解决 Windows 登录问题
本文介绍了当用户使用证书或智能卡(或两者)登录时 Windows 提供的日志和错误消息。这些日志提供了可用于排查身份验证失败的信息。
-
证书和公钥基础结构
-
Windows Active Directory 维护多个证书存储,用于管理登录用户的证书。
-
NTAuth 证书存储:要向 Windows 进行身份验证,直接颁发用户证书(即不支持链式颁发)的证书颁发机构必须放置在 NTAuth 存储中。要查看这些证书,请在 certutil 程序中输入:
certutil –viewstore –enterprise NTAuth - 根证书和中间证书存储:通常,证书登录系统只能提供单个证书,因此如果使用证书链,则所有计算机上的中间证书存储都必须包含这些证书。根证书必须位于受信任的根存储中,倒数第二个证书必须位于 NTAuth 存储中。
- 登录证书扩展和组策略:Windows 可以配置为强制验证 EKU 和其他证书策略。请参阅 Microsoft 文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff404287(v=ws.10)。
| Registry policy | Description |
|---|---|
| AllowCertificatesWithNoEKU | 禁用时,证书必须包含智能卡登录扩展密钥用法 (EKU)。 |
-
AllowSignatureOnlyKeys 默认情况下,Windows 会筛选掉不允许 RSA 解密的证书私钥。此选项会覆盖该筛选器。 AllowTimeInvalidCertificates 默认情况下,Windows 会筛选掉已过期的证书。此选项会覆盖该筛选器。 EnumerateECCCerts 启用椭圆曲线身份验证。 X509HintsNeeded 如果证书不包含唯一的用户主体名称 (UPN),或者不明确,此选项允许用户手动指定其 Windows 登录帐户。 UseCachedCRLOnlyAnd, IgnoreRevocationUnknownErrors 禁用吊销检查(在域控制器上设置)。 - 域控制器证书:要对 Kerberos 连接进行身份验证,所有服务器都必须具有相应的“域控制器”证书。可以使用“本地计算机证书个人存储”MMC 管理单元菜单请求这些证书。
UPN 名称和证书映射
建议用户证书在主题备用名称扩展中包含唯一的用户主体名称 (UPN)。
Active Directory 中的 UPN 名称
默认情况下,Active Directory 中的每个用户都具有基于模式 <samUsername>@<domainNetBios> 和 <samUsername>@<domainFQDN> 的隐式 UPN。可用域和 FQDN 包含在林的 RootDSE 条目中。单个域可以在 RootDSE 中注册多个 FQDN 地址。
此外,Active Directory 中的每个用户都具有显式 UPN 和 altUserPrincipalNames。这些是指定用户 UPN 的 LDAP 条目。
当通过 UPN 搜索用户时,Windows 首先在当前域(基于查找 UPN 的进程的标识)中查找显式 UPN,然后查找备用 UPN。如果没有匹配项,它会查找隐式 UPN,这可能会解析到林中的不同域。
证书映射服务
如果证书不包含显式 UPN,Active Directory 可以选择在“x509certificate”属性中为每个用途存储一个精确的公共证书。要将此类证书解析为用户,计算机可以直接查询此属性(默认情况下,在单个域中)。
提供了一个选项,允许用户指定一个用户帐户,以加快此搜索速度,并允许在跨域环境中使用此功能。
如果林中有多个域,并且用户未显式指定域,则 Active Directory rootDSE 会指定证书映射服务的位置。该服务位于全局编录计算机上,并具有林中所有 x509certificate 属性的缓存视图。此计算机可用于仅基于证书高效地查找任何域中的用户帐户。
控制域控制器选择上的日志
当环境中包含多个域控制器时,查看和限制用于身份验证的域控制器,以便启用和检索日志,这会很有用。
控制域控制器选择
要强制 Windows 使用特定的 Windows 域控制器进行登录,您可以通过配置 lmhosts 文件(位于 \Windows\System32\drivers\etc\lmhosts)来显式设置 Windows 计算机使用的域控制器列表。
该位置通常有一个名为 “lmhosts.sam” 的示例文件。只需包含一行:
1.2.3.4 dcnetbiosname #PRE #DOM:mydomai
其中 “1.2.3.4” 是 mydomain 域中名为 dcnetbiosname 的域控制器的 IP 地址。
