Beheben von Windows-Anmeldeproblemen

Dieser Artikel beschreibt die Protokolle und Fehlermeldungen, die Windows bereitstellt, wenn sich ein Benutzer mit Zertifikaten oder Smartcards oder beidem anmeldet. Diese Protokolle enthalten Informationen, die Sie zur Behebung von Authentifizierungsfehlern verwenden können.

• Zertifikate und Public Key Infrastructure

• Windows Active Directory verwaltet mehrere Zertifikatspeicher, die Zertifikate für sich anmeldende Benutzer verwalten.

• NTAuth-Zertifikatspeicher: Zur Authentifizierung bei Windows muss die Zertifizierungsstelle, die Benutzerzertifikate direkt ausstellt (d.h. keine Verkettung wird unterstützt), im NTAuth-Speicher abgelegt werden. Um diese Zertifikate anzuzeigen, geben Sie im Programm certutil Folgendes ein: certutil –viewstore –enterprise NTAuth
• Stamm- und Zwischenzertifikatspeicher: Normalerweise können Zertifikatsanmeldesysteme nur ein einziges Zertifikat bereitstellen. Wenn also eine Kette verwendet wird, muss der Zwischenzertifikatspeicher auf allen Maschinen diese Zertifikate enthalten. Das Stammzertifikat muss im Speicher für vertrauenswürdige Stammzertifikate (Trusted Root Store) sein, und das vorletzte Zertifikat muss im NTAuth-Speicher sein.
• Anmeldezertifikatserweiterungen und Gruppenrichtlinien: Windows kann so konfiguriert werden, dass die Überprüfung von EKUs und anderen Zertifikatsrichtlinien erzwungen wird. Siehe die Microsoft-Dokumentation: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff404287(v=ws.10).

• AllowSignatureOnlyKeys	Standardmäßig filtert Windows private Schlüssel von Zertifikaten heraus, die keine RSA-Entschlüsselung zulassen. Diese Option überschreibt diesen Filter.
  AllowTimeInvalidCertificates	Standardmäßig filtert Windows abgelaufene Zertifikate heraus. Diese Option überschreibt diesen Filter.
  EnumerateECCCerts	Aktiviert die Authentifizierung mit elliptischen Kurven.
  X509HintsNeeded	Wenn ein Zertifikat keinen eindeutigen Benutzerprinzipalnamen (UPN) enthält oder dieser mehrdeutig ist, können Benutzer mit dieser Option ihr Windows-Anmeldekonto manuell angeben.
  UseCachedCRLOnlyAnd, IgnoreRevocationUnknownErrors	Deaktiviert die Überprüfung des Widerrufs (auf dem Domänencontroller festgelegt).

  • Domänencontroller-Zertifikate: Zur Authentifizierung von Kerberos-Verbindungen müssen alle Server entsprechende „Domänencontroller“-Zertifikate besitzen. Diese können über das MMC-Snap-In-Menü „Zertifikate (Lokaler Computer) – Persönlich“ angefordert werden.

UPN-Name und Zertifikatszuordnung

Es wird empfohlen, dass Benutzerzertifikate einen eindeutigen Benutzerprinzipalnamen (UPN) in der Subject Alternate Name-Erweiterung enthalten.

UPN-Namen in Active Directory

Standardmäßig hat jeder Benutzer im Active Directory einen impliziten UPN basierend auf dem Muster <samUsername>@<domainNetBios> und <samUsername>@<domainFQDN>. Die verfügbaren Domänen und FQDNs sind im RootDSE-Eintrag für die Gesamtstruktur enthalten. Eine einzelne Domäne kann mehrere im RootDSE registrierte FQDN-Adressen haben.

Außerdem hat jeder Benutzer im Active Directory einen expliziten UPN und altUserPrincipalNames. Dies sind LDAP-Einträge, die den UPN für den Benutzer angeben.

Bei der Suche nach Benutzern anhand des UPN sucht Windows zuerst in der aktuellen Domäne (basierend auf der Identität des Prozesses, der den UPN nachschlägt) nach expliziten UPNs, dann nach alternativen UPNs. Wenn keine Übereinstimmungen gefunden werden, sucht es den impliziten UPN, der sich auf verschiedene Domänen in der Gesamtstruktur auflösen kann.

