解决 Windows 登录问题
本文介绍了用户使用证书或智能卡(或两者)登录时 Windows 提供的日志和错误消息。这些日志提供的信息可用于排查身份验证失败问题。
-
证书和公钥基础设施
-
Windows Active Directory 维护多个证书存储,用于管理登录用户的证书。
-
NTAuth 证书存储:要向 Windows 进行身份验证,直接颁发用户证书的证书颁发机构(即不支持链式)必须放置在 NTAuth 存储中。要查看这些证书,请从 certutil 程序中输入:
certutil –viewstore –enterprise NTAuth - 根证书和中间证书存储:通常,证书登录系统只能提供单个证书,因此如果使用链式,所有计算机上的中间证书存储必须包含这些证书。根证书必须位于受信任的根存储中,而倒数第二个证书必须位于 NTAuth 存储中。
- 登录证书扩展和组策略:Windows 可以配置为强制验证 EKU 和其他证书策略。请参阅 Microsoft 文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff404287(v=ws.10)。
| 注册表策略 | 描述 |
|---|---|
| AllowCertificatesWithNoEKU | 禁用时,证书必须包含智能卡登录扩展密钥用法 (EKU)。 |
-
AllowSignatureOnlyKeys 默认情况下,Windows 会筛选掉不允许 RSA 解密的证书私钥。此选项会覆盖该筛选。 AllowTimeInvalidCertificates 默认情况下,Windows 会筛选掉已过期的证书。此选项会覆盖该筛选。 EnumerateECCCerts 启用椭圆曲线身份验证。 X509HintsNeeded 如果证书不包含唯一的用户主体名称 (UPN),或者它不明确,此选项允许用户手动指定其 Windows 登录帐户。 UseCachedCRLOnlyAnd, IgnoreRevocationUnknownErrors 禁用吊销检查(在域控制器上设置)。 - 域控制器证书:要对 Kerberos 连接进行身份验证,所有服务器都必须具有适当的“域控制器”证书。可以使用“本地计算机证书个人存储”MMC 管理单元菜单请求这些证书。
UPN 名称和证书映射
建议用户证书在主题备用名称扩展中包含唯一的用户主体名称 (UPN)。
Active Directory 中的 UPN 名称
默认情况下,Active Directory 中的每个用户都具有基于模式 <samUsername>@<domainNetBios> 和 <samUsername>@<domainFQDN> 的隐式 UPN。可用的域和 FQDN 包含在林的 RootDSE 条目中。单个域可以在 RootDSE 中注册多个 FQDN 地址。
此外,Active Directory 中的每个用户都具有显式 UPN 和 altUserPrincipalNames。这些是指定用户 UPN 的 LDAP 条目。
通过 UPN 搜索用户时,Windows 首先在当前域(基于查找 UPN 的进程的标识)中查找显式 UPN,然后查找备用 UPN。如果没有匹配项,它会查找隐式 UPN,这可能会解析到林中的不同域。
证书映射服务
如果证书不包含显式 UPN,Active Directory 可以选择为每个用途存储一个精确的公共证书,作为“x509certificate”属性。要将此类证书解析为用户,计算机可以直接查询此属性(默认情况下,在单个域中)。
提供了一个选项,允许用户指定一个用户帐户,这可以加快此搜索速度,并且还允许在跨域环境中使用此功能。
如果林中存在多个域,并且用户未明确指定域,则 Active Directory RootDSE 会指定证书映射服务的位置。该服务位于全局编录计算机上,并具有林中所有 x509certificate 属性的缓存视图。此计算机可以根据证书高效地在任何域中查找用户帐户。
控制登录域控制器选择
当环境中包含多个域控制器时,查看和限制用于身份验证的域控制器非常有用,以便可以启用和检索日志。
控制域控制器选择
要强制 Windows 使用特定的 Windows 域控制器进行登录,您可以通过配置 lmhosts 文件来显式设置 Windows 计算机使用的域控制器列表:\Windows\System32\drivers\etc\lmhosts。