重新启动后,Windows 计算机将使用该信息登录到 mydomain。调试完成后,必须还原此配置。
识别正在使用的域控制器
登录时,Windows 会设置一个 MSDOS 环境变量,其中包含登录用户的域控制器。要查看此信息,请使用命令 echo %LOGONSERVER% 启动命令提示符。
与身份验证相关的日志存储在此命令返回的计算机上。
启用帐户审核事件
默认情况下,Windows 域控制器不会启用完整的帐户审核日志。这可以通过组策略编辑器中安全设置中的审核策略进行控制。要打开组策略编辑器,请在域控制器上运行 gpedit.msc。启用审核策略后,域控制器会在安全日志中生成额外的事件日志信息。
证书验证日志
检查证书有效性
- 如果智能卡证书导出为 DER 证书(无需私钥),您可以使用命令 certutil –verify user.cer 对其进行验证。
- ### 启用 CAPI 日志记录
在域控制器和用户计算机上,打开事件查看器并为 Microsoft/Windows/CAPI2/Operational Logs 启用日志记录。
-
在域控制器和 VDA 计算机上,打开事件查看器并导航到 应用程序和服务日志 > Microsoft > Windows > CAPI2 > 操作。右键单击 操作 并选择 启用日志。
-
此外,可以通过以下注册表值微调 CAPI 日志记录:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32。以下值默认不存在。您必须创建它们。如果要恢复为默认 CAPI2 日志记录设置,请删除这些值。
| 值 | 描述 |
|---|---|
| DiagLevel (DWORD) | 详细级别(0 到 5) |
| DiagMatchAnyMask (QUADWORD) | 事件筛选器(全部使用 0xffffff) |
| DiagProcessName (MULTI_SZ) | 按进程名称筛选(例如,LSASS.exe) |
CAPI 日志
| 消息 | 描述 |
|---|---|
| 构建链 | LSA 调用 CertGetCertificateChain(包含结果) |
| 验证吊销 | LSA 调用 CertVerifyRevocation(包含结果) |
| X509 对象 | 在详细模式下,证书和证书吊销列表 (CRL) 将转储到 AppData\LocalLow\Microsoft\X509Objects |
| 验证链策略 | LSA 调用 CertVerifyChainPolicy(包含参数) |
错误消息
| 错误代码 | 描述 |
|---|---|
| 证书不受信任 | 无法使用计算机的中间和受信任的根证书存储中的证书构建智能卡证书。 |
| 证书吊销检查错误 | 无法从证书 CRL 分发点指定的地址下载智能卡的 CRL。如果强制执行吊销检查,这将阻止登录成功。请参阅证书和公钥基础结构部分。 |
| 证书使用错误 | 该证书不适用于登录。例如,它可能是服务器证书或签名证书。 |
Kerberos 日志
要在域控制器和最终用户计算机上启用 Kerberos 日志记录,请创建以下注册表值:
| 配置单元 | 值名称 | 值 [DWORD] |
|---|---|---|
| CurrentControlSet\Control\Lsa\Kerberos\Parameters | LogLevel | 0x1 |
| CurrentControlSet\Control\Lsa\Kerberos\Parameters | KerbDebuglevel | 0xffffffff |
| CurrentControlSet\Services\Kdc | KdcDebugLevel | 0x1 |
| CurrentControlSet\Services\Kdc | KdcExtraLogLevel | 0x1f |
Kerberos 日志记录输出到系统事件日志。
- 不受信任的证书等消息必须易于诊断。
- 两个错误代码是信息性的,可以安全地忽略:
- KDC_ERR_PREAUTH_REQUIRED(用于与旧版域控制器向后兼容)
- 未知错误 0x4b
域控制器和工作站日志
本节介绍用户使用证书登录时域控制器和工作站上预期的日志条目。
- 域控制器 CAPI2 日志
- 域控制器安全日志
- Virtual Delivery Agent (VDA) 安全日志
- VDA CAPI 日志
- VDA 系统日志
域控制器 CAPI2 日志
在登录期间,域控制器验证调用者的证书,并生成以下形式的日志条目序列。
最终的事件日志消息显示域控制器上的 lsass.exe 根据 VDA 提供的证书构建了一个链,并验证其有效性(包括吊销)。结果返回为“ERROR_SUCCESS”。
域控制器安全日志