Zertifikatszuordnungsdienst

Wenn ein Zertifikat keinen expliziten UPN enthält, bietet Active Directory die Möglichkeit, ein exaktes öffentliches Zertifikat für jede Verwendung in einem „x509certificate“-Attribut zu speichern. Um ein solches Zertifikat einem Benutzer zuzuordnen, kann ein Computer dieses Attribut direkt abfragen (standardmäßig in einer einzelnen Domäne).

Es wird eine Option bereitgestellt, mit der der Benutzer ein Benutzerkonto angeben kann, was diese Suche beschleunigt und es ermöglicht, diese Funktion auch in einer domänenübergreifenden Umgebung zu verwenden.

Wenn es mehrere Domänen in der Gesamtstruktur gibt und der Benutzer keine Domäne explizit angibt, gibt das Active Directory rootDSE den Speicherort des Zertifikatszuordnungsdienstes an. Dieser befindet sich auf einem globalen Katalogserver und verfügt über eine zwischengespeicherte Ansicht aller x509certificate-Attribute in der Gesamtstruktur. Dieser Computer kann verwendet werden, um ein Benutzerkonto in jeder Domäne effizient zu finden, basierend nur auf dem Zertifikat.

Steuerung der Domänencontroller-Auswahl für die Anmeldung

Wenn eine Umgebung mehrere Domänencontroller enthält, ist es nützlich zu sehen und einzuschränken, welcher Domänencontroller für die Authentifizierung verwendet wird, damit Protokolle aktiviert und abgerufen werden können.

Domänencontroller-Auswahl steuern

Um Windows zu zwingen, einen bestimmten Windows-Domänencontroller für die Anmeldung zu verwenden, können Sie die Liste der Domänencontroller, die ein Windows-Computer verwendet, explizit festlegen, indem Sie die lmhosts-Datei konfigurieren: \Windows\System32\drivers\etc\lmhosts.

An diesem Speicherort befindet sich normalerweise eine Beispieldatei namens “lmhosts.sam”. Fügen Sie einfach eine Zeile hinzu:

1.2.3.4 dcnetbiosname #PRE #DOM:mydomai

Wobei “1.2.3.4” die IP-Adresse des Domänencontrollers namens dcnetbiosname in der Domäne mydomain ist.

Nach einem Neustart verwendet der Windows-Computer diese Informationen, um sich bei mydomain anzumelden. Diese Konfiguration muss rückgängig gemacht werden, wenn das Debugging abgeschlossen ist.

Verwendeten Domänencontroller identifizieren

Bei der Anmeldung setzt Windows eine MSDOS-Umgebungsvariable mit dem Domänencontroller, der den Benutzer angemeldet hat. Um dies zu sehen, starten Sie die Eingabeaufforderung mit dem Befehl: echo %LOGONSERVER%.

Protokolle bezüglich der Authentifizierung werden auf dem Computer gespeichert, der von diesem Befehl zurückgegeben wird.

Kontoüberwachungsereignisse aktivieren

Standardmäßig aktivieren Windows-Domänencontroller keine vollständigen Kontoüberwachungsprotokolle. Dies kann über Überwachungsrichtlinien in den Sicherheitseinstellungen im Gruppenrichtlinieneditor gesteuert werden. Um den Gruppenrichtlinieneditor zu öffnen, führen Sie gpedit.msc auf dem Domänencontroller aus. Nachdem die Überwachungsrichtlinien aktiviert wurden, erzeugt der Domänencontroller zusätzliche Ereignisprotokollinformationen im Sicherheitsprotokoll.

Zertifikatsvalidierungsprotokolle

Zertifikatsgültigkeit prüfen

-  Wenn ein Smartcard-Zertifikat als DER-Zertifikat exportiert wird (kein privater Schlüssel erforderlich), können Sie es mit dem Befehl validieren: certutil –verify user.cer

-  ### CAPI-Protokollierung aktivieren

Öffnen Sie auf dem Domänencontroller und dem Computer des Benutzers die Ereignisanzeige und aktivieren Sie die Protokollierung für Microsoft/Windows/CAPI2/Operational Logs.

