Problembehandlung bei Windows-Anmeldeproblemen
Dieser Artikel beschreibt die Protokolle und Fehlermeldungen, die Windows bereitstellt, wenn sich ein Benutzer mit Zertifikaten oder Smartcards oder beidem anmeldet. Diese Protokolle enthalten Informationen, die Sie zur Behebung von Authentifizierungsfehlern verwenden können.
-
Zertifikate und Public Key Infrastructure
-
Windows Active Directory verwaltet mehrere Zertifikatspeicher, die Zertifikate für sich anmeldende Benutzer verwalten.
-
NTAuth-Zertifikatspeicher: Zur Authentifizierung bei Windows muss die Zertifizierungsstelle, die Benutzerzertifikate direkt ausstellt (d. h. keine Verkettung wird unterstützt), im NTAuth-Speicher abgelegt werden. Um diese Zertifikate anzuzeigen, geben Sie im Programm certutil Folgendes ein:
certutil –viewstore –enterprise NTAuth - Stamm- und Zwischenzertifikatspeicher: Normalerweise können Zertifikatsanmeldesysteme nur ein einziges Zertifikat bereitstellen. Wenn also eine Kette verwendet wird, muss der Zwischenzertifikatspeicher auf allen Maschinen diese Zertifikate enthalten. Das Stammzertifikat muss sich im Speicher für vertrauenswürdige Stammzertifikate befinden, und das vorletzte Zertifikat muss sich im NTAuth-Speicher befinden.
- Anmeldezertifikatserweiterungen und Gruppenrichtlinien: Windows kann so konfiguriert werden, dass die Überprüfung von EKUs und anderen Zertifikatsrichtlinien erzwungen wird. Siehe die Microsoft-Dokumentation: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff404287(v=ws.10).
| Registrierungsrichtlinie | Beschreibung |
|---|---|
| AllowCertificatesWithNoEKU | Wenn deaktiviert, müssen Zertifikate die erweiterte Schlüsselverwendung (EKU) für die Smartcard-Anmeldung enthalten. |
-
AllowSignatureOnlyKeys Standardmäßig filtert Windows private Schlüssel von Zertifikaten heraus, die keine RSA-Entschlüsselung zulassen. Diese Option überschreibt diesen Filter. AllowTimeInvalidCertificates Standardmäßig filtert Windows abgelaufene Zertifikate heraus. Diese Option überschreibt diesen Filter. EnumerateECCCerts Aktiviert die Authentifizierung mit elliptischen Kurven. X509HintsNeeded Wenn ein Zertifikat keinen eindeutigen Benutzerprinzipalnamen (UPN) enthält oder dieser mehrdeutig ist, können Benutzer mit dieser Option ihr Windows-Anmeldekonto manuell angeben. UseCachedCRLOnlyAnd, IgnoreRevocationUnknownErrors Deaktiviert die Sperrprüfung (auf dem Domänencontroller festgelegt). - Domänencontroller-Zertifikate: Zur Authentifizierung von Kerberos-Verbindungen müssen alle Server über entsprechende „Domänencontroller“-Zertifikate verfügen. Diese können über das MMC-Snap-In-Menü „Persönlicher Zertifikatspeicher des lokalen Computers“ angefordert werden.
UPN-Name und Zertifikatszuordnung
Es wird empfohlen, dass Benutzerzertifikate einen eindeutigen Benutzerprinzipalnamen (UPN) in der Erweiterung „Alternativer Antragstellername“ enthalten.
UPN-Namen in Active Directory
Standardmäßig hat jeder Benutzer im Active Directory einen impliziten UPN, der auf dem Muster <samUsername>@<domainNetBios> und <samUsername>@<domainFQDN> basiert. Die verfügbaren Domänen und FQDNs sind im RootDSE-Eintrag für die Gesamtstruktur enthalten. Eine einzelne Domäne kann mehrere im RootDSE registrierte FQDN-Adressen haben.
Außerdem hat jeder Benutzer im Active Directory einen expliziten UPN und altUserPrincipalNames. Dies sind LDAP-Einträge, die den UPN für den Benutzer angeben.
Bei der Suche nach Benutzern anhand des UPN sucht Windows zuerst in der aktuellen Domäne (basierend auf der Identität des Prozesses, der den UPN abfragt) nach expliziten UPNs, dann nach alternativen UPNs. Wenn es keine Übereinstimmungen gibt, sucht es den impliziten UPN, der sich auf verschiedene Domänen in der Gesamtstruktur auflösen kann.
Zertifikatszuordnungsdienst
Wenn ein Zertifikat keinen expliziten UPN enthält, bietet Active Directory die Möglichkeit, für jede Verwendung ein exaktes öffentliches Zertifikat in einem „x509certificate“-Attribut zu speichern. Um ein solches Zertifikat einem Benutzer zuzuordnen, kann ein Computer dieses Attribut direkt abfragen (standardmäßig in einer einzelnen Domäne).
Es wird eine Option bereitgestellt, mit der der Benutzer ein Benutzerkonto angeben kann, was diese Suche beschleunigt und es ermöglicht, diese Funktion auch in einer domänenübergreifenden Umgebung zu verwenden.
Wenn es mehrere Domänen in der Gesamtstruktur gibt und der Benutzer keine Domäne explizit angibt, legt das Active Directory rootDSE den Speicherort des Zertifikatszuordnungsdienstes fest. Dieser befindet sich auf einem globalen Katalogserver und verfügt über eine zwischengespeicherte Ansicht aller x509certificate-Attribute in der Gesamtstruktur. Dieser Computer kann verwendet werden, um ein Benutzerkonto in jeder Domäne effizient zu finden, basierend nur auf dem Zertifikat.
Auswahl des Domänencontrollers für die Anmeldung steuern
Wenn eine Umgebung mehrere Domänencontroller enthält, ist es nützlich zu sehen und einzuschränken, welcher Domänencontroller für die Authentifizierung verwendet wird, damit Protokolle aktiviert und abgerufen werden können.
Domänencontroller-Auswahl steuern
Um Windows zu zwingen, einen bestimmten Windows-Domänencontroller für die Anmeldung zu verwenden, können Sie die Liste der Domänencontroller, die ein Windows-Computer verwendet, explizit festlegen, indem Sie die lmhosts-Datei konfigurieren: \Windows\System32\drivers\etc\lmhosts.
An diesem Speicherort befindet sich normalerweise eine Beispieldatei namens “lmhosts.sam”. Fügen Sie einfach eine Zeile hinzu:
1.2.3.4 dcnetbiosname #PRE #DOM:mydomai
Wobei “1.2.3.4” die IP-Adresse des Domänencontrollers namens dcnetbiosname in der Domäne mydomain ist.
