Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie den Fehler "Ihre Anmeldeinformationen konnten nicht überprüft werden" beheben, der auftritt, wenn Sie versuchen, sich mit Windows Hello for Business (WHFB) bei Windows anzumelden.
Gilt für: Windows 10, Windows 11
Ursprüngliche KB-Nummer: 4519735
Symptom
Wenn Sie versuchen, sich mit einem WHFB-Zertifikat oder einer Schlüsselvertrauensstellung bei einem Windows 10- oder Windows 11-Gerät anzumelden, schlägt dies mit einer der folgenden Fehlermeldungen fehl:
Ihre Anmeldeinformationen konnten nicht überprüft werden.
Es ist ein Fehler aufgetreten, und Ihre PIN ist nicht verfügbar (Status: 0xc00000bb, substatus:0x0). Klicken Sie, um Ihre PIN erneut einzurichten.
Ursache
Dieses Problem tritt auf, da das ausstellende Zertifizierungsstellenzertifikat im NTAuth-Speicher des Domänencontrollers und des Clientcomputers fehlt.
Wenn Sie WHFB verwenden, muss der Domänencontroller das vom Clientcomputer gesendete Zertifikat überprüfen. Während der Überprüfung überprüft er den Schlüsselverteilungscenterdienst (Key Distribution Center, KDC) auf dem Domänencontroller, um zu überprüfen, ob es das ausstellende Zertifizierungsstellenzertifikat im NTAuth-Registrierungsschlüssel finden kann. Der NTAuth-Registrierungsschlüssel sucht unter HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates.
Notiz
Der Registrierungsschlüssel "EnterpriseCertificates" ist ein Speicherort in Active Directory. Während eines Gruppenrichtlinienupdates werden diese Zertifikate von allen Clientcomputern, Mitgliedern und Domänencontrollern in der Gesamtstruktur in die Registrierung importiert.
Ermitteln des Problems
- Öffnen Sie das Snap-In der Zertifizierungsstelle .
- Klicken Sie mit der rechten Maustaste auf den ausstellenden Zertifizierungsstellenserver, und wählen Sie "Eigenschaften" aus.
- Wechseln Sie zur Registerkarte "Allgemein ", und wählen Sie die aktuellen Zertifikate aus, wenn mehrere Zertifikate vorhanden sind, und wählen Sie dann "Zertifikat anzeigen" aus.
- Wechseln Sie zur Registerkarte "Details ", und scrollen Sie nach unten zum Fingerabdruck-Attribut .
- Notieren Sie sich den Fingerabdruck des ausstellenden Zertifizierungsstellenzertifikats.
- Öffnen Sie die Registrierung auf dem Domänencontroller, und navigieren Sie zu
HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates. - Überprüfen Sie, ob sie über einen Ordner unter dem obigen Registrierungsschlüssel mit dem Fingerabdruckwert verfügen.
Lösung
Öffnen Sie das Snap-In der Zertifizierungsstelle .
Klicken Sie mit der rechten Maustaste auf den ausstellenden Zertifizierungsstellenserver, und wählen Sie "Eigenschaften" aus.
Wechseln Sie zur Registerkarte "Allgemein ", und wählen Sie die aktuellen Zertifikate aus, wenn mehrere Zertifikate vorhanden sind, und wählen Sie dann "Zertifikat anzeigen" aus.
Exportieren Sie das Zertifikat mithilfe der Option "In Datei kopieren". Speichern Sie sie als Datei wie IssuingCA.cer.
Melden Sie sich mit den Enterprise-Administratoranmeldeinformationen auf einem Domänencontroller an, und führen Sie den folgenden Befehl aus:
certutil -dspublish -f IssuingCA.cer NTAuthCA certutil -enterprise -addstore NTAuth IssuingCA.cerFühren Sie aus, und vergewissern Sie
gpupdate /forcesich, dass der Fingerabdruck Ihrer ausstellenden Zertifizierungsstelle unter dieser Registrierungsstruktur erstellt wird.HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\CertificatesWarten Sie, bis die Active Directory-Replikation abgeschlossen ist.
Führen Sie
gpupdate /forceauch auf den Clientcomputern aus, und stellen Sie sicher, dass der Fingerabdruck des ausstellenden Zertifizierungsstellenzertifikats auf den Clientcomputern erstellt wird.