• Auf dem Domänencontroller und der VDA-Maschine öffnen Sie die Ereignisanzeige und navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > CAPI2 > Operational. Klicken Sie mit der rechten Maustaste auf Operational und wählen Sie Protokoll aktivieren.

• Zusätzlich können Sie die CAPI-Protokollierung mit den Registrierungswerten unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32 feinabstimmen. Die folgenden Werte existieren standardmäßig nicht. Sie müssen sie erstellen. Löschen Sie die Werte, wenn Sie zu den Standardeinstellungen der CAPI2-Protokollierung zurückkehren möchten.

CAPI-Protokolle

Fehlermeldungen

On the domain controller and VDA machine, open the event viewer and navigate to **Applications and Services Logs** > **Microsoft** > **Windows** > **CAPI2** > **Operational**. Right-click **Operational** and select **Enable Log**.

Additionally, fine-tune the CAPI logging with the registry values at: *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32*. The following values don't exist by default. You have to create them. Delete the values if you want to revert to the default CAPI2 logging settings.

| Value                       | Description                                     |
| -------- | ---------------------------------------------------------------------------------------------------------------------- |
| DiagLevel \(DWORD)           | Verbosity level \(0 to 5)                        |
| DiagMatchAnyMask \(QUADWORD) | Event filter \(use 0xffffff for all)             |
| DiagProcessName \(MULTI\_SZ)  | Filter by process name \(for example, LSASS.exe) |

### CAPI logs

| Message             | Description                                                                                                                   |
| -------------------------------------------------------------------------------------------------------------------- | --------- |
| Build Chain         | LSA called CertGetCertificateChain \(includes result)                                                                          |
| Verify Revocation   | LSA called CertVerifyRevocation \(includes result)                                                                             |
| X509 Objects        | In verbose mode, certificates and Certificate Revocation Lists \(CRLs) are dumped to AppData\LocalLow\Microsoft\X509Objects    |
| Verify Chain Policy | LSA called CertVerifyChainPolicy \(includes parameters)                                                                        |

### Error messages

| Error code   | Description  |
|---|--|
| Certificate not trusted | The smart card certificate could not be built using certificates in the computer's intermediate and trusted root certificate stores.  |
| Certificate revocation check error | The CRL for the smart card could not be downloaded from the address specified by the certificate CRL distribution point. If revocation checking is mandated, this prevents the logon from succeeding. See the \[Certificates and public key infrastructure]\(/en-us/federated-authentication-service/2503/config-manage/troubleshoot-logon.html#certificates-and-public-key-infrastructure) section. |
| Certificate Usage errors  | The certificate is not suitable for logon. For example, it might be a server certificate or a signing certificate. |

## Kerberos logs

To enable Kerberos logging, on the domain controller and the end user machine, create the following registry values:

| Hive                                                  | Value name       | Value \[DWORD] |
| -- | -- | -- |
| CurrentControlSet\Control\Lsa\Kerberos\Parameters     | LogLevel         | 0x1             |
| CurrentControlSet\Control\Lsa\Kerberos\Parameters     | KerbDebuglevel   | 0xffffffff      |
| CurrentControlSet\Services\Kdc                        | KdcDebugLevel    | 0x1             |
| CurrentControlSet\Services\Kdc                        | KdcExtraLogLevel | 0x1f            |

Kerberos logging is output to the System event log.

-  Messages such as **untrusted certificate** must be easy to diagnose.
-  Two error codes are informational, and can be safely ignored:
    -  KDC_ERR_PREAUTH_REQUIRED (used for backward compatibility with older domain controllers)
    -  Unknown error 0x4b

## Domain controller and workstation logs

This section describes the expected log entries on the domain controller and workstation when the user logs on with a certificate.

-  Domain controller CAPI2 log
-  Domain controller security logs
-  Virtual Delivery Agent (VDA) security log
-  VDA CAPI log
-  VDA System Log

### Domain controller CAPI2 log

During a logon, the domain controller validates the caller's certificate, producing a sequence of log entries in the following form.

