS10-Anforderung erstellt [Distinguished Name {0}]
[S016] PrivateKey::Create [Bezeichner {0}MachineWide: {1} Anbieter: {2} Anbietertyp: {3}] EllipticCurve: {4} Schlüssellänge: {5}isExportable: {6}]
[S017] PrivateKey::Delete [CspName: {0}, Bezeichner {1}]
Protokollcodes
[S104] MicrosoftCertificateAuthority::GetCredentials: Autorisiert zur Verwendung von {0}
[S105] MicrosoftCertificateAuthority::SubmitCertificateRequest Fehler beim Senden der Antwort [{0}]
[S106] MicrosoftCertificateAuthority::SubmitCertificateRequest Zertifikat ausgestellt [{0}]
[S112] MicrosoftCertificateAuthority::SubmitCertificateRequest - Wartet auf Genehmigung [CR_DISP_UNDER_SUBMISSION] [Referenz: {0}]

Fehlermeldungen für Endbenutzer

Dieser Abschnitt listet häufige Fehlermeldungen auf, die einem Benutzer auf der Windows-Anmeldeseite angezeigt werden.

Angezeigte Fehlermeldung Beschreibung und Referenz
Ungültiger Benutzername oder ungültiges Kennwort Der Computer geht davon aus, dass Sie über ein gültiges Zertifikat und einen privaten Schlüssel verfügen, aber der Kerberos-Domänencontroller hat die Verbindung abgelehnt. Siehe den Abschnitt Kerberos-Protokolle dieses Artikels.
Das System konnte Sie nicht anmelden. Ihre Anmeldeinformationen konnten nicht überprüft werden. / Die Anforderung wird nicht unterstützt Der Domänencontroller kann nicht kontaktiert werden, oder der Domänencontroller wurde nicht mit einem Zertifikat zur Unterstützung der Smartcard-Authentifizierung konfiguriert. Registrieren Sie den Domänencontroller für ein Zertifikat vom Typ “Kerberos-Authentifizierung”, “Domänencontroller-Authentifizierung” oder “Domänencontroller”. Dies ist in der Regel einen Versuch wert, auch wenn das vorhandene Zertifikat gültig zu sein scheint.
Das System konnte Sie nicht anmelden. Das für die Authentifizierung verwendete Smartcard-Zertifikat wurde nicht vertraut. Die Zwischen- und Stammzertifikate sind auf dem lokalen Computer nicht installiert. Siehe Zertifikate und Public Key-Infrastruktur.
Ungültige Anforderung Dies weist normalerweise darauf hin, dass die Erweiterungen des Zertifikats nicht korrekt eingestellt sind oder der RSA-Schlüssel zu kurz ist (<2048 Bit).

Verwandte Informationen

Problembehandlung für Windows-Anmeldeprobleme
April 28, 2026
Beitrag von: 
C C
April 28, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.