Nach einem Neustart verwendet der Windows-Computer diese Informationen, um sich bei mydomain anzumelden. Diese Konfiguration muss rückgängig gemacht werden, wenn das Debugging abgeschlossen ist.
Verwendeten Domänencontroller identifizieren
Bei der Anmeldung setzt Windows eine MSDOS-Umgebungsvariable mit dem Domänencontroller, der den Benutzer angemeldet hat. Um dies zu sehen, starten Sie die Eingabeaufforderung mit dem Befehl: echo %LOGONSERVER%.
Protokolle, die sich auf die Authentifizierung beziehen, werden auf dem Computer gespeichert, der von diesem Befehl zurückgegeben wird.
Überwachungsereignisse für Konten aktivieren
Standardmäßig aktivieren Windows-Domänencontroller keine vollständigen Überwachungsprotokolle für Konten. Dies kann über Überwachungsrichtlinien in den Sicherheitseinstellungen des Gruppenrichtlinieneditors gesteuert werden. Um den Gruppenrichtlinieneditor zu öffnen, führen Sie gpedit.msc auf dem Domänencontroller aus. Nachdem die Überwachungsrichtlinien aktiviert wurden, erzeugt der Domänencontroller zusätzliche Ereignisprotokollinformationen im Sicherheitsprotokoll.
Zertifikatsvalidierungsprotokolle
Zertifikatsgültigkeit prüfen
- Wenn ein Smartcard-Zertifikat als DER-Zertifikat exportiert wird (kein privater Schlüssel erforderlich), können Sie es mit dem Befehl validieren: certutil –verify user.cer
- ### CAPI-Protokollierung aktivieren
Öffnen Sie auf dem Domänencontroller und dem Computer des Benutzers die Ereignisanzeige und aktivieren Sie die Protokollierung für Microsoft/Windows/CAPI2/Operational Logs.
-
Auf dem Domänencontroller und der VDA-Maschine öffnen Sie die Ereignisanzeige und navigieren zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > CAPI2 > Betriebsbereit. Klicken Sie mit der rechten Maustaste auf Betriebsbereit und wählen Sie Protokoll aktivieren.
-
Zusätzlich können Sie die CAPI-Protokollierung mit den Registrierungswerten unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32 feinabstimmen. Die folgenden Werte existieren standardmäßig nicht. Sie müssen sie erstellen. Löschen Sie die Werte, wenn Sie zu den Standardeinstellungen für die CAPI2-Protokollierung zurückkehren möchten.
| Wert | Beschreibung |
|---|---|
| DiagLevel (DWORD) | Ausführlichkeitsgrad (0 bis 5) |
| DiagMatchAnyMask (QUADWORD) | Ereignisfilter (verwenden Sie 0xffffff für alle) |
| DiagProcessName (MULTI_SZ) | Nach Prozessname filtern (zum Beispiel, LSASS.exe) |
CAPI-Protokolle
| Meldung | Beschreibung |
|---|---|
| Kette erstellen | LSA hat CertGetCertificateChain aufgerufen (enthält Ergebnis) |
| Sperrung überprüfen | LSA hat CertVerifyRevocation aufgerufen (enthält Ergebnis) |
| X509-Objekte | Im ausführlichen Modus werden Zertifikate und Zertifikatsperrlisten (CRLs) nach AppData\LocalLow\Microsoft\X509Objects ausgegeben |
| Kettenrichtlinie überprüfen | LSA hat CertVerifyChainPolicy aufgerufen (enthält Parameter) |
Fehlermeldungen
| Fehlercode | Beschreibung ``` |
On the domain controller and VDA machine, open the event viewer and navigate to **Applications and Services Logs** > **Microsoft** > **Windows** > **CAPI2** > **Operational**. Right-click **Operational** and select **Enable Log**.
Additionally, fine-tune the CAPI logging with the registry values at: *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32*. The following values don't exist by default. You have to create them. Delete the values if you want to revert to the default CAPI2 logging settings.
| Wert | Beschreibung |
| -------- | ---------------------------------------------------------------------------------------------------------------------- |
| DiagLevel \(DWORD) | Ausführlichkeitsgrad \(0 bis 5) |
| DiagMatchAnyMask \(QUADWORD) | Ereignisfilter \(verwenden Sie 0xffffff für alle) |
| DiagProcessName \(MULTI\_SZ) | Nach Prozessname filtern \(zum Beispiel, LSASS.exe) |
### CAPI-Protokolle
| Meldung | Beschreibung |
| -------------------------------------------------------------------------------------------------------------------- | --------- |
| Kette erstellen | LSA hat CertGetCertificateChain aufgerufen \(enthält Ergebnis) |
| Sperrung überprüfen | LSA hat CertVerifyRevocation aufgerufen \(enthält Ergebnis) |
| X509-Objekte | Im ausführlichen Modus werden Zertifikate und Zertifikatsperrlisten \(CRLs) nach AppData\LocalLow\Microsoft\X509Objects ausgegeben |
| Kettenrichtlinie überprüfen | LSA hat CertVerifyChainPolicy aufgerufen \(enthält Parameter) |
### Fehlermeldungen
| Fehlercode | Beschreibung ```
<!--NeedCopy-->
Auf
Auf dem Domänencontroller und der VDA-Maschine öffnen Sie die Ereignisanzeige und navigieren zu **Anwendungs- und Dienstprotokolle** > **Microsoft** > **Windows** > **CAPI2** > **Betriebsbereit**. Klicken Sie mit der rechten Maustaste auf **Betriebsbereit** und wählen Sie **Protokoll aktivieren**.
Zusätzlich können Sie die CAPI-Protokollierung mit den Registrierungswerten unter: *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32* feinabstimmen. Die folgenden Werte existieren standardmäßig nicht. Sie müssen sie erstellen. Löschen Sie die Werte, wenn Sie zu den Standardeinstellungen für die CAPI2-Protokollierung zurückkehren möchten.
| Wert | Beschreibung |
| -- | -- |
| DiagLevel (DWORD) | Ausführlichkeitsgrad (0 bis 5) |
| DiagMatchAnyMask (QUADWORD) | Ereignisfilter (verwenden Sie 0xffffff für alle) |
| DiagProcessName (MULTI_SZ) | Nach Prozessname filtern (zum Beispiel, LSASS.exe) |
### CAPI-Protokolle
| Meldung | Beschreibung |
| -- | -- |
| Kette erstellen | LSA hat CertGetCertificateChain aufgerufen (enthält Ergebnis) |
| Sperrung überprüfen | LSA hat CertVerifyRevocation aufgerufen (enthält Ergebnis) |
| X509-Objekte | Im ausführlichen Modus werden Zertifikate und Zertifikatsperrlisten (CRLs) nach AppData\LocalLow\Microsoft\X509Objects ausgegeben |
| Kettenrichtlinie überprüfen | LSA hat CertVerifyChainPolicy aufgerufen (enthält Parameter) |
### Fehlermeldungen
| Fehlercode | Beschreibung <!--NeedCopy-->
Auf dem Domänencontroller und der VDA-Maschine öffnen Sie die Ereignisanzeige und navigieren zu **Anwendungs- und Dienstprotokolle** > **Microsoft** > **Windows** > **CAPI2** > **Betriebsbereit**. Klicken Sie mit der rechten Maustaste auf **Betriebsbereit** und wählen Sie **Protokoll aktivieren**.