域控制器显示一系列登录事件,其中关键事件是 4768,在该事件中,证书用于颁发 Kerberos 票证授予票证 (krbtgt)。
此前的消息显示服务器的计算机帐户正在向域控制器进行身份验证。此后的消息显示属于新 krbtgt 的用户帐户正在用于向域控制器进行身份验证。
VDA 安全日志
与登录事件对应的 VDA 安全审核日志是事件 ID 为 4648 的条目,源自 winlogon.exe。
VDA CAPI 日志
此示例 VDA CAPI 日志显示了来自 lsass.exe 的单个链构建和验证序列,用于验证域控制器证书 (dc.citrixtest.net)。
VDA 系统日志
启用 Kerberos 日志记录后,系统日志会显示错误 KDC_ERR_PREAUTH_REQUIRED(可以忽略),以及来自 Windows 登录的条目,显示 Kerberos 登录成功。
使用 Windows 事件日志监视 FAS
所有 FAS 事件都写入 Windows 应用程序事件日志。您可以使用 System Center Operations Manager (SCOM) 等产品,利用此处描述的进程和事件来监视 FAS 服务的运行状况。
FAS 服务是否正在运行
要确定 FAS 服务是否正在运行,请监视进程 Citrix.Authentication.FederatedAuthenticationService.exe。
本节仅介绍用于监视 FAS 服务的事件。有关 FAS 事件代码的完整列表,请参阅FAS 事件日志。
FAS 运行状况事件
以下事件显示 FAS 服务的运行状况。
事件源为 Citrix.Authentication.FederatedAuthenticationService。
| 事件 | 事件文本 | 说明 | 备注 |
|---|---|---|---|
| [S003] | 管理员 [{0}] 将维护模式设置为 [{1}] | FAS 服务已进入或退出维护模式。 | 在维护模式下,FAS 服务器无法用于单点登录。 |
| [S022] | 管理员 [{0}] 将维护模式设置为“关” | FAS 服务已退出维护模式。 | 适用于 FAS 10.7 / Citrix Virtual Apps and Desktops 2109 及更高版本。 |
| [S023] | 管理员 [{0}] 将维护模式设置为“开” | FAS 服务已进入维护模式。 | 适用于 FAS 10.7 / Citrix Virtual Apps and Desktops 2109 及更高版本。 |
| [S123] | 未能为任何 CA 颁发证书,适用于 [upn: {0} 角色: {1}] [异常: {2}] | 如果 FAS 配置的任何 CA 都未能成功颁发用户证书,则此事件会在 [S124] 之后发生。该用户将无法进行单点登录。 | 此事件表示所有配置的 CA 均无法正常工作。如果 FAS 配置为使用 HSM,则也可能表示 HSM 无法正常工作。 |
| [S124] | 未能为 [upn: {0} 角色: {1}] 在 [证书颁发机构: {2}] 颁发证书 [异常: {3}] | 当 FAS 尝试从给定 CA 请求用户证书时发生故障。如果 FAS 配置了多个 CA,FAS 将尝试向另一个 CA 请求。 | 此事件可能表示 CA 无法正常工作或无法联系。如果 FAS 配置为使用 HSM,则也可能表示 HSM 无法正常工作。此异常可用于帮助识别问题原因。 |
| [S413] | 授权证书即将过期(剩余 {0} 天)。证书详细信息: {1} | 当 FAS 授权证书即将过期时,会定期生成此事件。默认情况下,如果授权证书在 30 天内过期,则每天生成此事件。 | 可以使用 cmdlet Set-FasRaCertificateMonitor 调整默认设置;请参阅 PowerShell cmdlet。 |
| [S414] | 授权证书已过期。证书详细信息: {0} | 当 FAS 授权证书已过期时,会定期生成此事件。默认情况下,每天生成此事件。 | 一旦过期,FAS 将无法生成新的用户证书,并且单点登录将开始失败。 |
云连接的 FAS 事件
如果您将 FAS 与 Citrix Cloud™ 结合使用,以下事件显示 FAS 服务的运行状况。
事件源为 Citrix.Fas.Cloud。
| 事件 | 事件文本 | 说明 | 备注 |
|---|---|---|---|
| [S012] | FAS 服务可用于从 Citrix Cloud 进行单点登录 | 此事件表示从 Workspace(即 Citrix Cloud)进行的单点登录应正常工作。 | 在发出此事件之前,FAS 会检查 (1) 是否已配置,(2) 是否未处于维护模式,以及 (3) 是否已连接到 Citrix Cloud。 |
