作成 2011.05.18
更新 2011.05.18
Kerberos-Key-Distribution-Center Event:29 の対処
目次
原因
対処の必要性
対策
証明機関のインストール
Default Domain Controllers Policy の追加設定
手動で登録する場合
ログの名前 ソース イベント ID レベル
システム Kerberos-Key-Distribution-Center 29 警告
スマート カード ログオンに使用できる適切な証明書をキー配布センター (KDC) が検出できなかったか、KDC 証明書を確認できませんでした。この問題が解決しない場合、スマート カード ログオンが正しく機能しない可能性があります。この問題を解決するには、certutil.exe を使用して既存の KDC 証明書を確認するか、新しい KDC 証明書を登録してください。
原因
ドメイン コントローラーが所有している証明書に "スマート カード ログオン" のアプリケーション ポリシーを保有しているものが無いためです。
certutil -dcinfo verify で確認します。
正しくインストールされている場合は、以下のような実行結果になります。
この実行例では 3 つの証明書を保持しておりそれぞれ
  • エンタープライズ ルート証明書
    "sample-SAMPLE-DC1-CA"
  • sample-dc1.sample.lan の KDC 証明書
    用途はディレクトリ サービス電子メール レプリケーション
  • sample-dc1.sample.lan の KDC 証明書
    用途はクライアント認証,サーバー認証,スマート カード ログオン
となっています。
C:\Users\Administrator>certutil -dcinfo verify
0: SAMPLE-DC1

*** DC[0] のテスト中: SAMPLE-DC1
** DC SAMPLE-DC1 のエンタープライズ ルート証明書
証明書 0:
シリアル番号: 2f8b14720901edb1457421322993acd0
発行者: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
 この日以降: 2011/05/18 6:11
 この日以前: 2016/05/18 6:21
サブジェクト: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
CA バージョン: V0.0
署名は公開キーと一致します
ルート証明書: サブジェクトと発行者は一致します
テンプレート:
Cert ハッシュ(sha1): 2b f4 5c 62 b2 f8 3f 88 f2 94 69 f0 e7 db 54 09 31 70 6e 7f


** DC SAMPLE-DC1 の KDC 証明書
証明書 0:
シリアル番号: 61119037000000000002
発行者: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
 この日以降: 2011/05/18 6:24
 この日以前: 2012/05/17 6:24
サブジェクト: なし (Other Name:DS オブジェクト Guid=04 10 34 50 67 86 5f 3b d5 4
2 87 b4 13 96 87 1b 86 c1, DNS Name=sample-dc1.sample.lan)
非ルート証明書
テンプレート: DirectoryEmailReplication, ディレクトリ電子メール レプリケーション

Cert ハッシュ(sha1): 21 21 22 56 03 85 4f 12 d7 b0 df ce 8b a0 ac 43 cc 13 8e 9d


dwFlags = CA_VERIFY_FLAGS_NT_AUTH (0x10)
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
Application[0] = 1.3.6.1.4.1.311.21.19 ディレクトリ サービス電子メール レプリケ
ーション
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_NT_AUTH
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 33 Minutes, 41 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 33 Minutes, 41 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
  Issuer: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
  NotBefore: 2011/05/18 6:24
  NotAfter: 2012/05/17 6:24
  Subject:
  Serial: 61119037000000000002
  SubjectAltName: Other Name:DS オブジェクト Guid=04 10 34 50 67 86 5f 3b d5 42
87 b4 13 96 87 1b 86 c1, DNS Name=sample-dc1.sample.lan
  Template: ディレクトリ電子メール レプリケーション
  21 21 22 56 03 85 4f 12 d7 b0 df ce 8b a0 ac 43 cc 13 8e 9d
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    CRL 01:
    Issuer: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
    9d a3 56 fe 47 60 48 13 15 df dd 6e 90 d3 c8 4d f9 29 8d ed
    Delta CRL 01:
    Issuer: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
    57 eb d9 31 32 67 7b 3a d2 dc 1c 51 f8 30 a3 3e 4e 16 a9 fa
  Application[0] = 1.3.6.1.4.1.311.21.19 ディレクトリ サービス電子メール レプリ
ケーション

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
  Issuer: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
  NotBefore: 2011/05/18 6:11
  NotAfter: 2016/05/18 6:21
  Subject: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
  Serial: 2f8b14720901edb1457421322993acd0
  2b f4 5c 62 b2 f8 3f 88 f2 94 69 f0 e7 db 54 09 31 70 6e 7f
  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