Zusätzlich können Sie die CAPI-Protokollierung mit den Registrierungswerten unter: *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32* feinabstimmen. Die folgenden Werte existieren standardmäßig nicht. Sie müssen sie erstellen. Löschen Sie die Werte, wenn Sie zu den Standardeinstellungen für die CAPI2-Protokollierung zurückkehren möchten.
| Wert | Beschreibung |
| -- | -- |
| DiagLevel (DWORD) | Ausführlichkeitsgrad (0 bis 5) |
| DiagMatchAnyMask (QUADWORD) | Ereignisfilter (verwenden Sie 0xffffff für alle) |
| DiagProcessName (MULTI_SZ) | Nach Prozessname filtern (zum Beispiel, LSASS.exe) |
### CAPI-Protokolle
| Meldung | Beschreibung |
| -- | -- |
| Kette erstellen | LSA hat CertGetCertificateChain aufgerufen (enthält Ergebnis) |
| Sperrung überprüfen | LSA hat CertVerifyRevocation aufgerufen (enthält Ergebnis) |
| X509-Objekte | Im ausführlichen Modus werden Zertifikate und Zertifikatsperrlisten (CRLs) nach AppData\LocalLow\Microsoft\X509Objects ausgegeben |
| Kettenrichtlinie überprüfen | LSA hat CertVerifyChainPolicy aufgerufen (enthält Parameter) |
### Fehlermeldungen
| Fehlercode | Beschreibung <!--NeedCopy-->
Auf
<!--NeedCopy-->
Auf dem Domänencontroller und der VDA-Maschine öffnen Sie die Ereignisanzeige und navigieren zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > CAPI2 > Betriebsbereit. Klicken Sie mit der rechten Maustaste auf Betriebsbereit und wählen Sie Protokoll aktivieren.
Zusätzlich können Sie die CAPI-Protokollierung mit den Registrierungswerten unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32 feinabstimmen. Die folgenden Werte existieren standardmäßig nicht. Sie müssen sie erstellen. Löschen Sie die Werte, wenn Sie zu den Standardeinstellungen für die CAPI2-Protokollierung zurückkehren möchten.
| Wert | Beschreibung |
|---|---|
| DiagLevel (DWORD) | Ausführlichkeitsgrad (0 bis 5) |
| DiagMatchAnyMask (QUADWORD) | Ereignisfilter (verwenden Sie 0xffffff für alle) |
| DiagProcessName (MULTI_SZ) | Nach Prozessname filtern (zum Beispiel, LSASS.exe) |
CAPI-Protokolle
| Meldung | Beschreibung |
|---|---|
| Kette erstellen | LSA hat CertGetCertificateChain aufgerufen (enthält Ergebnis) |
| Sperrung überprüfen | LSA hat CertVerifyRevocation aufgerufen (enthält Ergebnis) |
| X509-Objekte | Im ausführlichen Modus werden Zertifikate und Zertifikatsperrlisten (CRLs) nach AppData\LocalLow\Microsoft\X509Objects ausgegeben |
| Kettenrichtlinie überprüfen | LSA hat CertVerifyChainPolicy aufgerufen (enthält Parameter) |
Fehlermeldungen
| Fehlercode | Beschreibung ``` |
On the domain controller and VDA machine, open the event viewer and navigate to **Applications and Services Logs** > **Microsoft** > **Windows** > **CAPI2** > **Operational**. Right-click **Operational** and select **Enable Log**.
Additionally, fine-tune the CAPI logging with the registry values at: *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32*. The following values don't exist by default. You have to create them. Delete the values if you want to revert to the default CAPI2 logging settings.
| Wert | Beschreibung |
| -- | -- |
| DiagLevel \(DWORD) | Ausführlichkeitsgrad \(0 bis 5) |
| DiagMatchAnyMask \(QUADWORD) | Ereignisfilter \(verwenden Sie 0xffffff für alle) |
| DiagProcessName \(MULTI\_SZ) | Nach Prozessname filtern \(zum Beispiel, LSASS.exe) |
### CAPI-Protokolle
| Meldung | Beschreibung |
| -- | -- |
| Kette erstellen | LSA hat CertGetCertificateChain aufgerufen \(enthält Ergebnis) |
| Sperrung überprüfen | LSA hat CertVerifyRevocation aufgerufen \(enthält Ergebnis) |
| X509-Objekte | Im ausführlichen Modus werden Zertifikate und Zertifikatsperrlisten \(CRLs) nach AppData\LocalLow\Microsoft\X509Objects ausgegeben |
| Kettenrichtlinie überprüfen | LSA hat CertVerifyChainPolicy aufgerufen \(enthält Parameter) |
### Fehlermeldungen
| Fehlercode | Beschreibung
Die abschließende Ereignisprotokollmeldung zeigt lsass.exe auf dem Domänencontroller, wie es eine Kette basierend auf dem vom VDA bereitgestellten Zertifikat erstellt und diese auf Gültigkeit (einschließlich Sperrung) überprüft. Das Ergebnis wird als „ERROR_SUCCESS“ zurückgegeben.
Sicherheitsprotokoll des Domänencontrollers
Der Domänencontroller zeigt eine Abfolge von Anmeldeereignissen, wobei das Schlüsselereignis 4768 ist, bei dem das Zertifikat zur Ausstellung des Kerberos Ticket Granting Ticket (krbtgt) verwendet wird.
Die Meldungen davor zeigen, wie sich das Computerkonto des Servers am Domänencontroller authentifiziert. Die Meldungen danach zeigen, wie das Benutzerkonto, das zum neuen krbtgt gehört, zur Authentifizierung am Domänencontroller verwendet wird.
VDA-Sicherheitsprotokoll
Die VDA-Sicherheitsüberwachungsprotokolle, die dem Anmeldeereignis entsprechen, sind der Eintrag mit der Ereignis-ID 4648, der von winlogon.exe stammt.
VDA-CAPI-Protokoll
Dieses Beispiel des VDA-CAPI-Protokolls zeigt eine einzelne Kettenaufbau- und Überprüfungssequenz von lsass.exe, die das Domänencontroller-Zertifikat (dc.citrixtest.net) validiert.