| [S013] | FAS 服务无法用于从 Citrix Cloud 进行单点登录。[{0}] 更多详细信息可在管理控制台中找到。 | 此事件表示 FAS 无法从 Workspace(即 Citrix Cloud)提供单点登录。该消息包含单点登录无法工作的原因。 | FAS 维护与 Citrix Cloud 的持久连接。此连接有时可能会因各种原因(例如网络故障或代理服务器上的连接生存期策略)而终止。发生这种情况时,事件文本将包含“服务未连接到云”。这是正常行为,FAS 会立即尝试重新建立与 Citrix Cloud 的连接。 |
安全事件
以下事件表示未经授权的实体尝试使用 FAS。
事件源为 Citrix.Authentication.FederatedAuthenticationService。
| 事件 | 事件文本 | 说明 |
|---|---|---|
| [S001] | 访问被拒绝: 用户 [{0}] 不是 Administrators 组的成员 | 尝试查看或更改 FAS 配置,但调用者不是 FAS 管理员。 |
| [S002] | 访问被拒绝: 用户 [{0}] 不是角色 [{1}] 的管理员 | 尝试查看或更改 FAS 规则的配置,但调用者不是 FAS 管理员。 |
| [S101] | 服务器 [{0}] 无权在角色 [{1}] 中声明身份 | 尝试声明用户身份,但调用者无权这样做。只有在 FAS 规则配置中已获得许可的 StoreFront™ 服务器(如果适用,还包括 Workspace)才允许声明用户身份。 |
| [S104] | 服务器 [{0}] 未能声明 UPN [{1}](UPN 不允许通过规则 [{2}]) | 尝试声明用户身份,但根据 FAS 规则配置,不允许该用户的帐户。 |
| [S205] | 信赖方访问被拒绝 - 调用帐户 [{0}] 不是规则 [{1}] 的允许信赖方 | VDA 尝试使用 FAS 执行单点登录,但根据 FAS 规则配置,不允许该 VDA。 |
FAS 事件日志
以下表格列出了 FAS 生成的事件日志条目。
管理事件 [Federated Authentication Service]
[事件源: Citrix.Authentication.FederatedAuthenticationService]
这些事件是为响应 FAS 服务器中的配置更改而记录的。
| 日志代码 |
|---|
| [S001] 访问被拒绝: 用户 [{0}] 不是 Administrators 组的成员 |
| [S002] 访问被拒绝: 用户 [{0}] 不是角色 [{1}] 的管理员 |
| [S003] 管理员 [{0}] 将维护模式设置为 [{1}] |
| [S004] 管理员 [{0}] 使用模板 [{2} 和 {3}] 从 CA [{1}] 请求授权证书 |
| [S005] 管理员 [{0}] 删除 FAS 授权 [RA 证书 ID: {1}] |
| [S006] 管理员 [{0}] 创建证书定义 [{1}] |
| [S007] 管理员 [{0}] 更新证书定义 [{1}] |
| [S008] 管理员 [{0}] 删除证书定义 [{1}] |
| [S009] 管理员 [{0}] 创建规则 [{1}] |
| [S010] 管理员 [{0}] 更新规则 [{1}] |
| [S011] 管理员 [{0}] 删除规则 [{1}] |
| [S012] 管理员 [{0}] 创建证书 [upn: {1} sid: {2} 规则: {3}]证书定义: {4} 安全上下文: {5}] |
| [S013] 管理员 [{0}] 删除证书 [upn: {1} 角色: {2} 证书定义: {3} 安全上下文: {4}] |
| [S015] 管理员 [{0}] 创建证书请求 [TPM: {1}] |
| [S016] 管理员 [{0}] 导入授权证书 [引用: {1}] |
| [S022] 管理员 [{0}] 将维护模式设置为“关” |
| [S023] 管理员 [{0}] 将维护模式设置为“开” |
| [S024] 管理员 [{0}] 设置系统运行状况监视器 |
| [S025] 管理员 [{0}] 设置系统运行状况监视器 |
| [S026] 管理员 [{0}] 设置 RA 证书监视器 |
| [S027] 管理员 [{0}] 重置 RA 证书监视器 |
| [S028] 管理员 [{0}] 将 [{1}] 证书的密钥配置设置为 [{2}] |
| [S029] 管理员 [{0}] 将 [{1}] 证书的密钥配置重置为默认值 [{2}] |
| [S030] 管理员 [{0}] 将服务属性设置为 [{1}] |
| [S031] 管理员 [{0}] 正在取消授权 CA [RA 证书 ID: {1}] |
| [S050] 管理员 [{0}] 正在创建云配置:[{1}] |
| [S051] 管理员 [{0}] 正在更新云配置:[{1}] |
