Smartcard Authentication

Für Smartcard Authentifizierung wird ein Zertifikat mit RSA 2048 mit den folgenden Enhanced Key Usage benötigt:

 Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)
 KDC-Authentifizierung (1.3.6.1.5.2.3.5)
 Clientauthentifizierung (1.3.6.1.5.5.7.3.2)

ausgestellt wird das Zertifikat auf den User Principal name (UPN)

Für die Anmeldung von nicht-Domain Rechnern bzw. von Domain-Rechnern fremder Domains ohne Vertrauensstellung, braucht es auf den DCs ein Zertifikat aus der Vorlage "Kerberos Authentication" (Die Vorlage ist veraltet und sollte vorher dupliziert und aktualisiert werden)

Es kommt sonst beim Versuch eine Verbindung herzustellen eine Fehlermeldung, dass das KDC Zertifikat nicht gelesen werden kann.
im Eventlog steht dann die folgende Meldung:

The Key Distribution Center (KDC) uses a certificate without KDC Extended Key Usage (EKU) which can result in authentication failures for device certificate logon and smart card logon from non-domain-joined devices. Enrollment of a 
KDC certificate with KDC EKU (Kerberos Authentication template) is required to remove this warning.