VDA-Systemprotokoll
Wenn die Kerberos-Protokollierung aktiviert ist, zeigt das Systemprotokoll den Fehler KDC_ERR_PREAUTH_REQUIRED (der ignoriert werden kann) und einen Eintrag von der Windows-Anmeldung, der anzeigt, dass die Kerberos-Anmeldung erfolgreich war.
Überwachung von FAS mithilfe des Windows-Ereignisprotokolls
Alle FAS-Ereignisse werden in das Windows-Anwendungsereignisprotokoll geschrieben. Sie können Produkte wie System Center Operations Manager (SCOM) verwenden, um den Zustand Ihres FAS-Dienstes zu überwachen, indem Sie die hier beschriebenen Prozesse und Ereignisse nutzen.
Läuft der FAS-Dienst?
Um festzustellen, ob der FAS-Dienst ausgeführt wird, überwachen Sie den Prozess Citrix.Authentication.FederatedAuthenticationService.exe.
In diesem Abschnitt werden nur die wichtigsten Ereignisse zur Überwachung des FAS-Dienstes beschrieben. Eine vollständige Liste der FAS-Ereigniscodes finden Sie unter FAS-Ereignisprotokolle.
FAS-Integritätsereignisse
Die folgenden Ereignisse zeigen an, ob Ihr FAS-Dienst fehlerfrei ist.
Die Ereignisquelle ist Citrix.Authentication.FederatedAuthenticationService.
| Event | Event text | Explanation | Notes |
|---|---|---|---|
| [S003] | Administrator [{0}] setzt Wartungsmodus auf [{1}] | Der FAS-Dienst wurde in den Wartungsmodus versetzt oder aus diesem entfernt. | Im Wartungsmodus ist der FAS-Server nicht für Single Sign-On verwendbar. |
| [S022] | Administrator [{0}] setzt Wartungsmodus auf Aus | Der FAS-Dienst wurde aus dem Wartungsmodus entfernt. | Verfügbar ab FAS 10.7 / Citrix Virtual Apps and Desktops 2109. |
| [S023] | Administrator [{0}] setzt Wartungsmodus auf Ein | Der FAS-Dienst wurde in den Wartungsmodus versetzt. | Verfügbar ab FAS 10.7 / Citrix Virtual Apps and Desktops 2109. |
| [S123] | Fehler beim Ausstellen eines Zertifikats bei einer beliebigen CA für [upn: {0} role: {1}] [Ausnahme: {2}] | Dieses Ereignis tritt nach [S124] auf, wenn keine der mit FAS konfigurierten CAs erfolgreich ein Benutzerzertifikat ausgestellt hat. Single Sign-On schlägt für diesen Benutzer fehl. | Dieses Ereignis zeigt an, dass alle konfigurierten CAs nicht funktionieren. Wenn FAS für die Verwendung eines HSM konfiguriert ist, kann es auch darauf hinweisen, dass das HSM nicht funktioniert. |
| [S124] | Fehler beim Ausstellen eines Zertifikats für [upn: {0} role: {1}] bei [Zertifizierungsstelle: {2}] [Ausnahme: {3}] | Ein Fehler ist aufgetreten, als FAS versuchte, ein Benutzerzertifikat von der angegebenen CA anzufordern. Wenn FAS mit mehr als einer CA konfiguriert ist, versucht FAS die Anforderung bei einer anderen CA. | Dieses Ereignis kann darauf hinweisen, dass die CA nicht funktioniert oder nicht erreichbar ist. Wenn FAS für die Verwendung eines HSM konfiguriert ist, kann es auch darauf hinweisen, dass das HSM nicht funktioniert. Die Ausnahme kann verwendet werden, um die Ursache des Problems zu identifizieren. |
| [S413] | Autorisierungszertifikat läuft bald ab ({0} Tage verbleibend). Zertifikatdetails: {1} | Dieses Ereignis wird regelmäßig generiert, wenn das FAS-Autorisierungszertifikat kurz vor dem Ablauf steht. Standardmäßig wird das Ereignis täglich generiert, wenn das Autorisierungszertifikat innerhalb von 30 Tagen abläuft. | Die Standardeinstellungen können mit dem Cmdlet Set-FasRaCertificateMonitor angepasst werden; siehe PowerShell-Cmdlets. |
| [S414] | Autorisierungszertifikat ist abgelaufen. Zertifikatdetails: {0} | Dieses Ereignis wird regelmäßig generiert, wenn das FAS-Autorisierungszertifikat abgelaufen ist. Standardmäßig wird das Ereignis täglich generiert. | Nach dem Ablauf kann FAS keine neuen Benutzerzertifikate generieren, und Single Sign-On beginnt fehlzuschlagen. |
Cloud-verbundene FAS-Ereignisse
Wenn Sie FAS mit Citrix Cloud™ verwenden, zeigen die folgenden Ereignisse an, ob Ihr FAS-Dienst fehlerfrei ist.
Die Ereignisquelle ist Citrix.Fas.Cloud.
| Event | Event text | Explanation | Notes |
|---|---|---|---|
| [S012] | Der FAS-Dienst ist für Single Sign-On von Citrix Cloud verfügbar | Dieses Ereignis zeigt an, dass das Single Sign-On von Workspace (d. h. Citrix Cloud) funktionieren sollte. | Bevor dieses Ereignis ausgelöst wird, prüft FAS (1), ob es konfiguriert ist, (2) nicht im Wartungsmodus ist und (3) mit Citrix Cloud verbunden ist. |
| [S013] | Der FAS-Dienst ist für Single Sign-On von Citrix Cloud nicht verfügbar. [{0}] Weitere Details finden Sie in der Administratorkonsole. | Dieses Ereignis zeigt an, dass FAS kein Single Sign-On von Workspace (d. h. Citrix Cloud) bereitstellen kann. Die Meldung enthält den Grund, warum das Single Sign-On nicht funktioniert. | FAS unterhält eine persistente Verbindung zu Citrix Cloud. Von Zeit zu Zeit kann diese Verbindung aus verschiedenen Gründen (z. B. eine Netzwerkstörung oder eine Richtlinie zur Verbindungslebensdauer auf einem Proxyserver) beendet werden. Wenn dies geschieht, enthält der Ereignistext “Dienst ist nicht mit der Cloud verbunden”. Dies ist ein normales Verhalten, und FAS versucht sofort, eine Verbindung zu Citrix Cloud wiederherzustellen. |
Sicherheitsereignisse
Die folgenden Ereignisse zeigen an, dass eine nicht autorisierte Entität versucht hat, FAS zu verwenden.
