Kontakt

Windows Hello for Business – Authentifizierungsprobleme wegen fehlendem Zertifikat im KDC

windows hello la gi

Weitere Artikel

Zur Übersicht
In diesem Artikel.

Ein Kunde hatte Probleme bei der Einführung von Windows Hello for Business. Aufgrund der bestehenden Infrastruktur hatte sich der Kunde für das “Hybrid Azure AD joined Key Trust Deployment” entschieden und ist nach dem entsprechenden Deployment Guide von Microsoft vorgegangen https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-hybrid-key-trust. Soweit war auch alles in Ordnung, allerdings konnten sich die User nicht mit Windows Hello for Business (z.B. via PIN) anmelden. Bei den Clients sah man immer die folgenden Fehlermeldungen:

„Ihre Anmeldedaten konnten nicht verifiziert werden“
„Da hat etwas nicht geklappt, und ihre PIN ist nicht verfügbar (Status: 0xc00000bb, Unterstatus: 0x0). Klicken Sie hier, um Ihre PIN erneut einzurichten.“

Nachdem diverse mögliche Ursache auf dem Client ausgeschlossen werden konnten, sind wir im Event-Log auf dem Domain Controller über die folgende Meldung gestoßen:

Event ID19
SourceMicrosoft-Windows-Kerberos-Key-Distribution-Center
LogSystem
TypeError
MessageThis event inidactes an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate



Ein entsprechendes Zertifikat mit passendem Template war vorhanden – aber irgendwo musste hier das Problem liegen, weshalb der Kerberos Key Distribution Center Dienst das Zertifikat nicht verwenden konnte.
Mit dem folgenden Befehl kann die Gültigkeit der Zertifikate überprüft werden:


certutil -dcinfo verify


Bei dem Test hat sich herausgestellt, dass es ein Problem mit den Sperrlisten gibt. Die Fehlermeldung lautete:

“ERROR: Verifying leaf certificate revocation status returned The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613) CertUtil: The revocation function was unable to check revocation because the revocation server was offline.”

In diesem Fall hat eine fehlerhafte Konfiguration der Certification Authority (CA) dazu geführt, dass die Base CRL von den Delta CRLs überschrieben wurden.
Nach Korrektur der CA-Konfiguration und einem neuen nrollment der Zertifikate war der “certutil” Check erfolgreich („…. Completed sucessfully“) und eine Anmeldung via Windows Hello for Business war dann möglich.

Infohub

Bleiben Sie auf dem Laufenden.

Countdown LAS

Stichtag 15. April 2026: Umstellung auf den cloudb…

Wichtig: Citrix stellt Lizenzmodell zum 15. April 2026 um Ab dem 15. April 2026 verlieren file-basierte Lizenzen bei Citrix ihre...

Mehr erfahren
AI und digitale Souveränität

Wie Sie AI und digitale Souveränität 2026 umsetzen…

AI und digitale Souveränität sind 2026 zentrale Trendthemen, bei denen Unternehmen Innovationen rund um AI und Cloud nutzen wollen, ohne...

Mehr erfahren
Handlungsempfehllung Marktentwicklung Server-und Storagesysteme

Marktentwicklung bei Server- und Storage-Systemen

Der Markt für Server-, Storage- und RAM-Komponenten befindet sich aktuell in einer außergewöhnlichen Situation: Preise steigen, Verfügbarkeiten schwanken und Preisbindungen...

Mehr erfahren
SASE im Fokus, Vorstand Hans-Jörg Friedrich

SASE im Fokus

Klassische IT-Architekturen stoßen immer häufiger an ihre Grenzen. Verteilte Standorte, Cloud-Anwendungen, mobiles Arbeiten und steigende Cyberbedrohungen erhöhen die Komplexität erheblich....

Mehr erfahren
LAS und NetScaler Console Marko Klose

Neue Ansätze bei der Lizenzbereitstellung: Zentra…

Die Lizenzierung von NetScaler wird auf den cloudbasierten License Activation Service (LAS) umgestellt und ersetzt das bisherige dateibasierte Verfahren, weshalb...

Mehr erfahren

Ihr Draht zu uns

Sprechen Sie uns an.
Wir freuen uns auf Ihre Nachricht.

Marco Klose
Vorstand
+49 89 2000 669-10
vertrieb@if-tech.de

*“ zeigt erforderliche Felder an

Einwilligung*