Windows Hello for Business - Authentifizierungsprobleme wegen fehlendem Zertifikat im KDC

31.01.2020

Ein Kunde hatte Probleme bei der Einführung von Windows Hello for Business. Aufgrund der bestehenden Infrastruktur hatte sich der Kunde für das “Hybrid Azure AD joined Key Trust Deployment” entschieden und ist nach dem entsprechenden Deployment Guide von Microsoft vorgegangen https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-hybrid-key-trust. Soweit war auch alles in Ordnung, allerdings konnten sich die User nicht mit Windows Hello for Business (z.B. via PIN) anmelden. Bei den Clients sah man immer die folgenden Fehlermeldungen:

„Ihre Anmeldedaten konnten nicht verifiziert werden“
„Da hat etwas nicht geklappt, und ihre PIN ist nicht verfügbar (Status: 0xc00000bb, Unterstatus: 0x0). Klicken Sie hier, um Ihre PIN erneut einzurichten.“

Nachdem diverse mögliche Ursache auf dem Client ausgeschlossen werden konnten, sind wir im Event-Log auf dem Domain Controller über die folgende Meldung gestoßen:

Event ID 19
Source Microsoft-Windows-Kerberos-Key-Distribution-Center
Log System
Type Error
Message This event inidactes an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate



Ein entsprechendes Zertifikat mit passendem Template war vorhanden – aber irgendwo musste hier das Problem liegen, weshalb der Kerberos Key Distribution Center Dienst das Zertifikat nicht verwenden konnte.
Mit dem folgenden Befehl kann die Gültigkeit der Zertifikate überprüft werden:


certutil -dcinfo verify


Bei dem Test hat sich herausgestellt, dass es ein Problem mit den Sperrlisten gibt. Die Fehlermeldung lautete:

“ERROR: Verifying leaf certificate revocation status returned The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613) CertUtil: The revocation function was unable to check revocation because the revocation server was offline.”

In diesem Fall hat eine fehlerhafte Konfiguration der Certification Authority (CA) dazu geführt, dass die Base CRL von den Delta CRLs überschrieben wurden.
Nach Korrektur der CA-Konfiguration und einem neuen nrollment der Zertifikate war der “certutil” Check erfolgreich („…. Completed sucessfully“) und eine Anmeldung via Windows Hello for Business war dann möglich.