Die Ereignisquelle ist Citrix.Authentication.FederatedAuthenticationService.
| Event | Event text | Explanation |
|---|---|---|
| [S001] | ZUGRIFF VERWEIGERT: Benutzer [{0}] ist kein Mitglied der Administratorengruppe | Es wurde versucht, die Konfiguration von FAS anzuzeigen oder zu ändern, aber der Aufrufer war kein FAS-Administrator. |
| [S002] | ZUGRIFF VERWEIGERT: Benutzer [{0}] ist kein Administrator der Rolle [{1}] | Es wurde versucht, die Konfiguration einer FAS-Regel anzuzeigen oder zu ändern, aber der Aufrufer war kein FAS-Administrator. |
| [S101] | Server [{0}] ist nicht berechtigt, Identitäten in Rolle [{1}] zu behaupten | Es wurde versucht, Benutzeridentitäten zu behaupten, aber der Aufrufer ist dazu nicht berechtigt. Nur StoreFront™-Server, die in der FAS-Regelkonfiguration zugelassen wurden (und ggf. Workspace), dürfen Benutzeridentitäten behaupten. |
| [S104] | Server [{0}] konnte UPN [{1}] nicht behaupten (UPN nicht durch Regel [{2}] zugelassen) | Es wurde versucht, eine Benutzeridentität zu behaupten, aber das Benutzerkonto ist gemäß der FAS-Regelkonfiguration nicht zugelassen. |
| [S205] | Zugriff der vertrauenden Seite verweigert – das aufrufende Konto [{0}] ist keine zulässige vertrauende Seite der Regel [{1}] | Ein VDA versuchte, Single Sign-On mit FAS durchzuführen, aber der VDA ist gemäß der FAS-Regelkonfiguration nicht zugelassen. |
FAS-Ereignisprotokolle
Die folgenden Tabellen listen die vom FAS generierten Ereignisprotokolleinträge auf.
Verwaltungsereignisse [Federated Authentication Service]
[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]
Diese Ereignisse werden als Reaktion auf eine Konfigurationsänderung auf dem FAS-Server protokolliert.
| Protokollcodes |
|---|
| [S001] ZUGRIFF VERWEIGERT: Benutzer [{0}] ist kein Mitglied der Administratorengruppe |
| [S002] ZUGRIFF VERWEIGERT: Benutzer [{0}] ist kein Administrator der Rolle [{1}] |
| [S003] Administrator [{0}] setzt den Wartungsmodus auf [{1}] |
| [S004] Administrator [{0}] fordert ein Autorisierungszertifikat von der Zertifizierungsstelle (CA) [{1}] unter Verwendung der Vorlagen [{2} und {3}] an |
| [S005] Administrator [{0}] entfernt die FAS-Autorisierung [RA-Zertifikat-ID: {1}] |
| [S006] Administrator [{0}] erstellt Zertifikatdefinition [{1}] |
| [S007] Administrator [{0}] aktualisiert Zertifikatdefinition [{1}] |
| [S008] Administrator [{0}] löscht Zertifikatdefinition [{1}] |
| [S009] Administrator [{0}] erstellt Regel [{1}] |
| [S010] Administrator [{0}] aktualisiert Regel [{1}] |
| [S011] Administrator [{0}] löscht Regel [{1}] |
| [S012] Administrator [{0}] erstellt Zertifikat [UPN: {1} SID: {2} Regel: {3}] Zertifikatdefinition: {4} Sicherheitskontext: {5}] |
| [S013] Administrator [{0}] löscht Zertifikate [UPN: {1} Rolle: {2} Zertifikatdefinition: {3} Sicherheitskontext: {4}] |
| [S015] Administrator [{0}] erstellt Zertifikatanforderung [TPM: {1}] |
-
[S016] Administrator [{0}] importiert Autorisierungszertifikat [Referenz: {1}] -
[S022] Administrator [{0}] setzt den Wartungsmodus auf Aus -
[S023] Administrator [{0}] setzt den Wartungsmodus auf Ein [S024] Administrator [{0}] richtet Systemzustandsüberwachung ein [S025] Administrator [{0}] richtet Systemzustandsüberwachung ein [S026] Administrator [{0}] richtet RA-Zertifikatüberwachung ein [S027] Administrator [{0}] setzt RA-Zertifikatüberwachung zurück [S028] Administrator [{0}] legt Schlüsselkonfiguration für Zertifikat [{1}] auf [{2}] fest [S029] Administrator [{0}] setzt Schlüsselkonfiguration für Zertifikat [{1}] auf Standardwerte [{2}] zurück [S030] Administrator [{0}] legt Dienst-Eigenschaften auf [{1}] fest [S031] Administrator [{0}] entzieht der Zertifizierungsstelle (CA) die Autorisierung [RA-Zertifikat-ID: {1}] -
[S050] Administrator [{0}] erstellt Cloud-Konfiguration: [{1}] -
[S051] Administrator [{0}] aktualisiert Cloud-Konfiguration: [{1}] -
[S052] Administrator [{0}] entfernt Cloud-Konfiguration -
[S060] Administrator [{0}] fordert Cloud-Registrierung an. Instanz: {1} -
[S060] Administrator [{0}] fordert Direct Trust Cloud-Registrierung an. Instanz: {1} CloudServiceUrlFormat: {2} [S061] Administrator [{0}] schließt Cloud-Registrierung ab. Ressourcenstandort: {1}, Regelname: {2} [S062] Administrator [{0}] hat Cloud-Registrierung abgeschlossen. Ressourcenstandort: {1} ({2}), Regelname: {3}, Kunde: {4} ({5}) [S063] Während der Cloud-Registrierung ist ein KRS-Fehler aufgetreten. Die Ausnahme war {0} [S064] Während der Cloud-Registrierung ist ein unbekannter Fehler aufgetreten. Die Ausnahme war {0} [S065] Administrator [{0}] fordert Direct Trust Cloud-Registrierung an. Instanz: {1} CloudServiceUrlFormat: {2} Protokollcodes [S401] Konfigurationsupgrade wird durchgeführt – [Von Version {0} auf Version {1}] [S402] FEHLER: Der Citrix Federated Authentication Service muss als Netzwerkdienst ausgeführt werden [wird derzeit ausgeführt als: {0}] [S404] Die Datenbank des Citrix Federated Authentication Service wird zwangsweise gelöscht [S405] Beim Migrieren von Daten aus der Registrierung in die Datenbank ist ein Fehler aufgetreten: [{0}] [S406] Die Migration von Daten aus der Registrierung in die Datenbank ist abgeschlossen (Hinweis: Benutzerzertifikate werden nicht migriert) [S407] Registrierungsbasierte Daten wurden nicht in eine Datenbank migriert, da bereits eine Datenbank vorhanden war [S408] Die Konfiguration kann nicht herabgestuft werden – [Von Version {0} auf Version {1}] [S409] ThreadPool-Konfiguration erfolgreich – MinThreads angepasst von [Worker: {0} Abschluss: {1}] auf: [Worker: {2} Abschluss: {3}] [S410] ThreadPool-Konfiguration fehlgeschlagen – MinThreads konnte nicht von [Worker: {0} Abschluss: {1}] auf: [Worker: {2} Abschluss: {3}] angepasst werden; dies kann die Skalierbarkeit des FAS-Servers beeinträchtigen [S411] Fehler beim Starten des FAS-Dienstes: [{0}] [S412] Konfigurationsupgrade abgeschlossen – [Von Version {0} auf Version {1}] [S413] Autorisierungszertifikat läuft bald ab (noch {0} Tage). Zertifikatdetails: {1} [S414] Autorisierungszertifikat ist abgelaufen. Zertifikatdetails: {0} [S415] Autorisierungszertifikatprüfungen abgeschlossen. {0} Probleme wurden protokolliert. Nächste Prüfung fällig in {1}
Erstellen von Identitätsansprüchen [Federated Authentication Service]
[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]
Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn ein vertrauenswürdiger Server eine Benutzeranmeldung bestätigt.
