- Что такое не установлены драйвера или не запущена служба smart card
- Certutil
- Включить трассировка
- Диагностика cryptoapi 2.0
- Настройка отслеживания с помощью реестра
- Остановка трассировки
- Отладка и отслеживание с помощью wpp
- Примеры:
- Проверка подлинности kerberos
- Протокол kerberos, kdc и отладка и отслеживание ntlm
- Протокол ntlm
- Сертификаты списка, доступные на смарт-карте
- Служба смарт-карт
- Считыватели смарт-карт
- Удаление сертификатов на смарт-карте
- Устранение неполадок смарт-карт
Что такое не установлены драйвера или не запущена служба smart card
Возможно, эта информация будет интересна
При открытии Панели управления Рутокен на вкладке Администрирование отображается ошибка: «Системная служба «Смарт-карты» не отвечает на запросы. Операции с по этой причине невозможны. Проверьте состояние и настройки службы».
Существуют разные причины возникновения этой ошибки, в зависимости от схемы работы:
1. Убедитесь, что служба Смарт-карта на компьютере, с которого осуществляется подключение (на клиенте), запущена от имени NT AUTHORITYLocalService (Пуск — Панель управления — Администрирование — Службы).
2. Попробуйте запустить или перезапустить службу.
3. Если служба не работает (не запускается или не перезапускается), то может понадобиться ее переустановка (это могут сделать только системным администраторы).
1) Win7, Vista, Win8/8.1, Win10
•Запустите файл (smart-card-7) из вложения
•Переустановите службу смарт-карт согласно инструкции из вложения (Smart-Card-XP)
4. Возможно, какое-либо ПО может блокировать службу Смарт-карта. Совместно с системным администратором произведите поиск ПО, которое может вызывать проблемы.
Если Рутокен вставлен в компьютер (в сервер), а к нему пытаются обратиться удаленно, такая схема работать не будет.
Протокол RDP (Remote Desktop Protocol) не позволяет удаленно работать со смарт-картами, так как это противоречит безопасности.
Рекомендуем подключать Рутокен в компьютер, с которого будет осуществляться удаленное подключение (в клиент).
Certutil
Полное описание Certutil, включая примеры, которые показывают, как его использовать, см. в примере Certutil [W2022].
Включить трассировка
С помощью WPP используйте одну из следующих команд, чтобы включить отслеживание:
tracelog.exe -kd-rt-start-guid #-f ..etl-flags-ft 1
Начало журнала-ets-p <</strong>> —-ft 1 -rt -o .**.etl-mode 0x00080000 **
Параметры можно использовать в следующей таблице.
Понятное имя | Код GUID | Флажки |
---|---|---|
scardsvr | 13038e47-ffec-425d-bc69-5707708075fe | 0xffff |
winscard | 3fce7c5f-fb3b-4bce-a9d8-55cc0ce1cf01 | 0xffff |
basecsp | 133a980d-035d-4e2d-b250-94577ad8fced | 0x7 |
scksp | 133a980d-035d-4e2d-b250-94577ad8fced | 0x7 |
msclmd | fb36caf4-582b-4604-8841-9263574c4f2c | 0x7 |
credprov | dba0e0e0-505a-4ab6-aa3f-22f6f743b480 | 0xffff |
certprop | 30eae751-411f-414c-988b-a8bfa8913f49 | 0xffff |
scfilter | eed7f3c9-62ba-400e-a001-658869df9a91 | 0xffff |
wudfusbccid | a3c09ba3-2f62-4be5-a50f-8278a646ac9d | 0xffff |
Чтобы включить трассировку для службы SCardSvr:
tracelog.exe -kd-rt-start scardsvr -guid #13038e47-ffec-425d-bc69-5707708075fe-f .scardsvr.etl-flags 0xffff -ft 1
logman start scardsvr -ets-p <13038e47-ffec-425d-bc69-5707708075fe>0xffff -ft 1 -rt -o .scardsvr.etl-mode 0x00080000
Чтобы включить трассировку для scfilter.sys:
- tracelog.exe-kd-rt-start scfilter-guid #eed7f3c9-62ba-400e-a001-658869df9a91 -f .scfilter.etl-flags 0xffff-ft 1
Диагностика cryptoapi 2.0
Диагностика CryptoAPI 2.0 доступна в Windows версиях, которые поддерживают CryptoAPI 2.0 и могут помочь устранить проблемы с инфраструктурой ключей общего ключевых (PKI).
CryptoAPI 2.0 Диагностика регистрит события в журнале Windows событий. Журналы содержат подробные сведения о проверке цепочки сертификатов, операциях хранения сертификатов и проверке подписи. Эта информация упрощает определение причин проблем и сокращает время, необходимое для диагностики.
Дополнительные сведения о диагностике CryptoAPI 2.0 см. в Enterprise PKI.
Источник
Настройка отслеживания с помощью реестра
Вы также можете настроить трассировку, редактировать значения реестра Kerberos, показанные в следующей таблице.
Элемент | Параметр ключа реестра |
---|---|
Протокол NTLM | HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0 Имя значения: NtLmInfoLevel Тип значения: DWORD Данные значения: c0015003 |
Kerberos | HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberos Имя значения: LogToFile Тип значения: DWORD Данные значения: 00000001 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParameters HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParameters |
KDC | HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdc Имя значения: KdcDebugLevel Тип значения: DWORD Данные значения: c0000803 |
Если вы использовали, посмотрите следующий файл журнала в текущем Tracelog каталоге: kerb.etl/kdc.etl/ntlm.etl.