| [S052] 管理员 [{0}] 正在删除云配置 |
| [S060] 管理员 [{0}] 正在请求云注册。实例: {1} |
| [S060] 管理员 [{0}] 正在请求直接信任云注册。实例: {1} 云服务 URL 格式: {2} |
| [S061] 管理员 [{0}] 正在完成云注册。资源位置: {1},规则名称: {2} |
| [S062] 管理员 [{0}] 已完成云注册。资源位置: {1} ({2}),规则名称: {3},客户: {4} ({5}) |
| [S063] 在云注册期间发生 KRS 错误。异常为 {0} |
| [S064] 在云注册期间发生未知错误。异常为 {0} |
| [S065] 管理员 [{0}] 正在请求直接信任云注册。实例: {1} 云服务 URL 格式: {2} |
| 日志代码 |
| [S401] 正在执行配置升级 - [从版本 {0} 到版本 {1}] |
| [S402] 错误:Citrix Federated Authentication Service 必须以 Network Service 身份运行 [当前运行身份为: {0}] |
| [S404] 正在强制擦除 Citrix Federated Authentication Service 数据库 |
| [S405] 在将数据从注册表迁移到数据库时发生错误:[{0}] |
| [S406] 数据从注册表到数据库的迁移已完成 (注意: 用户证书未迁移) |
| [S407] 基于注册表的数据未迁移到数据库,因为数据库已存在 |
| [S408] 无法降级配置 – [从版本 {0} 到版本 {1}] |
| [S409] 线程池配置成功 - MinThreads 已从 [工作线程: {0} 完成: {1}] 调整为: [工作线程: {2} 完成: {3}] |
| [S410] 线程池配置失败 - 未能将 MinThreads 从 [工作线程: {0} 完成: {1}] 调整为: [工作线程: {2} 完成: {3}];这可能会影响 FAS 服务器的可伸缩性 |
| [S411] 启动 FAS 服务时出错:[{0}] |
| [S412] 配置升级完成 – [从版本 {0} 到版本 {1}] |
| [S413] 授权证书即将过期 (剩余 {0} 天)。证书详细信息: {1} |
| [S414] 授权证书已过期。证书详细信息: {0} |
| [S415] 授权证书检查已完成。已记录 {0} 个问题。下次检查将在 {1} 后进行 |
创建身份断言 [Federated Authentication Service]
[事件源: Citrix.Authentication.FederatedAuthenticationService]
当受信任的服务器断言用户登录时,这些事件会在 FAS 服务器上运行时记录。
| 日志代码 |
|---|
| [S101] 服务器 [{0}] 无权在角色 [{1}] 中断言身份 |
| [S102] 服务器 [{0}] 未能断言 UPN [{1}](异常: {2}{3}) |
| [S103] 服务器 [{0}] 请求了 UPN [{1}] SID {2},但查找返回了 SID {3} |
| [S104] 服务器 [{0}] 未能断言 UPN [{1}](规则 [{2}] 不允许使用 UPN) |
| [S105] 服务器 [{0}] 发布了身份断言 [upn: {1}, 角色 {2}, 安全上下文: [{3}]] |
| [S120] 正在向 [upn: {0} 角色: {1} 安全上下文: [{2}]] 颁发证书 |
| [S121] 证书已由 [证书颁发机构: {2}] 颁发给 [upn: {0} 角色: {1}] |
| [S122] 警告: 服务器过载 [upn: {0} 角色: {1}][每分钟请求数 {2}]。 |
| [S123] 未能为 [upn: {0} 角色: {1}] 在任何 CA 颁发证书 [异常: {2}] |
| [S124] 未能为 [upn: {0} 角色: {1}] 在 [证书颁发机构: {2}] 颁发证书 [异常: {3}] |
| [S125] 等待挂起的证书请求完成的调用在 {0} 秒后超时 [upn: {1} 角色: {2} 安全上下文: [{3}]] |
| [S126] 服务器 [{0}] 尝试使用未定义的规则 [{1}] 断言身份 |
| [S127] FAS 无法为 [upn: {0} 角色: {1} 定义: {2}] 请求证书,因为服务器处于维护模式;请使用 PowerShell cmdlet Set-FasServer 在维护模式下更改行为 |
作为信赖方 [Federated Authentication Service]