| Protokollcodes |
|---|
| [S101] Server [{0}] ist nicht berechtigt, Identitäten in Rolle [{1}] zu beanspruchen |
| [S102] Server [{0}] konnte UPN [{1}] nicht beanspruchen (Ausnahme: {2}{3}) |
| [S103] Server [{0}] hat UPN [{1}] SID {2} angefordert, aber die Suche ergab SID {3} |
| [S104] Server [{0}] konnte UPN [{1}] nicht beanspruchen (UPN ist durch Regel [{2}] nicht zulässig) |
| [S105] Server [{0}] hat Identitätsanspruch ausgestellt [UPN: {1}, Rolle {2}, Sicherheitskontext: [{3}]] |
| [S120] Zertifikat wird ausgestellt an [UPN: {0} Rolle: {1} Sicherheitskontext: [{2}]] |
| [S121] Zertifikat ausgestellt an [UPN: {0} Rolle: {1}] durch [Zertifizierungsstelle: {2}] |
| [S122] Warnung: Server ist überlastet [UPN: {0} Rolle: {1}][Anfragen pro Minute {2}]. |
| [S123] Fehler beim Ausstellen eines Zertifikats bei einer Zertifizierungsstelle (CA) für [UPN: {0} Rolle: {1}] [Ausnahme: {2}] |
| [S124] Fehler beim Ausstellen eines Zertifikats für [UPN: {0} Rolle: {1}] bei [Zertifizierungsstelle: {2}] [Ausnahme: {3}] |
| [S125] Aufruf nach {0} Sekunden Wartezeit auf Abschluss der ausstehenden Zertifikatanforderung abgelaufen [UPN: {1} Rolle: {2} Sicherheitskontext: [{3}]] |
| [S126] Server [{0}] hat versucht, eine Identität unter Verwendung einer undefinierten Regel [{1}] zu beanspruchen |
| [S127] FAS konnte kein Zertifikat für [UPN: {0} Rolle: {1} Definition: {2}] anfordern, da sich der Server im Wartungsmodus befindet; verwenden Sie das PowerShell-Cmdlet Set-FasServer, um das Verhalten im Wartungsmodus zu ändern |
Agieren als vertrauende Partei [Federated Authentication Service]
[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]
Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn ein VDA einen Benutzer anmeldet.
| Protokollcodes |
|---|
| [S201] Vertrauende Seite [{0}] hat keinen Zugriff auf ein Kennwort. |
| [S202] Vertrauende Seite [{0}] hat keinen Zugriff auf ein Zertifikat. |
| [S203] Vertrauende Seite [{0}] hat keinen Zugriff auf den Anmeldeanbieter |
| [S204] Vertrauende Seite [{0}] greift auf den Anmeldeanbieter für [upn: {1}] in Rolle: [{2}] [Vorgang: {3}] zu, autorisiert durch [{4}] |
| [S205] Zugriff der vertrauenden Seite verweigert – das aufrufende Konto [{0}] ist keine zulässige vertrauende Seite der Regel [{1}] |
| [S206] Aufrufendes Konto [{0}] ist keine vertrauende Seite |
| [S208] Vorgang mit privatem Schlüssel fehlgeschlagen [Vorgang: {0} upn: {1} Rolle: {2} Zertifikatdefinition {3} Fehler {4} {5}]. |
| [S209] Zwischengespeichertes Zertifikat nicht gefunden. [Aufrufer: {0}] [upn: {1}] [Rolle: {2}] [Zertifikatdefinition: {3}] [Vorgang: {4}] |
Zertifikatserver in der Sitzung [Federated Authentication Service]
[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]
Diese Ereignisse werden auf dem FAS-Server protokolliert, wenn ein Benutzer ein Zertifikat in der Sitzung verwendet.
| Protokollcodes |
|---|
| [S301] Zugriff verweigert: Benutzer [{0}] hat keinen Zugriff auf eine virtuelle Smartcard |
| [S302] Benutzer [{0}] hat unbekannte virtuelle Smartcard angefordert [Fingerabdruck: {1}] |
| [S303] Zugriff verweigert: Benutzer [{0}] stimmt nicht mit virtueller Smartcard überein [upn: {1}] |
| [S304] Benutzer [{0}] führt Programm [{1}] auf Computer [{2}] aus, verwendet virtuelle Smartcard [upn: {3} Rolle: {4} Fingerabdruck: {5}] für Vorgang mit privatem Schlüssel [{6}] |
| [S305] Vorgang mit privatem Schlüssel fehlgeschlagen [Vorgang: {0}] [upn: {1} Rolle: {2} Containername {3} Fehler {4} {5}]. |
FAS-Assertion-Plug-in [Federated Authentication Service]
[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]
Diese Ereignisse werden vom FAS-Assertions-Plug-in protokolliert.