通常在该位置有一个名为 “lmhosts.sam” 的示例文件。只需包含一行:
1.2.3.4 dcnetbiosname #PRE #DOM:mydomai
其中 “1.2.3.4” 是域 “mydomain” 中名为 “dcnetbiosname” 的域控制器的 IP 地址。
重新启动后,Windows 计算机将使用该信息登录到 mydomain。调试完成后必须还原此配置。
识别正在使用的域控制器
登录时,Windows 会设置一个 MSDOS 环境变量,其中包含登录用户的域控制器。要查看此信息,请使用命令启动命令提示符:echo %LOGONSERVER%。
与身份验证相关的日志存储在此命令返回的计算机上。
启用帐户审核事件
默认情况下,Windows 域控制器不启用完整的帐户审核日志。这可以通过组策略编辑器中安全设置中的审核策略进行控制。要打开组策略编辑器,请在域控制器上运行 gpedit.msc。启用审核策略后,域控制器会在安全日志中生成额外的事件日志信息。
证书验证日志
检查证书有效性
- 如果智能卡证书导出为 DER 证书(不需要私钥),您可以使用以下命令对其进行验证:certutil –verify user.cer
- ### 启用 CAPI 日志记录
在域控制器和用户计算机上,打开事件查看器并为 Microsoft/Windows/CAPI2/Operational Logs 启用日志记录。
-
在域控制器和 VDA 计算机上,打开事件查看器并导航到应用程序和服务日志 > Microsoft > Windows > CAPI2 > 操作。右键单击操作并选择启用日志。
-
此外,通过以下注册表值微调 CAPI 日志记录:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32。以下值默认不存在,您必须创建它们。如果您希望恢复到默认 CAPI2 日志记录设置,请删除这些值。
| 值 | 描述 |
|---|---|
| DiagLevel (DWORD) | 详细级别(0 到 5) |
| DiagMatchAnyMask (QUADWORD) | 事件筛选器(全部使用 0xffffff) |
| DiagProcessName (MULTI_SZ) | 按进程名称筛选(例如,LSASS.exe) |
CAPI 日志
| 消息 | 描述 |
|---|---|
| 构建链 | LSA 调用 CertGetCertificateChain(包括结果) |
| 验证吊销 | LSA 调用 CertVerifyRevocation(包括结果) |
| X509 对象 | 在详细模式下,证书和证书吊销列表 (CRL) 将转储到 AppData\LocalLow\Microsoft\X509Objects |
| 验证链策略 | LSA 调用 CertVerifyChainPolicy(包括参数) |
错误消息
| 错误代码 | 描述 |
|---|---|
| 证书不受信任 | 无法使用计算机的中间和受信任的根证书存储中的证书构建智能卡证书。 |
| 证书吊销检查错误 | 无法从证书 CRL 分发点指定的地址下载智能卡的 CRL。如果强制执行吊销检查,这将阻止登录成功。请参阅证书和公钥基础结构部分。 |
| 证书使用错误 | 该证书不适用于登录。例如,它可能是服务器证书或签名证书。 |
Kerberos 日志
要在域控制器和最终用户计算机上启用 Kerberos 日志记录,请创建以下注册表值:
| 配置单元 | 值名称 | 值 [DWORD] |
|---|---|---|
| CurrentControlSet\Control\Lsa\Kerberos\Parameters | LogLevel | 0x1 |
| CurrentControlSet\Control\Lsa\Kerberos\Parameters | KerbDebuglevel | 0xffffffff |
| CurrentControlSet\Services\Kdc | KdcDebugLevel | 0x1 |
| CurrentControlSet\Services\Kdc | KdcExtraLogLevel | 0x1f |
Kerberos 日志记录输出到系统事件日志。