![Domain controller CAPI2 log](/en-us/federated-authentication-service/2503/media/fas-troubleshoot-logon-capi2-log.png)

The image alt text in the source is “Domain controller CAPI2 log”. I translated it to “CAPI2-Protokoll des Domänencontrollers”. This is correct. The phrase “X509 Objects” in the source table. I used “X509-Objekte”. This is correct.

I’m confident in the translation and formatting.Auf dem Domänencontroller und der VDA-Maschine öffnen Sie die Ereignisanzeige und navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > CAPI2 > Operational. Klicken Sie mit der rechten Maustaste auf Operational und wählen Sie Protokoll aktivieren.

Zusätzlich können Sie die CAPI-Protokollierung mit den Registrierungswerten unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32 feinabstimmen. Die folgenden Werte existieren standardmäßig nicht. Sie müssen sie erstellen. Löschen Sie die Werte, wenn Sie zu den Standardeinstellungen der CAPI2-Protokollierung zurückkehren möchten.

CAPI-Protokolle

Fehlermeldungen

CAPI-Protokolle

Fehlermeldungen

Die letzte Ereignisprotokollmeldung zeigt, dass lsass.exe auf dem Domänencontroller eine Kette basierend auf dem vom VDA bereitgestellten Zertifikat erstellt und diese auf Gültigkeit (einschließlich Sperrung) überprüft. Das Ergebnis wird als „ERROR_SUCCESS“ zurückgegeben.

Domänencontroller-Sicherheitsprotokoll

Der Domänencontroller zeigt eine Abfolge von Anmeldeereignissen, wobei das Schlüsselereignis 4768 ist, bei dem das Zertifikat zur Ausstellung des Kerberos Ticket Granting Ticket (krbtgt) verwendet wird.

Die Meldungen davor zeigen, dass sich das Computerkonto des Servers am Domänencontroller authentifiziert. Die Meldungen danach zeigen, dass das Benutzerkonto, das zum neuen krbtgt gehört, zur Authentifizierung am Domänencontroller verwendet wird.

VDA-Sicherheitsprotokoll

Die VDA-Sicherheitsüberwachungsprotokolle, die dem Anmeldeereignis entsprechen, sind der Eintrag mit der Ereignis-ID 4648, der von winlogon.exe stammt.

VDA-CAPI-Protokoll

Dieses Beispiel-VDA-CAPI-Protokoll zeigt eine einzelne Kettenaufbau- und Verifizierungssequenz von lsass.exe, die das Domänencontroller-Zertifikat (dc.citrixtest.net) validiert.

VDA-Systemprotokoll

Wenn die Kerberos-Protokollierung aktiviert ist, zeigt das Systemprotokoll den Fehler KDC_ERR_PREAUTH_REQUIRED (der ignoriert werden kann) und einen Eintrag von der Windows-Anmeldung, der anzeigt, dass die Kerberos-Anmeldung erfolgreich war.

Überwachung von FAS mithilfe des Windows-Ereignisprotokolls

Alle FAS-Ereignisse werden in das Windows-Anwendungsereignisprotokoll geschrieben. Sie können Produkte wie System Center Operations Manager (SCOM) verwenden, um den Zustand Ihres FAS-Dienstes mithilfe der hier beschriebenen Prozesse und Ereignisse zu überwachen.

Läuft der FAS-Dienst?

Um festzustellen, ob der FAS-Dienst läuft, überwachen Sie den Prozess Citrix.Authentication.FederatedAuthenticationService.exe.

In diesem Abschnitt werden nur die wichtigsten Ereignisse zur Überwachung des FAS-Dienstes beschrieben. Eine vollständige Liste der FAS-Ereigniscodes finden Sie unter FAS-Ereignisprotokolle.

FAS-Integritätsereignisse

Die folgenden Ereignisse zeigen an, ob Ihr FAS-Dienst fehlerfrei ist.

Die Ereignisquelle ist Citrix.Authentication.FederatedAuthenticationService.

Cloud-verbundene FAS-Ereignisse

Wenn Sie FAS mit Citrix Cloud™ verwenden, zeigen die folgenden Ereignisse an, ob Ihr FAS-Dienst fehlerfrei ist.