[事件源: Citrix.Authentication.FederatedAuthenticationService]
当 VDA 登录用户时,这些事件会在 FAS 服务器上运行时记录。
| 日志代码 |
|---|
| [S201] 信赖方 [{0}] 无权访问密码。 |
| [S202] 信赖方 [{0}] 无权访问证书。 |
| [S203] 信赖方 [{0}] 无权访问登录提供程序 |
| [S204] 信赖方 [{0}] 正在访问 [upn: {1}] 的登录提供程序,角色为: [{2}] [操作: {3}],由 [{4}] 授权 |
| [S205] 信赖方访问被拒绝 - 调用帐户 [{0}] 不是规则 [{1}] 允许的信赖方 |
| [S206] 调用帐户 [{0}] 不是信赖方 |
| [S208] 私钥操作失败 [操作: {0} upn: {1} 角色: {2} certificateDefinition {3} 错误 {4} {5}]。 |
| [S209] 未找到缓存的证书。 [调用方: {0}] [upn: {1}] [角色: {2}] [证书定义: {3}] [操作: {4}] |
会话内证书服务器 [Federated Authentication Service]
[事件源: Citrix.Authentication.FederatedAuthenticationService]
当用户使用会话内证书时,这些事件会在 FAS 服务器上记录。
-
日志代码 -
[S301] 访问被拒绝: 用户 [{0}] 无权访问虚拟智能卡 [S302] 用户 [{0}] 请求了未知的虚拟智能卡 [指纹: {1}] [S303] 访问被拒绝: 用户 [{0}] 与虚拟智能卡不匹配 [upn: {1}] [S304] 用户 [{0}] 正在计算机 [{2}] 上运行程序 [{1}],使用虚拟智能卡 [upn: {3} 角色: {4} 指纹: {5}] 进行私钥操作 [{6}] [S305] 私钥操作失败 [操作: {0}] [upn: {1} 角色: {2} containerName {3} 错误 {4} {5}]。
FAS 断言插件 [Federated Authentication Service]
[事件源: Citrix.Authentication.FederatedAuthenticationService]
这些事件由 FAS 断言插件记录。
| 日志代码 |
|---|
| [S500] 未配置 FAS 断言插件 |
| [S501] 无法加载配置的 FAS 断言插件 [异常:{0}] |
| [S502] FAS 断言插件已加载 [pluginId={0}] [assembly={1}] [location={2}] |
-
[S503] 服务器 [{0}] 未能断言 UPN [{1}](提供了登录凭据,但插件 [{2}] 不支持) -
[S504] 服务器 [{0}] 未能断言 UPN [{1}](提供了登录凭据,但没有配置 FAS 插件) -
[S505] 服务器 [{0}] 未能断言 UPN [{1}](插件 [{2}] 拒绝了登录凭据,状态为 [{3}],消息为 [{4}]) -
[S506] 插件 [{0}] 接受了来自服务器 [{1}] 的 UPN [{2}] 的登录凭据,消息为 [{3}] -
[S507] 服务器 [{0}] 未能断言 UPN [{1}](插件 [{2}] 在方法 [{4}] 期间抛出异常 [{3}]) [S507] 服务器 [{0}] 未能断言 UPN [{1}](插件 [{2}] 抛出异常 [{3}]) [S508] 服务器 [{0}] 未能断言 UPN [{1}](提供了访问处置,但插件 [{2}] 不支持) [S509] 服务器 [{0}] 未能断言 UPN [{1}](提供了访问处置,但没有配置 FAS 插件) [S510] 服务器 [{0}] 未能断言 UPN [{1}](插件 [{2}] 认为访问处置无效)
启用 Workspace 的 FAS [Federated Authentication Service]
[事件源: Citrix.Fas.Cloud]
当 FAS 与 Workspace 结合使用时,会记录这些事件。
| 日志代码 |
|---|
| [S001] 轮换了 Citrix Cloud 授权密钥 [FAS ID: {0}] [旧密钥 ID:{1}] [新密钥 ID:{2}] |
| [S002] 云支持模块正在启动。FasHub 云服务 URL: {0} |
| [S003] FAS 已向云注册 [FAS ID: {0}] [事务 ID: {1}] |
| [S004] FAS 未能向云注册 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S005] FAS 已将其当前配置发送到云 [FAS ID: {0}] [事务 ID: {1}] |