| Protokollcodes |
|---|
| [S500] Kein FAS-Assertions-Plug-in konfiguriert |
| [S501] Das konfigurierte FAS-Assertions-Plug-in konnte nicht geladen werden [Ausnahme:{0}] |
| [S502] FAS-Assertions-Plug-in geladen [pluginId={0}] [assembly={1}] [location={2}] |
| [S503] Server [{0}] konnte UPN [{1}] nicht bestätigen (Anmeldeinformationen wurden bereitgestellt, aber das Plug-in [{2}] unterstützt diese nicht) |
| [S504] Server [{0}] konnte UPN [{1}] nicht bestätigen (Anmeldeinformationen wurden bereitgestellt, aber es ist kein FAS-Plug-in konfiguriert) |
| [S505] Server [{0}] konnte UPN [{1}] nicht bestätigen (das Plug-in [{2}] hat die Anmeldeinformationen mit Status [{3}] und Meldung [{4}] abgelehnt) |
| [S506] Das Plug-in [{0}] hat Anmeldeinformationen von Server [{1}] für UPN [{2}] mit Meldung [{3}] akzeptiert |
| [S507] Server [{0}] konnte UPN [{1}] nicht bestätigen (das Plug-in [{2}] hat während der Methode [{4}] eine Ausnahme [{3}] ausgelöst) |
| [S507] Server [{0}] konnte UPN [{1}] nicht bestätigen (das Plug-in [{2}] hat eine Ausnahme [{3}] ausgelöst) |
| [S508] Server [{0}] konnte UPN [{1}] nicht bestätigen (Zugriffsdisposition wurde bereitgestellt, aber das Plug-in [{2}] unterstützt diese nicht) |
| [S509] Server [{0}] konnte UPN [{1}] nicht bestätigen (Zugriffsdisposition wurde bereitgestellt, aber es ist kein FAS-Plug-in konfiguriert) |
| [S510] Server [{0}] konnte UPN [{1}] nicht bestätigen (die Zugriffsdisposition wurde vom Plug-in [{2}] als ungültig betrachtet) |
Workspace-fähiger FAS [Federated Authentication Service]
[Ereignisquelle: Citrix.Fas.Cloud]
Diese Ereignisse werden protokolliert, wenn FAS mit Workspace verwendet wird.
| Protokollcodes |
|---|
| [S001] Citrix Cloud-Autorisierungsschlüssel rotiert [FAS-ID: {0}] [alte Schlüssel-ID:{1}] [neue Schlüssel-ID:{2}] |
| [S002] Das Cloud-Support-Modul wird gestartet. FasHub-Cloud-Dienst-URL: {0} |
| [S003] FAS bei der Cloud registriert [FAS-ID: {0}] [Transaktions-ID: {1}] |
| [S004] FAS konnte sich nicht bei der Cloud registrieren [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}] |
| [S005] FAS hat seine aktuelle Konfiguration an die Cloud gesendet [FAS-ID: {0}] [Transaktions-ID: {1}] |
| [S006] FAS konnte seine aktuelle Konfiguration nicht an die Cloud senden [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}] |
| [S007] FAS von der Cloud abgemeldet [FAS-ID: {0}] [Transaktions-ID: {1}] |
| [S009] FAS konnte sich nicht von der Cloud abmelden [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}] |
| [S010] Der FAS-Dienst ist mit der Cloud-Messaging-URL verbunden: {0} |
| [S011] Der FAS-Dienst ist nicht mit der Cloud verbunden |
| [S012] Der FAS-Dienst ist für Single Sign-On von Citrix Cloud verfügbar |
| [S013] Der FAS-Dienst ist für Single Sign-On von Citrix Cloud nicht verfügbar. [{0}] Weitere Details finden Sie in der Administratorkonsole |
[S014] Ein Aufruf des Cloud-Dienstes <Dienstname> ist fehlgeschlagen [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}] |
| [S015] Eine Nachricht von Citrix Cloud wurde blockiert, da der Aufrufer nicht berechtigt ist [Nachrichten-ID {0}] [Transaktions-ID {1}] [Aufrufer {2}] |
[S016] Ein Aufruf des Cloud-Dienstes <Dienstname> war erfolgreich [FAS-ID: {0}] [Transaktions-ID: {1}] |
| [S019] FAS hat seine Konfiguration aus der Cloud heruntergeladen [FAS-ID: {0}] [Transaktions-ID: {1}] |
| [S020] FAS konnte seine Konfiguration nicht aus der Cloud herunterladen [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}] |
| [S021] Das Cloud-Support-Modul konnte nicht gestartet werden. Ausnahme: {0} |
| [S022] Das Cloud-Support-Modul wird beendet |
| [S023] Citrix Cloud-Autorisierungsschlüssel konnte nicht rotiert werden [FAS-ID: {0}] [aktuelle Schlüssel-ID:{1}] [neue Schlüssel-ID:{2}] [Schlüssel in Cloud:{3}] |
| [S024] Rotation des Citrix Cloud-Autorisierungsschlüssels wird initiiert [FAS-ID: {0}] [aktuelle Schlüssel-ID:{1}] [neue Schlüssel-ID:{2}] |
| [S025] Der Autorisierungsschlüssel dieses Dienstes ist in der Citrix Cloud vorhanden [aktueller Schlüssel: {0}] [Schlüssel in Cloud: {1}] |
| [S026] Der Autorisierungsschlüssel dieses Dienstes ist nicht in der Citrix Cloud vorhanden [aktueller Schlüssel: {0}] [Schlüssel in Cloud: {1}] |
| [S027] Das Speicherformat des Citrix Cloud-Autorisierungsschlüssels wurde aktualisiert [FAS-ID: {0}] |
| [S028] FAS hat seine aktuelle Telemetrie an die Cloud gesendet [FAS-ID: {0}] [Transaktions-ID: {1}] |
| [S029] FAS konnte seine aktuelle Telemetrie nicht an die Cloud senden [FAS-ID: {0}] [Transaktions-ID: {1}] [Ausnahme: {2}] |
Anmeldung [VDA]
[Ereignisquelle: Citrix.Authentication.IdentityAssertion]
Diese Ereignisse werden auf dem VDA während der Anmeldephase protokolliert.
| Protokollcodes |
|---|
| [S101] Anmeldung mit Identitätsbestätigung fehlgeschlagen. Unbekannter GPO-Index des Federated Authentication Service [Index: {0}] [Registrierungsname: {1}] |
| [S102] Anmeldung mit Identitätsbestätigung fehlgeschlagen. SID-Suche für {0} fehlgeschlagen [Ausnahme: {1}{2}] |
| [S103] Anmeldung mit Identitätsbestätigung fehlgeschlagen. Benutzer {0} hat SID {1}, aber die erwartete SID ist {2} |
| [S104] Anmeldung mit Identitätsbestätigung fehlgeschlagen. Aufruf von {0} gab zurück [Fehler: {1} {2}] |
| [S105] Anmeldung mit Identitätsbestätigung. Anmelden [Benutzername: {0} Domäne: {1}] |
| [S106] Anmeldung mit Identitätsbestätigung.\n\nFederated Authentication Service: {0}\n\nAnmelden [Zertifikat: {1}] |
| [S107] Anmeldung mit Identitätsbestätigung fehlgeschlagen. [Ausnahme: {0}{1}] |
| [S108] Subsystem für Identitätsbestätigung. ZUGRIFF_VERWEIGERT [Aufrufer: {0}] |
In-Session-Zertifikate [VDA]
[Ereignisquelle: Citrix.Authentication.IdentityAssertion]
Diese Ereignisse werden auf dem VDA protokolliert, wenn ein Benutzer versucht, ein In-Session-Zertifikat zu verwenden.