- “不受信任的证书”等消息应易于诊断。
- 两个错误代码是信息性的,可以安全忽略:
- KDC_ERR_PREAUTH_REQUIRED(用于与旧域控制器向后兼容)
- 未知错误 0x4b
域控制器和工作站日志
本部分介绍用户使用证书登录时域控制器和工作站上预期的日志条目。
- 域控制器 CAPI2 日志
- 域控制器安全日志
- Virtual Delivery Agent (VDA) 安全日志
- VDA CAPI 日志
- VDA 系统日志
域控制器 CAPI2 日志
在登录期间,域控制器会验证调用方的证书,并生成以下形式的日志条目序列。
最终的事件日志消息显示域控制器上的 lsass.exe 根据 VDA 提供的证书构建了一个链,并验证其有效性(包括吊销)。结果返回为“ERROR_SUCCESS”。
域控制器安全日志
域控制器显示了一系列登录事件,其中关键事件是 4768,此事件中证书用于颁发 Kerberos 票证授予票证 (krbtgt)。
此之前的消息显示服务器的计算机帐户正在向域控制器进行身份验证。此之后的消息显示属于新 krbtgt 的用户帐户正在用于向域控制器进行身份验证。
VDA 安全日志
对应于登录事件的 VDA 安全审核日志是事件 ID 为 4648 的条目,源自 winlogon.exe。
VDA CAPI 日志
此示例 VDA CAPI 日志显示了来自 lsass.exe 的单个链构建和验证序列,用于验证域控制器证书 (dc.citrixtest.net)。
VDA 系统日志
启用 Kerberos 日志记录后,系统日志会显示错误 KDC_ERR_PREAUTH_REQUIRED (可以忽略),以及来自 Winlogon 的条目,显示 Kerberos 登录成功。
使用 Windows 事件日志监视 FAS
所有 FAS 事件都写入 Windows 应用程序事件日志。您可以使用 System Center Operations Manager (SCOM) 等产品,通过此处描述的进程和事件监视 FAS 服务的运行状况。
FAS 服务是否正在运行
要确定 FAS 服务是否正在运行,请监视进程 Citrix.Authentication.FederatedAuthenticationService.exe。
本节仅介绍用于监视 FAS 服务的最重要事件。有关 FAS 事件代码的完整列表,请参阅 FAS 事件日志。
FAS 运行状况事件
以下事件显示 FAS 服务是否正常运行。
事件源为 Citrix.Authentication.FederatedAuthenticationService。
| 事件 | 事件文本 | 说明 | 备注 |
|---|---|---|---|
| [S003] | 管理员 [{0}] 将维护模式设置为 [{1}] | FAS 服务已进入或退出维护模式。 | 在维护模式下,FAS 服务器无法用于单点登录。 |
| [S022] | 管理员 [{0}] 将维护模式设置为“关” | FAS 服务已退出维护模式。 | 适用于 FAS 10.7 / Citrix Virtual Apps and Desktops 2109 及更高版本。 |
| [S023] | 管理员 [{0}] 将维护模式设置为“开” | FAS 服务已进入维护模式。 | 适用于 FAS 10.7 / Citrix Virtual Apps and Desktops 2109 及更高版本。 |
| [S123] | 无法为 [upn: {0} role: {1}] 颁发证书 [exception: {2}] | 如果 FAS 配置的 CA 均未能成功颁发用户证书,则此事件会在 [S124] 之后发生。该用户将无法进行单点登录。 | 此事件表示所有配置的 CA 均无法正常工作。如果 FAS 配置为使用 HSM,则也可能表示 HSM 无法正常工作。 |
| [S124] | 无法在 [certificate authority: {2}] 为 [upn: {0} role: {1}] 颁发证书 [exception: {3}] | FAS 尝试从给定 CA 请求用户证书时发生故障。如果 FAS 配置了多个 CA,FAS 会尝试向另一个 CA 发出请求。 | 此事件可能表示 CA 无法正常工作或无法联系。如果 FAS 配置为使用 HSM,则也可能表示 HSM 无法正常工作。可以使用 exception 来帮助识别问题原因。 |