| [S006] FAS 未能将其当前配置发送到云 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S007] FAS 已从云注销 [FAS ID: {0}] [事务 ID: {1}] |
| [S009] FAS 未能从云注销 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S010] FAS 服务已连接到云消息传递 URL: {0} |
| [S011] FAS 服务未连接到云 |
| [S012] FAS 服务可用于 Citrix Cloud 的单点登录 |
| [S013] FAS 服务不可用于 Citrix Cloud 的单点登录。[{0}] 更多详细信息可在管理控制台中找到 |
[S014] 对云服务 <service name> 的调用失败 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S015] 来自 Citrix Cloud 的消息被阻止,因为调用方未获授权 [消息 ID {0}] [事务 ID {1}] [调用方 {2}] |
[S016] 对云服务 <service name> 的调用成功 [FAS ID: {0}] [事务 ID: {1}] |
| [S019] FAS 从云端下载了其配置 [FAS ID: {0}] [事务 ID: {1}] |
| [S020] FAS 未能从云端下载其配置 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
| [S021] 云支持模块未能启动。异常: {0} |
| [S022] 云支持模块正在停止 |
| [S023] 未能轮换 Citrix Cloud 授权密钥 [FAS ID: {0}] [当前密钥 ID: {1}] [新密钥 ID: {2}] [云中的密钥: {3}] |
| [S024] 正在启动 Citrix Cloud 授权密钥的轮换 [FAS ID: {0}] [当前密钥 ID: {1}] [新密钥 ID: {2}] |
| [S025] 此服务的授权密钥存在于 Citrix Cloud 中 [当前密钥: {0}] [云中的密钥: {1}] |
| [S026] 此服务的授权密钥不存在于 Citrix Cloud 中 [当前密钥: {0}] [云中的密钥: {1}] |
| [S027] 已升级 Citrix Cloud 授权密钥存储格式 [FAS ID: {0}] |
| [S028] FAS 已将其当前遥测数据发送到云端 [FAS ID: {0}] [事务 ID: {1}] |
| [S029] FAS 未能将其当前遥测数据发送到云端 [FAS ID: {0}] [事务 ID: {1}] [异常: {2}] |
登录 [VDA]
[Event Source: Citrix.Authentication.IdentityAssertion]
这些事件在登录阶段记录在 VDA 上。
| 日志代码 |
|---|
| [S101] 身份断言登录失败。无法识别的联合身份验证服务 GPO 索引 [索引: {0}] [注册表名称: {1}] |
| [S102] 身份断言登录失败。{0} 的 SID 查找失败 [异常: {1}{2}] |
| [S103] 身份断言登录失败。用户 {0} 的 SID 为 {1},但预期 SID 为 {2} |
| [S104] 身份断言登录失败。调用 {0} 返回 [错误: {1} {2}] |
| [S105] 身份断言登录。正在登录 [用户名: {0} 域: {1}] |
| [S106] 身份断言登录。\n\n联合身份验证服务: {0}\n\n正在登录 [证书: {1}] |
| [S107] 身份断言登录失败。 [异常: {0}{1}] |
| [S108] 身份断言子系统。ACCESS_DENIED [调用方: {0}] |
会话内证书 [VDA]
[Event Source: Citrix.Authentication.IdentityAssertion]
当用户尝试使用会话内证书时,这些事件会记录在 VDA 上。
| 日志代码 |
|---|
| [S201] 虚拟智能卡访问已由 [{0}] 授权,用于 [PID: {1} 程序名称: {2} 证书指纹: {3}] |
| [S203] 虚拟智能卡子系统。访问被拒绝 [调用方: {0}, 会话 {1}] |
| [S204] 虚拟智能卡子系统。智能卡支持已禁用 |
证书请求和密钥对生成 [Federated Authentication Service]
[Event Source: Citrix.Fas.PkiCore]