| Protokollcodes |
|---|
| [S201] Zugriff auf virtuelle Smartcard autorisiert von [{0}] für [PID: {1} Programmname: {2}Zertifikat-Fingerabdruck: {3}] |
| [S203] Subsystem für virtuelle Smartcard. Zugriff verweigert [Aufrufer: {0}, Sitzung {1}] |
| [S204] Subsystem für virtuelle Smartcard. Smartcard-Unterstützung deaktiviert |
Zertifikatsanforderung und Schlüsselpaar-Generierung [Federated Authentication Service]
[Ereignisquelle: Citrix.Fas.PkiCore]
Diese Ereignisse werden protokolliert, wenn der FAS-Server kryptografische Operationen auf niedriger Ebene durchführt.
| Protokollcodes |
|---|
| [S001] TrustArea::TrustArea: Zertifikat installiert [TrustArea: {0} Zertifikat {1}TrustAreaJoinParameters {2}] |
| [S014] Pkcs10Request::Create: PKCS10-Anforderung erstellt [Distinguished Name: {0}] [Grund: {1}] |
| [S016] PrivateKey::Create [Bezeichner: {0}] [MachineWide: {1}] [Anbieter: {2}] [Anbietertyp: {3}] [EllipticCurve: {4}] [Schlüssellänge: {5}] [isExportable: {6}] [Erstellungsgrund: {7}] |
| [S017] PrivateKey::Delete [Anbieter: {0}] [Bezeichner {1}] [Twin: {2}] |
| [S018] PrivateKey::Create fehlgeschlagen [Bezeichner: {0}] [MachineWide: {1}] [Anbieter: {2}] [Anbietertyp: {3}] [EllipticCurve: {4}] [Schlüssellänge: {5}] [isExportable: {6}] [Erstellungsgrund: {7}] [Ausnahme: {8}] |
| Protokollcodes |
| [S104] FAS hat ein Autorisierungszertifikat von der CA {0} erhalten |
| [S105] MicrosoftCertificateAuthority::SubmitCertificateRequest Fehler beim Senden der Antwort [{0}] |
| [S106] MicrosoftCertificateAuthority::SubmitCertificateRequest Ausgestelltes Zertifikat [{0}] |
| [S112] MicrosoftCertificateAuthority::SubmitCertificateRequest – Warten auf Genehmigung [CR_DISP_UNDER_SUBMISSION] [Referenz: {0}] |
Fehlermeldungen für Endbenutzer
Dieser Abschnitt listet häufige Fehlermeldungen auf, die einem Benutzer auf der Windows-Anmeldeseite angezeigt werden.
| Angezeigte Fehlermeldung | Beschreibung und Referenz |
|---|---|
| Ungültiger Benutzername oder ungültiges Kennwort | Der Computer geht davon aus, dass Sie über ein gültiges Zertifikat und einen privaten Schlüssel verfügen, aber der Kerberos-Domänencontroller hat die Verbindung abgelehnt. Siehe den Abschnitt Kerberos-Protokolle dieses Artikels. |
| Das System konnte Sie nicht anmelden. Ihre Anmeldeinformationen konnten nicht überprüft werden. / Die Anforderung wird nicht unterstützt | Der Domänencontroller kann nicht kontaktiert werden, oder der Domänencontroller wurde nicht mit einem Zertifikat zur Unterstützung der Smartcard-Authentifizierung konfiguriert. Registrieren Sie den Domänencontroller für ein Zertifikat vom Typ „Kerberos-Authentifizierung“, „Domänencontroller-Authentifizierung“ oder „Domänencontroller“. Dies ist einen Versuch wert, auch wenn das vorhandene Zertifikat gültig zu sein scheint. |
| Das System konnte Sie nicht anmelden. Das für die Authentifizierung verwendete Smartcard-Zertifikat wurde nicht als vertrauenswürdig eingestuft. | Die Zwischen- und Stammzertifikate sind nicht auf dem lokalen Computer installiert. Siehe Zertifikate und Public Key Infrastructure. |
| Ungültige Anforderung | Dies weist normalerweise darauf hin, dass die Erweiterungen des Zertifikats nicht korrekt eingestellt sind oder der RSA-Schlüssel zu kurz ist (<2048 Bit). |
FAS Always-on-Tracing
Mit Always-on-Tracing protokolliert FAS seine Aktivitäten im Dateisystem. Dies kann bei der Fehlerbehebung helfen und möglicherweise die Notwendigkeit eliminieren, einen aufgetretenen Vorfall zu reproduzieren.
Always-on-Tracing wird aktiviert, wenn Sie FAS mit einer der folgenden Methoden installieren oder aktualisieren:
- Das Installationsprogramm von Citrix Virtual Apps and Desktops™: über die Schaltfläche Federated Authentication Service auf dem Autorun-Begrüßungsbildschirm, wenn die ISO eingelegt wird
-
XenDesktopFasSetup.exe: Befindet sich auf der Citrix Virtual Apps and Desktops-ISO unterx64\XenDesktop Setup\XenDesktopFasSetup.exe -
FasSetup_xxxx.exe: die eigenständige FAS-Installationsdatei, verfügbar unter Citrix Downloads.
Hinweis:
Always-on-Tracing ist nicht verfügbar, wenn Sie die Installation oder das Upgrade mit der FAS-Installations-MSI-Datei
FederatedAuthenticationService_x64.msidurchführen.
Always-on-Tracing erfassen
Verwenden Sie Citrix Scout, um Always-on-Tracing und andere Diagnosedaten von Ihrem FAS-Server zu erfassen. Citrix Scout wird installiert, wenn Sie FAS mit einer der zuvor genannten Methoden installieren.
Always-on-Tracing deaktivieren
Wenn Sie Always-on-Tracing aus irgendeinem Grund deaktivieren möchten, beenden und deaktivieren Sie den Citrix Telemetry Service auf Ihrem FAS-Server.
Verwandte Informationen
In diesem Artikel
- Zertifikate und Public Key Infrastructure
- UPN-Name und Zertifikatszuordnung
- Auswahl des Domänencontrollers für die Anmeldung steuern
- Überwachungsereignisse für Konten aktivieren
- Zertifikatsvalidierungsprotokolle
- Überwachung von FAS mithilfe des Windows-Ereignisprotokolls
- FAS-Ereignisprotokolle
- Fehlermeldungen für Endbenutzer
- FAS Always-on-Tracing
- Verwandte Informationen