| [S413] | 授权证书即将过期(剩余 {0} 天)。证书详细信息:{1} | 当 FAS 授权证书即将过期时,会定期生成此事件。默认情况下,如果授权证书在 30 天内过期,则每天生成此事件。 | 可以使用 cmdlet Set-FasRaCertificateMonitor 调整默认设置;请参阅PowerShell cmdlet。 |
| [S414] | 授权证书已过期。证书详细信息:{0} | 当 FAS 授权证书已过期时,会定期生成此事件。默认情况下,每天生成此事件。 | 证书过期后,FAS 将无法生成新的用户证书,并且单点登录将开始失败。 |
云连接的 FAS 事件
如果您将 FAS 与 Citrix Cloud™ 结合使用,以下事件将显示 FAS 服务是否正常运行。
事件源为 Citrix.Fas.Cloud。
| 事件 | 事件文本 | 说明 | 备注 |
|---|---|---|---|
| [S012] | FAS 服务可用于从 Citrix Cloud 进行单点登录 | 此事件表示从 Workspace(即 Citrix Cloud)进行的单点登录应正常工作。 | 在发出此事件之前,FAS 会检查 (1) 是否已配置,(2) 是否未处于维护模式,以及 (3) 是否已连接到 Citrix Cloud。 |
| [S013] | FAS 服务无法用于从 Citrix Cloud 进行单点登录。[{0}] 更多详细信息可在管理控制台中找到。 | 此事件表示 FAS 无法提供从 Workspace(即 Citrix Cloud)进行的单点登录。消息中包含单点登录无法工作的原因。 | FAS 维护与 Citrix Cloud 的持久连接。此连接可能因各种原因(例如网络故障或代理服务器上的连接生命周期策略)而偶尔终止。发生这种情况时,事件文本将包含“Service is not connected to the cloud”。这是正常行为,FAS 会立即尝试重新建立与 Citrix Cloud 的连接。 |
安全事件
以下事件表示未经授权的实体尝试使用 FAS。
事件源为 Citrix.Authentication.FederatedAuthenticationService。
| 事件 | 事件文本 | 说明 |
|---|---|---|
| [S001] | 访问被拒绝:用户 [{0}] 不是 Administrators 组的成员 | 尝试查看或更改 FAS 配置,但调用方不是 FAS 管理员。 |
| [S002] | 访问被拒绝:用户 [{0}] 不是角色 [{1}] 的管理员 | 尝试查看或更改 FAS 规则的配置,但调用方不是 FAS 管理员。 |
| [S101] | 服务器 [{0}] 无权在角色 [{1}] 中声明身份 | 尝试声明用户身份,但调用方无权执行此操作。只有在 FAS 规则配置中获得许可的 StoreFront™ 服务器(以及适用的 Workspace)才允许声明用户身份。 |
| [S104] | 服务器 [{0}] 无法声明 UPN [{1}](角色 [{2}] 不允许 UPN) | 尝试声明用户身份,但根据 FAS 规则配置,不允许该用户的帐户。 |
| [S205] | 依赖方访问被拒绝 - 调用帐户 [{0}] 不是规则 [{1}] 的允许依赖方 | VDA 尝试使用 FAS 执行单点登录,但根据 FAS 规则配置,不允许该 VDA。 |
FAS 事件日志
以下表格列出了 FAS 生成的事件日志条目。
管理事件 [Federated Authentication Service]
[事件源:Citrix.Authentication.FederatedAuthenticationService]
这些事件是为响应 FAS 服务器中的配置更改而记录的。
| 日志代码 |
|---|
| [S001] 访问被拒绝:用户 [{0}] 不是 Administrators 组的成员 |
| [S002] 访问被拒绝:用户 [{0}] 不是角色 [{1}] 的管理员 |
| [S003] 管理员 [{0}] 将维护模式设置为 [{1}] |
| [S004] 管理员 [{0}] 使用模板 [{2} 和 {3}] 从 CA [{1}] 请求授权证书 |