当 FAS 服务器执行低级别加密操作时,会记录这些事件。
| 日志代码 |
|---|
| [S001] TrustArea::TrustArea: 已安装证书 [信任区域: {0} 证书 {1} 信任区域加入参数 {2}] |
| [S014] Pkcs10Request::Create: 已创建 PKCS10 请求 [可分辨名称: {0}] [原因: {1}] |
| [S016] PrivateKey::Create [标识符: {0}] [计算机范围: {1}] [提供程序: {2}] [提供程序类型: {3}] [椭圆曲线: {4}] [密钥长度: {5}] [可导出: {6}] [创建原因: {7}] |
| [S017] PrivateKey::Delete [提供程序: {0}] [标识符 {1}] [孪生: {2}] |
| [S018] PrivateKey::Create 失败 [标识符: {0}] [计算机范围: {1}] [提供程序: {2}] [提供程序类型: {3}] [椭圆曲线: {4}] [密钥长度: {5}] [可导出: {6}] [创建原因: {7}] [异常: {8}] |
| 日志代码 |
| [S104] FAS 从 CA {0} 接收到授权证书 |
| [S105] MicrosoftCertificateAuthority::SubmitCertificateRequest 错误提交响应 [{0}] |
| [S106] MicrosoftCertificateAuthority::SubmitCertificateRequest 已颁发证书 [{0}] |
| [S112] MicrosoftCertificateAuthority::SubmitCertificateRequest - 等待批准 [CR_DISP_UNDER_SUBMISSION] [参考: {0}] |
最终用户错误消息
本节列出了在 Windows 登录页面上向用户显示的常见错误消息。
| 显示的错误消息 | 描述和参考 |
|---|---|
| 用户名或密码无效 | 计算机认为您拥有有效的证书和私钥,但 Kerberos 域控制器拒绝了连接。请参阅本文的 Kerberos 日志 部分。 |
| 系统无法登录您。无法验证您的凭据。/ 请求不受支持 | 无法联系域控制器,或者域控制器未配置支持智能卡身份验证的证书。为域控制器注册“Kerberos 身份验证”、“域控制器身份验证”或“域控制器”证书。即使现有证书看起来有效,也值得尝试。 |
| 系统无法登录您。用于身份验证的智能卡证书不受信任。 | 中间证书和根证书未安装在本地计算机上。请参阅 证书和公钥基础结构。 |
| 错误请求 | 这通常表示证书上的扩展未正确设置,或者 RSA 密钥太短(小于 2048 位)。 |
FAS 始终开启跟踪
通过始终开启跟踪,FAS 会将其活动记录到文件系统。这有助于故障排除,并可能消除重现已发生事件的需要。
当您使用以下任何方法安装或升级 FAS 时,会启用始终开启跟踪:
- Citrix Virtual Apps and Desktops™ 安装程序:插入 ISO 时,在自动运行启动屏幕上通过Federated Authentication Service按钮
-
XenDesktopFasSetup.exe:位于 Citrix Virtual Apps and Desktops ISO 的x64\XenDesktop Setup\XenDesktopFasSetup.exe -
FasSetup_xxxx.exe:独立的 FAS 安装程序文件,可从 Citrix 下载 获取。
注意:
如果您使用 FAS 安装程序 MSI 文件
FederatedAuthenticationService_x64.msi进行安装或升级,则始终开启的跟踪不可用。
收集始终开启的跟踪
使用 Citrix Scout 从您的 FAS 服务器收集始终开启的跟踪和其他诊断数据。使用上述任何方法安装 FAS 时,都会安装 Citrix Scout。
禁用始终开启的跟踪
如果您出于任何原因希望禁用始终开启的跟踪,请停止并禁用 FAS 服务器上的 Citrix Telemetry Service。
将始终开启的跟踪发送到中央日志记录服务器
在 FAS 服务器上运行以下 PowerShell 命令,配置 FAS 以将始终开启的跟踪发送到中央日志记录服务器:
Enable-CitrixAOTUpload -AotDataStoreEndpoint <server address>:<server port> -Role FAS
<!--NeedCopy-->
在 FAS 服务器上运行以下 PowerShell 命令,禁用中央日志记录服务器的使用:
Disable-CitrixAOTUpload
<!--NeedCopy-->