Die Ereignisquelle ist Citrix.Fas.Cloud.

Sicherheitsereignisse

Die folgenden Ereignisse zeigen an, dass eine nicht autorisierte Entität versucht hat, FAS zu verwenden.

Die Ereignisquelle ist Citrix.Authentication.FederatedAuthenticationService.

FAS-Ereignisprotokolle

Die folgenden Tabellen listen die vom FAS generierten Ereignisprotokolleinträge auf.

Verwaltungsereignisse [Federated Authentication Service]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden als Reaktion auf eine Konfigurationsänderung auf dem FAS-Server protokolliert.

• [S025] Administrator [{0}] richtet Systemzustandsüberwachung ein

• [S026] Administrator [{0}] richtet RA-Zertifikatüberwachung ein

• [S027] Administrator [{0}] setzt RA-Zertifikatüberwachung zurück

  [S028] Administrator [{0}] legt Schlüsselkonfiguration für Zertifikat [{1}] auf [{2}] fest

  [S029] Administrator [{0}] setzt Schlüsselkonfiguration für Zertifikat [{1}] auf Standardwerte [{2}] zurück

  [S030] Administrator [{0}] legt Diensteigenschaften auf [{1}] fest

  [S031] Administrator [{0}] entzieht CA die Autorisierung [RA-Zertifikat-ID: {1}]

  [S050] Administrator [{0}] erstellt Cloud-Konfiguration: [{1}]

  [S051] Administrator [{0}] aktualisiert Cloud-Konfiguration: [{1}]

  [S052] Administrator [{0}] entfernt Cloud-Konfiguration

  [S060] Administrator [{0}] fordert Cloud-Registrierung an. Instanz: {1}

• [S060] Administrator [{0}] fordert Direct Trust Cloud-Registrierung an. Instanz: {1} CloudServiceUrlFormat: {2}

• [S061] Administrator [{0}] schließt Cloud-Registrierung ab. Ressourcenstandort: {1}, Regelname: {2}

• [S062] Administrator [{0}] hat Cloud-Registrierung abgeschlossen. Ressourcenstandort: {1} ({2}), Regelname: {3}, Kunde: {4} ({5})

• [S063] Während der Cloud-Registrierung ist ein KRS-Fehler aufgetreten. Die Ausnahme war {0}

• [S064] Während der Cloud-Registrierung ist ein unbekannter Fehler aufgetreten. Die Ausnahme war {0}
  [S065] Administrator [{0}] fordert Direct Trust Cloud-Registrierung an. Instanz: {1} CloudServiceUrlFormat: {2}
  Protokollcodes
  [S401] Konfigurations-Upgrade wird durchgeführt – [Von Version {0} auf Version {1}]
  [S402] FEHLER: Der Citrix Federated Authentication Service muss als Netzwerkdienst ausgeführt werden [wird derzeit ausgeführt als: {0}]
  [S404] Die Datenbank des Citrix Federated Authentication Service wird zwangsweise gelöscht
  [S405] Beim Migrieren von Daten aus der Registrierung in die Datenbank ist ein Fehler aufgetreten: [{0}]
  [S406] Die Migration von Daten aus der Registrierung in die Datenbank ist abgeschlossen (Hinweis: Benutzerzertifikate werden nicht migriert)
  [S407] Registrierungsbasierte Daten wurden nicht in eine Datenbank migriert, da bereits eine Datenbank vorhanden war
  [S408] Die Konfiguration kann nicht herabgestuft werden – [Von Version {0} auf Version {1}]
  [S409] ThreadPool-Konfiguration erfolgreich – MinThreads angepasst von [Worker: {0} Abschluss: {1}] auf: [Worker: {2} Abschluss: {3}]
  [S410] ThreadPool-Konfiguration fehlgeschlagen – MinThreads konnte nicht von [Worker: {0} Abschluss: {1}] auf: [Worker: {2} Abschluss: {3}] angepasst werden; dies kann die Skalierbarkeit des FAS-Servers beeinträchtigen
  [S411] Fehler beim Starten des FAS-Dienstes: [{0}]
  [S412] Konfigurations-Upgrade abgeschlossen – [Von Version {0} auf Version {1}]
  [S413] Autorisierungszertifikat läuft bald ab (noch {0} Tage). Zertifikatdetails: {1}
  [S414] Autorisierungszertifikat ist abgelaufen. Zertifikatdetails: {0}
  [S415] Autorisierungszertifikatprüfungen abgeschlossen. {0} Probleme wurden protokolliert. Nächste Prüfung fällig in {1}