| [S005] 管理员 [{0}] 取消授权 CA [{1}] |
| [S006] 管理员 [{0}] 创建证书定义 [{1}] |
| [S007] 管理员 [{0}] 更新证书定义 [{1}] |
| [S008] 管理员 [{0}] 删除证书定义 [{1}] |
| [S009] 管理员 [{0}] 创建规则 [{1}] |
| [S010] 管理员 [{0}] 更新规则 [{1}] |
| [S011] 管理员 [{0}] 删除规则 [{1}] |
| [S012] 管理员 [{0}] 创建证书 [upn: {1} sid: {2} rule: {3}]证书定义:{4} 安全上下文:{5}] |
| [S013] 管理员 [{0}] 删除证书 [upn: {1} role: {2} 证书定义:{3} 安全上下文:{4}] |
| [S015] 管理员 [{0}] 创建证书请求 [TPM: {1}] |
| [S016] 管理员 [{0}] 导入授权证书 [Reference: {1}] |
| [S022] 管理员 [{0}] 将维护模式设置为“关” |
| [S023] 管理员 [{0}] 将维护模式设置为“开” |
| [S024] 管理员 [{0}] 设置系统运行状况监视器 |
| [S025] 管理员 [{0}] 设置系统运行状况监视器 |
| [S026] 管理员 [{0}] 设置 RA 证书监视器 |
| [S027] 管理员 [{0}] 重置 RA 证书监视器 |
| [S050] 管理员 [{0}] 创建云配置:[{1}] |
| [S051] 管理员 [{0}] 更新云配置:[{1}] |
| [S052] 管理员 [{0}] 正在删除云配置 |
| [S060] 管理员 [{0}] 正在请求云注册。实例: {1} |
| [S060] 管理员 [{0}] 正在请求直接信任云注册。实例: {1} 云服务 URL 格式: {2} |
| [S061] 管理员 [{0}] 正在完成云注册。资源位置: {1},规则名称: {2} |
| [S062] 管理员 [{0}] 已完成云注册。资源位置: {1} ({2}),规则名称: {3},客户: {4} ({5}) |
| [S063] 在云注册期间发生 KRS 错误。异常为 {0} |
| [S064] 在云注册期间发生未知错误。异常为 {0} |
| 日志代码 |
| [S401] 正在执行配置升级 - [从版本 {0} 到版本 {1}] |
| [S402] 错误: Citrix 联合身份验证服务必须以 Network Service 身份运行 [当前运行身份为: {0}] |
| [S404] 正在强制擦除 Citrix 联合身份验证服务数据库 |
| [S405] 在将数据从注册表迁移到数据库时发生错误: [{0}] |
| [S406] 将数据从注册表迁移到数据库已完成 (注意: 用户证书未迁移) |
| [S407] 基于注册表的数据未迁移到数据库,因为数据库已存在 |
| [S408] 无法降级配置 – [从版本 {0} 到版本 {1}] |
| [S409] 线程池配置成功 - MinThreads 已从 [工作线程: {0} 完成端口: {1}] 调整为: [工作线程: {2} 完成端口: {3}] |
| [S410] 线程池配置失败 - 无法将 MinThreads 从 [工作线程: {0} 完成端口: {1}] 调整为: [工作线程: {2} 完成端口: {3}];这可能会影响 FAS 服务器的可伸缩性 |
| [S411] 启动 FAS 服务时出错: [{0}] |
| [S412] 配置升级完成 – [从版本 {0} 到版本 {1}] |
| [S413] 授权证书即将过期 (剩余 {0} 天)。证书详细信息: {1} |
| [S414] 授权证书已过期。证书详细信息: {0} |
| [S415] 授权证书检查已完成。已记录 {0} 个问题。下次检查将在 {1} 后进行 |
创建身份断言 [Federated Authentication Service]
[事件源: Citrix.Authentication.FederatedAuthenticationService]
当受信任的服务器断言用户登录时,这些事件会在 FAS 服务器上运行时记录。
| 日志代码 |
|---|