Exclude leaf cert:
  00 79 00 f2 6c 50 58 96 ff 4d eb 5d 09 63 9f e4 77 ad 3b d0
Full chain:
  bf 72 71 cb a0 e5 d4 51 d7 e8 30 2d 12 89 e6 3c 15 88 6a 48
------------------------------------
確認された発行ポリシー: なし
確認されたアプリケーション ポリシー:
    1.3.6.1.4.1.311.21.19 ディレクトリ サービス電子メール レプリケーション
証明書 1:
シリアル番号: 61119548000000000003
発行者: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
 この日以降: 2011/05/18 6:24
 この日以前: 2012/05/17 6:24
サブジェクト: なし (DNS Name=sample-dc1.sample.lan)
非ルート証明書
テンプレート: DomainControllerAuthentication, ドメイン コントローラーの認証
Cert ハッシュ(sha1): 1e 31 8c ab db ea 1e a5 5a 9b 2d 76 2e 63 cb 5b c0 5e a8 87


dwFlags = CA_VERIFY_FLAGS_NT_AUTH (0x10)
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
Application[0] = 1.3.6.1.5.5.7.3.1 サーバー認証
Application[1] = 1.3.6.1.5.5.7.3.2 クライアント認証
Application[2] = 1.3.6.1.4.1.311.20.2.2 スマート カード ログオン
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_NT_AUTH
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 33 Minutes, 41 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 33 Minutes, 41 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
  Issuer: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
  NotBefore: 2011/05/18 6:24
  NotAfter: 2012/05/17 6:24
  Subject:
  Serial: 61119548000000000003
  SubjectAltName: DNS Name=sample-dc1.sample.lan
  Template: ドメイン コントローラーの認証
  1e 31 8c ab db ea 1e a5 5a 9b 2d 76 2e 63 cb 5b c0 5e a8 87
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    CRL 01:
    Issuer: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
    9d a3 56 fe 47 60 48 13 15 df dd 6e 90 d3 c8 4d f9 29 8d ed
    Delta CRL 01:
    Issuer: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
    57 eb d9 31 32 67 7b 3a d2 dc 1c 51 f8 30 a3 3e 4e 16 a9 fa
  Application[0] = 1.3.6.1.5.5.7.3.2 クライアント認証
  Application[1] = 1.3.6.1.5.5.7.3.1 サーバー認証
  Application[2] = 1.3.6.1.4.1.311.20.2.2 スマート カード ログオン

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
  Issuer: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
  NotBefore: 2011/05/18 6:11
  NotAfter: 2016/05/18 6:21
  Subject: CN=sample-SAMPLE-DC1-CA, DC=sample, DC=lan
  Serial: 2f8b14720901edb1457421322993acd0
  2b f4 5c 62 b2 f8 3f 88 f2 94 69 f0 e7 db 54 09 31 70 6e 7f
  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

Exclude leaf cert:
  38 49 f2 41 23 f6 e0 71 07 28 2a ee 32 3b 2d dd fb 71 63 68
Full chain:
  5f 94 33 10 55 e1 55 e9 c3 97 0a 75 d5 6e 68 d8 df a7 d2 36
------------------------------------
確認された発行ポリシー: なし
確認されたアプリケーション ポリシー:
    1.3.6.1.5.5.7.3.2 クライアント認証
    1.3.6.1.5.5.7.3.1 サーバー認証
    1.3.6.1.4.1.311.20.2.2 スマート カード ログオン
2 KDC 証明書 (SAMPLE-DC1)

CertUtil: -DCInfo コマンドは正常に完了しました。

C:\Users\Administrator>
対処の必要性
ログオンにスマート カードを使用する場合は必須ですが、使用しない場合は無視してかまいません。
対策
証明機関のインストール
サーバー マネージャー の「役割の追加」で「Active Directory 証明書サービス」をインストールします。
エンタープライズ CA を選択した場合は、ドメインに自動的に登録されます。
登録されているか確認するには、イベント ログのアプリケーション ログの CertificationAuthority EventID:103 に記述されているコマンドを実行します。
コマンド例
certutil -viewstore "ldap:///CN=sample-SAMPLE-DC1-CA,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=sample,DC=lan?cACertificate?base?objectClass=certificationAuthority"
Default Domain Controllers Policy の追加設定
グループポリシーの "Default Domain Controllers Policy" に対して、以下を設定します。
証明書の自動追加、自動更新のために設定します。
90分程度放置するか、再起動すると自動的に登録されます。
コンピューターの構成/ポリシー/Windows の設定/セキュリティの設定/公開キーのポリシー/
  1. 証明書サービス クライアント - 証明書登録ポリシー
    構成モデル - 有効
  2. 証明書サービス クライアント - 自動登録
    構成モデル - 有効
    有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する - オン
    証明書テンプレートを使用する証明書を更新する - オン
手動で登録する場合
手動で登録する場合は、以下の手順です。
  1. 「プログラムとファイルの検索」から、mmc.exe を起動
  2. ファイル - スナップインの追加と削除
  3. 証明書 - 追加 - コンピューター アカウント - 次へ - ローカル コンピューター - 完了 - OK
  4. 証明書(ローカル コンピューター)/個人/証明書
  5. 「目的」欄に「スマート カード ログオン」がある証明書がない場合は、「証明書」を右クリック - すべてのタスク - 新しい証明書の要求 から、「ドメイン コントローラーの認証」を登録します。
  6. 「目的」欄に「スマート カード ログオン」がある証明書がある場合は、有効期限が切れていることを確認した上で、該当の証明書を右クリック - すべてのタスク - 詳細設定操作 - 同じキーでこの証明書を書き換え

©2004-2017 UPKEN IPv4