Erstellen von Identitätsansprüchen [Federated Authentication Service]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn ein vertrauenswürdiger Server eine Benutzeranmeldung bestätigt.

Agieren als vertrauende Partei [Federated Authentication Service]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn ein VDA einen Benutzer anmeldet.

Sitzungsinterner Zertifikatserver [Verbundauthentifizierungsdienst]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden auf dem FAS-Server protokolliert, wenn ein Benutzer ein sitzungsinternes Zertifikat verwendet.

FAS Assertion-Plug-In [Verbundauthentifizierungsdienst]

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden vom FAS-Assertions-Plug-in protokolliert.

Workspace-fähiger FAS [Federated Authentication Service]

[Event Source: Citrix.Fas.Cloud]

Diese Ereignisse werden protokolliert, wenn FAS mit Workspace verwendet wird.

Anmeldung [VDA]

[Event Source: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden auf dem VDA während der Anmeldephase protokolliert.

In-Session-Zertifikate [VDA]

[Event Source: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden auf dem VDA protokolliert, wenn ein Benutzer versucht, ein In-Session-Zertifikat zu verwenden.

Zertifikatsanforderung und Schlüsselpaar-Generierung [Federated Authentication Service]

[Event Source: Citrix.Fas.PkiCore]

Diese Ereignisse werden protokolliert, wenn der FAS-Server kryptografische Operationen auf niedriger Ebene durchführt.

Fehlermeldungen für Endbenutzer

Dieser Abschnitt listet häufige Fehlermeldungen auf, die einem Benutzer auf der Windows-Anmeldeseite angezeigt werden.

FAS Always-on Tracing

Mit Always-on Tracing protokolliert FAS seine Aktivitäten im Dateisystem. Dies kann bei der Fehlerbehebung helfen und möglicherweise die Notwendigkeit eliminieren, einen aufgetretenen Vorfall zu reproduzieren.

Always-on Tracing wird aktiviert, wenn Sie FAS mit einer der folgenden Methoden installieren oder aktualisieren:

• Der Citrix Virtual Apps and Desktops™-Installer: über die Schaltfläche Federated Authentication Service auf dem Autorun-Begrüßungsbildschirm, wenn die ISO eingelegt wird
• XenDesktopFasSetup.exe: Befindet sich auf der Citrix Virtual Apps and Desktops-ISO unter x64\XenDesktop Setup\XenDesktopFasSetup.exe
• FasSetup_2503.exe: die eigenständige FAS-Installer-Datei, verfügbar unter Citrix Downloads.

Hinweis:

Always-on Tracing ist nicht verfügbar, wenn Sie die Installation oder das Upgrade mit der FAS-Installer-MSI-Datei FederatedAuthenticationService_x64.msi durchführen.

Always-on Tracing erfassen

Verwenden Sie Citrix Scout, um Always-on Tracing und andere Diagnosedaten von Ihrem FAS-Server zu erfassen. Citrix Scout wird installiert, wenn Sie FAS mit einer der oben genannten Methoden installieren.

Always-on Tracing deaktivieren

Wenn Sie Always-on Tracing aus irgendeinem Grund deaktivieren möchten, beenden und deaktivieren Sie den Citrix Telemetry Service auf Ihrem FAS-Server.

Verwandte Informationen

• Konfigurieren einer Domäne für die Smartcard-Anmeldung
• Smartcard-Anmelderichtlinien
• Aktivieren der CAPI-Protokollierung
• Aktivieren der Kerberos-Protokollierung
• Richtlinien zum Aktivieren der Smartcard-Anmeldung mit Zertifizierungsstellen von Drittanbietern ```