| [S101] 服务器 [{0}] 无权在角色 [{1}] 中断言身份 |
| [S102] 服务器 [{0}] 未能断言 UPN [{1}] (异常: {2}{3}) |
| [S103] 服务器 [{0}] 请求了 UPN [{1}] SID {2},但查找返回了 SID {3} |
| [S104] 服务器 [{0}] 未能断言 UPN [{1}] (角色 [{2}] 不允许 UPN) |
| [S105] 服务器 [{0}] 发布了身份断言 [upn: {1}, 角色 {2}, 安全上下文: [{3}]] |
| [S120] 正在向 [upn: {0} 角色: {1} 安全上下文: [{2}]] 颁发证书 |
| [S121] 证书已由 [证书颁发机构: {2}] 颁发给 [upn: {0} 角色: {1}] |
| [S122] 警告: 服务器过载 [upn: {0} 角色: {1}][每分钟请求数 {2}]。 |
| [S123] 未能为 [upn: {0} 角色: {1}] 颁发证书 [异常: {2}] |
| [S124] 未能为 [upn: {0} 角色: {1}] 在 [证书颁发机构: {2}] 颁发证书 [异常: {3}] |
作为信赖方 [Federated Authentication Service]
[事件源: Citrix.Authentication.FederatedAuthenticationService]
当 VDA 登录用户时,这些事件会在 FAS 服务器上运行时记录。
| 日志代码 |
|---|
| [S201] 信赖方 [{0}] 无权访问密码。 |
| [S202] 信赖方 [{0}] 无权访问证书。 |
| [S203] 信赖方 [{0}] 无权访问登录 CSP |
| [S204] 信赖方 [{0}] 正在访问 [upn: {1}] 的登录 CSP,角色为: [{2}] [操作: {3}],由 [{4}] 授权 |
| [S205] 信赖方访问被拒绝 - 调用帐户 [{0}] 不是规则 [{1}] 允许的信赖方 |
| [S206] 调用帐户 [{0}] 不是信赖方 |
| [S208] 私钥操作失败 [操作: {0} upn: {1} 角色: {2} certificateDefinition {3} 错误 {4} {5}]。 |
-
会话内证书服务器 [Federated Authentication Service]
-
[事件源: Citrix.Authentication.FederatedAuthenticationService]
- 当用户使用会话内证书时,这些事件会在 FAS 服务器上记录。
| 日志代码 |
|---|
| [S301] 访问被拒绝: 用户 [{0}] 无权访问虚拟智能卡 |
| [S302] 用户 [{0}] 请求了未知虚拟智能卡 [指纹: {1}] |
| [S303] 访问被拒绝: 用户 [{0}] 与虚拟智能卡 [upn: {1}] 不匹配 |
| [S304] 用户 [{0}] 在计算机 [{2}] 上运行程序 [{1}],使用虚拟智能卡 [upn: {3} 角色: {4} 指纹: {5}] 进行私钥操作 [{6}] |
| [S305] 私钥操作失败 [操作: {0}] [upn: {1} 角色: {2} containerName {3} 错误 {4} {5}]。 |
FAS 断言插件 [Federated Authentication Service]
[事件源: Citrix.Authentication.FederatedAuthenticationService]
这些事件由 FAS 断言插件记录。
| 日志代码 |
|---|
| [S500] 未配置 FAS 断言插件 |
| [S501] 无法加载配置的 FAS 断言插件 [异常:{0}] |
| [S502] FAS 断言插件已加载 [pluginId={0}] [assembly={1}] [location={2}] |
| [S503] 服务器 [{0}] 未能断言 UPN [{1}] (提供了登录凭据,但插件 [{2}] 不支持) |
| [S504] 服务器 [{0}] 未能断言 UPN [{1}] (提供了登录凭据,但没有配置 FAS 插件) |