Если вы использовали параметры ключей реестра, показанные в предыдущей таблице, посмотрите на файлы журнала трассировки в следующих расположениях:
Для расшифровки файлов трассировки событий можно использовать Tracefmt (tracefmt.exe). Tracefmt — это средство командной строки, которое форматы и отображение сообщений трассировки из файла журнала трассировки событий (.etl) или сеанса трассировки в режиме реального времени.
Остановка трассировки
С помощью WPP используйте одну из следующих команд, чтобы остановить трассировку:
tracelog.exe -stop
logman -stop-ets
Отладка и отслеживание с помощью wpp
WPP упрощает отслеживание работы поставщика трассировки. Он предоставляет поставщику трассировки механизм для входа двоичных сообщений в режиме реального времени. Зарегистрированные сообщения можно преобразовать в понятный для человека след операции.
Примеры:
Чтобы остановить след:
tracelog.exe -stop scardsvr
logman -stop scardsvr -ets
Проверка подлинности kerberos
Чтобы включить трассировку для проверки подлинности Kerberos, запустите эту команду:
- tracelog.exe-kd-rt-start kerb-guid #6B510852-3583-4e2d-AFFE-A67F9F223438 -f .kerb.etl-flags 0x43-ft 1
Чтобы остановить отслеживание проверки подлинности Kerberos, запустите эту команду:
Чтобы включить трассировку для KDC, запустите следующую команду в командной строке:
- tracelog.exe-kd-rt-start kdc-guid #1BBA8B19-7F31-43c0-9643-6E911F79A06B -f .kdc.etl-flags 0x803-ft 1
Чтобы остановить отслеживание для KDC, запустите следующую команду в командной строке:
Чтобы остановить отслеживание с удаленного компьютера, запустите эту команду: logman.exe -s * *.
Расположение по умолчанию для logman.exe % systemroot%system32. Используйте параметр -s для поставки имени компьютера.
Протокол kerberos, kdc и отладка и отслеживание ntlm
Эти ресурсы можно использовать для устранения неполадок этих протоколов и KDC:
Windows (WDK)и средства отладки для Windows (WinDbg) . Вы можете использовать средство журнала трассировки в этом SDK для отладки сбоев проверки подлинности Kerberos.
Чтобы начать трассировку, можно использовать Tracelog . Различные компоненты используют различные GUID-интерфейсы управления, как это объясняется в этих примерах. Дополнительные сведения Tracelog см. в .
Протокол ntlm
Чтобы включить трассировку для проверки подлинности NTLM, запустите следующую команду в командной строке:
- tracelog.exe -kd-rt-start ntlm -guid #5BBB6C18-AA45-49b1-A15F-085F7ED0AA90 -f .ntlm.etl-flags 0x15003-ft 1
Чтобы остановить отслеживание для проверки подлинности NTLM, запустите эту команду:
Сертификаты списка, доступные на смарт-карте
Чтобы перечислить сертификаты, доступные на смарт-карте, введите certutil -scinfo .
Ввод ПИН-кода не требуется для этой операции. Вы можете нажать ESC, если вам будет предложен ПИН-код.
Служба смарт-карт
Служба диспетчера ресурсов смарт-карт работает в контексте локальной службы. Он реализуется в качестве общей службы процесса хост-службы (svchost).
Чтобы проверить, запущена ли служба Смарт-карты
Нажмите кнопку CTRL ALT DEL, а затем выберите start Task Manager.
В диалоговом окне Windows Диспетчер задач выберите вкладку Services.
Выберите столбец Name для сортировки списка в алфавитном порядке, а затем введите s.
В столбце Имя посмотрите на SCardSvr, а затем посмотрите в столбце Состояние, чтобы узнать, запущена или остановлена служба.
Перезапуск службы смарт-карт
Запустите в качестве администратора в командной подсказке.
Если появится диалоговое окно «Управление учетной записью пользователя», подтвердите, что отображаемая в нем акция является нужным, а затем выберите Да.
В командной подсказке введите net stop SCardSvr .
В командной подсказке введите net start SCardSvr .
Вы можете использовать следующую команду в командной подсказке, чтобы проверить, запущена ли служба: sc queryex scardsvr .
В следующем примере кода приводится пример вывода из этой команды:
Считыватели смарт-карт
Как и любое устройство, подключенное к компьютеру, диспетчер устройств можно использовать для просмотра свойств и начала процесса отлаговки.
Чтобы проверить, работает ли считыватель смарт-карт
Перейдите к компьютеру.
Щелкните правой кнопкой мыши Компьютер, а затем выберите Свойства.
В статье Задачивыберите диспетчер устройств.
В диспетчере устройств раздайте считывателисмарт-карт, выберите имя считывателей смарт-карт, которые необходимо проверить, а затем выберите Свойства.
Если считыватель смарт-карт не указан в диспетчере устройств, в меню Action выберите scan для изменения оборудования.
Удаление сертификатов на смарт-карте
Каждый сертификат заключен в контейнер. При удалении сертификата на смарт-карте удаляется контейнер для сертификата.
Чтобы найти значение контейнера, введите certutil -scinfo .
Чтобы удалить контейнер, введите certutil-delkey-csp «Microsoft Base Smart Card Crypto Provider»
Устранение неполадок смарт-карт
Применяется к: Windows 10, Windows 11, Windows Server 2022 и выше
В этой статье рассказывается о средствах и службах, которые разработчики смарт-карт могут использовать для выявления проблем с сертификатами при развертывании смарт-карт.
Отладка и отслеживание проблем смарт-карт требуют различных средств и подходов. В следующих разделах указаны инструменты и подходы, которые можно использовать.