| [S505] 服务器 [{0}] 未能断言 UPN [{1}] (插件 [{2}] 拒绝了登录凭据,状态为 [{3}],消息为 [{4}]) |
| [S506] 插件 [{0}] 接受了来自服务器 [{1}] 的 UPN [{2}] 的登录凭据,消息为 [{3}] |
| [S507] 服务器 [{0}] 未能断言 UPN [{1}] (插件 [{2}] 在方法 [{4}] 期间抛出异常 [{3}]) |
| [S507] 服务器 [{0}] 未能断言 UPN [{1}] (插件 [{2}] 抛出异常 [{3}]) |
| [S508] 服务器 [{0}] 未能断言 UPN [{1}] (提供了访问处置,但插件 [{2}] 不支持) |
| [S509] 服务器 [{0}] 未能断言 UPN [{1}] (提供了访问处置,但没有配置 FAS 插件) |
| [S510] 服务器 [{0}] 未能断言 UPN [{1}] (访问处置被插件 [{2}] 视为无效) |
启用 Workspace 的 FAS [Federated Authentication Service]
[事件源: Citrix.Fas.Cloud]
当 FAS 与 Workspace 结合使用时,会记录这些事件。
| 日志代码 |
|---|
| [S001] 轮换了 Citrix Cloud 授权密钥 [FAS ID: {0}] [旧密钥 ID:{1}] [新密钥 ID:{2}] |
| [S002] 云支持模块正在启动。FasHub 云服务 URL: {0} |
| [S003] FAS 已向云注册 [FAS ID: {0}] [事务 ID: {1}] |
| [S004] FAS 未能向云注册 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S005] FAS 已将其当前配置发送到云 [FAS ID: {0}] [事务 ID: {1}] |
| [S006] FAS 未能将其当前配置发送到云 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S007] FAS 已从云注销 [FAS ID: {0}] [事务 ID: {1}] |
| [S009] FAS 未能从云注销 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S010] FAS 服务已连接到云消息传递 URL: {0} |
| [S011] FAS 服务未连接到云 |
| [S012] FAS 服务可用于 Citrix Cloud 的单点登录 |
| [S013] FAS 服务不可用于 Citrix Cloud 的单点登录。[{0}] 更多详细信息可在管理控制台中找到 |
[S014] 对云服务 <service name> 的调用失败 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S015] 来自 Citrix Cloud 的消息被阻止,因为调用方不被允许 [消息 ID {0}] [事务 ID {1}] [调用方 {2}] |
[S016] 对云服务 <service name> 的调用成功 [FAS ID: {0}] [事务 ID: {1}] |
| [S019] FAS 已从云下载其配置 [FAS ID: {0}] [事务 ID: {1}] |
| [S020] FAS 未能从云下载其配置 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S021] 云支持模块未能启动。异常: {0} |
| [S022] 云支持模块正在停止 |
| [S023] 未能轮换 Citrix Cloud 授权密钥 [FAS ID: {0}] [当前密钥 ID:{1}] [新密钥 ID:{2}] [云中的密钥:{3}] |
| [S024] 正在启动 Citrix Cloud 授权密钥轮换 [FAS ID: {0}] [当前密钥 ID:{1}] [新密钥 ID:{2}] |
| [S025] 此服务的授权密钥存在于 Citrix Cloud 中 [当前密钥: {0}] [云中的密钥: {1}] |
| [S026] 此服务的授权密钥不存在于 Citrix Cloud 中 [当前密钥: {0}] [云中的密钥: {1}] |
| [S027] 已升级 Citrix Cloud 授权密钥存储格式 [FAS ID: {0}] |
登录 [VDA]
[事件源:Citrix.Authentication.IdentityAssertion]
这些事件在登录阶段记录在 VDA 上。
| 日志代码 |
|---|
| [S101] 身份断言登录失败。无法识别的联合身份验证服务 [ID: {0}] |
| [S102] 身份断言登录失败。无法查找 {0} 的 SID [异常:{1}{2}] |
| [S103] 身份断言登录失败。用户 {0} 的 SID 为 {1},预期 SID 为 {2} |
| [S104] 身份断言登录失败。无法连接到联合身份验证服务:{0} [错误:{1} {2}] |
| [S105] 身份断言登录。正在登录 [用户名:{0} 域:{1}] |
| [S106] 身份断言登录。 |
联合身份验证服务:{0}
| 正在登录 [证书:{1}] | |
| [S107] 身份断言登录失败。 [异常:{0}{1}] | |
| [S108] 身份断言子系统。访问被拒绝 [调用方:{0}] |
会话内证书 [VDA]
[事件源:Citrix.Authentication.IdentityAssertion]
当用户尝试使用会话内证书时,这些事件将记录在 VDA 上。
| 日志代码 |
|---|
| [S201] 虚拟智能卡访问由 [{0}] 授权,用于 [PID: {1} 程序名称: {2}证书指纹: {3}] |
| [S203] 虚拟智能卡子系统。访问被拒绝 [调用方:{0},会话 {1}] |
| [S204] 虚拟智能卡子系统。智能卡支持已禁用 |
证书请求和密钥对生成 [联合身份验证服务]
[事件源:Citrix.Fas.PkiCore]
当 FAS 服务器执行低级别加密操作时,将记录这些事件。
| 日志代码 |
|---|
| [S001] TrustArea::TrustArea: 已安装证书 [信任区域: {0} 证书 {1}TrustAreaJoinParameters {2}] |
| [S014] Pkcs10Request::Create: 已创建 PKCS10 请求 [可分辨名称 {0}] |
| [S016] PrivateKey::Create [标识符 {0}MachineWide: {1} 提供程序: {2} ProviderType: {3} 椭圆曲线: {4} 密钥长度: {5} 可导出: {6}] |
| [S017] PrivateKey::Delete [CspName: {0}, 标识符 {1}] |
| 日志代码 |
| [S104] MicrosoftCertificateAuthority::GetCredentials: 授权使用 {0} |
| [S105] MicrosoftCertificateAuthority::SubmitCertificateRequest 提交响应错误 [{0}] |
| [S106] MicrosoftCertificateAuthority::SubmitCertificateRequest 已颁发证书 [{0}] |
| [S112] MicrosoftCertificateAuthority::SubmitCertificateRequest - 等待批准 [CR_DISP_UNDER_SUBMISSION] [参考:{0}] |
最终用户错误消息
本节列出了在 Windows 登录页面上向用户显示的常见错误消息。
| 显示的错误消息 | 说明和参考 |
|---|---|
| 用户名或密码无效 | 计算机认为您拥有有效的证书和私钥,但 Kerberos 域控制器已拒绝连接。请参阅本文的“Kerberos 日志”部分。 |
| 系统无法将您登录。您的凭据无法验证。/ 不支持该请求 | 无法联系域控制器,或者域控制器未配置支持智能卡身份验证的证书。为域控制器注册“Kerberos 身份验证”、“域控制器身份验证”或“域控制器”证书。即使现有证书看起来有效,也值得尝试。 |
| 系统可能无法将您登录。用于身份验证的智能卡证书不受信任。 | 中间证书和根证书未安装在本地计算机上。请参阅证书和公钥基础结构。 |
| 错误请求 | 这通常表示证书上的扩展未正确设置,或者 RSA 密钥太短 (<2048 位>)。 |