Fehlgeschlagene TLS-Verbindung zwischen Peers unified Communications generiert eine Schannel-Warnung

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2464556 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Jede der folgenden Anwendungen kann nicht mit dieser Anwendung unified Communications (UC) Peer eine Verbindung (TLS, Transport Layer Security) erstellen:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Microsoft Communicator-client
  • Microsoft® Office Live Meeting 2007-client
  • Microsoft Lync Server
  • Microsoft Lync-client
Außerdem erhalten Sie die folgende Schannel-Warnung und eine Beschreibung des Problems im Windows Server-Ereignisprotokoll:

Ereignistyp: Warnung
Ereignisquelle: Schannel
Ereigniskategorie: keine
Ereignis-ID: 36885
Datum: Datum
Uhrzeit: Zeit
Benutzer:
Computer: COMPUTERNAME

Beschreibung: Beim bitten um Clientauthentifizierung sendet dieser Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das der Server vertrauenswürdig ist. Momentan vertraut dieser Server so viele Zertifizierungsstellen, die Liste zu lang ist. Diese Liste wurde abgeschnitten. Der Administrator dieses Computers sollte die für Clientauthentifizierung vertrauenswürdigen Zertifizierungsstellen überprüfen und diejenigen entfernen, die nicht wirklich vertrauenswürdig sein müssen.

Ursache

Dieses Problem tritt auf, weil der Unified Communications-Server nicht die richtigen Informationen zur Zertifizierungsinstanz an dem UC-Client während der Aushandlung der TLS-Verbindung gelangt. Stattdessen tritt das folgende Szenario:

  • Der UC-Server übergibt die Zertifikatsvertrauensliste (CTL) von Informationen über die installierte Zertifizierungsstelle an dem UC-Client, der die sichere TLS-Verbindung anfordert.
  • Die Zertifikatsvertrauensliste ist gemäß der Windows Server-Schannel-Komponente die konzeptionellen Beschränkungen abgeschnitten.
  • -UC-Clients, die die sichere TLS-Verbindung angefordert erhält keine Informationen über die Zertifizierungsstelle, die die Einträge entspricht, die in ihrer installierten Liste enthalten sind.
  • Der TLS-Verbindungsversuch scheitert mit der Fehlermeldung, die im Abschnitt "Problembeschreibung" beschrieben wird.

Dieses Problem tritt aufgrund des Aufbaus der Schannel-Komponente von Windows Server-Betriebssystem, das UC-Anwendungen hostet.

HinweisWeitere Informationen zu Schannel-Komponente der Windows Server-Betriebssystem und die Einschränkungen der CTL finden Sie unter "Windows Server 2003," "Windows Server 2008 R2 und Windows Server 2008" und "Windows Server 2012" Unterabschnitte des Abschnitts "Weitere Informationen".

Abhilfe

Die folgenden Methoden der im Abschnitt "Problembeschreibung" beschriebene Problem zu umgehen.

Methode 1:Entfernen Sie einige vertrauenswürdige Stammzertifikate


Warnung Sie sollten Vorsicht walten, wenn Sie vertrauenswürdige Stammzertifizierungsstelle Zertifikate entfernen. Das Entfernen der vertrauenswürdigen Stammzertifizierungsstelle Fremdzertifikaten konnte sicheren Clientzugriff auf Anwendungen umgebrochen wird, das auf dem Windows-basierten Server gehostet werden.

Wenn einige vertrauenswürdige Stammzertifikate in Ihrer Umgebung nicht verwendet werden, sollten Sie sie vom Server entfernen, die die UC-Anwendung hostet. Gehen Sie hierzu folgendermaßen vor:

Windows Server 2008 R2, Windows Server 2008 und Windows Server 2003
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben MMC, und klicken Sie dann auf OK.
  2. Auf die Datei Menü, klicken Sie auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.
  3. In der Standalone-Snap-in hinzufügen im Dialogfeld klicken Sie auf Zertifikate, und klicken Sie dann auf Hinzufügen.
  4. Klicken Sie auf Computerkonto, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.
  5. Klicken Sie auf Schließen, und klicken Sie dann auf OK.
  6. Unter Konsolenstamm in der Microsoft Management Console (MMC)-Snap-in erweitern Sie Zertifikate (lokaler Computer), erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie dann auf Zertifikate.
  7. Entfernen Sie vertrauenswürdige Stammzertifikate, die Sie nicht haben. Zu diesem Zweck mit der rechten Maustaste ein Zertifikat, klicken Sie auf Löschen, und klicken Sie dann auf Ja zu bestätigen, dass Sie das Zertifikat entfernen möchten.
InformationenWeitere Informationen über das Automatisieren der aus- und Einbauen der vertrauenswürdigen Stammzertifizierungsstelle Zertifikate von Drittanbietern, die auf Windows Server-Betriebssystemen installiert werden, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:

2801679 SSL/TLS-Kommunikationsprobleme nach der Installation von KB 931125

Informationen Es gibt bestimmte Stammzertifikate, die von Windows erforderlich sind. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

293781 Vertrauenswürdige Stammzertifikate, die von Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP und Windows 2000 benötigt werden

Methode 2:Konfigurieren von Gruppenrichtlinien zu die Liste der ignorieren vertrauenswürdiger Zertifizierungsstellen auf dem Computer, der den Unified Communications Client hostet

Wenn der Server, der die UC-Anwendung hostet, Mitglied einer Domäne ist, können Sie eine Richtlinie erstellen, bei dem dem Server die Liste der vertrauenswürdigen Zertifizierungsstellen auf dem Computer zu ignorieren, die als Host, der UC-Client. Wenn Sie diese Richtlinie anwenden, vertrauen der betroffenen Servern und Clients nur Zertifikate, die in der Enterprise-Stammzertifizierungsstellen befinden. Daher müssen Sie keinen einzelnen Computer zu ändern.

WindowsSERver 2008 R2 oder Windows Server 2008

Verwenden von Richtlinien zum Verteilen von Zertifikaten

WindowsServer 2003

Hinzufügen einer vertrauenswürdigen Stammzertifizierungsstelle zu einem Gruppenrichtlinienobjekt


Hinweis Es gibt bestimmte Stammzertifikate, die von Windows erforderlich sind. Sie müssen diese Zertifikate zur Richtlinie hinzufügen, die Sie erstellt haben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

293781 Vertrauenswürdige Stammzertifikate, die von Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP und Windows 2000 benötigt werden

Methode 3:Konfigurieren der Schannel nicht mehr die Liste der vertrauenswürdigen Stammzertifizierungsstellen während der TLS/SSL-Handshake-Prozess senden

Sie können diese Schritte in Windows Server 2008 R2, Windows Server 2008 und Windows Server 2003 ausführen.

Warnung Wenn Sie die Registrierung nicht ordnungsgemäß mithilfe von Registrierungs-Editor oder mithilfe einer anderen Methode ändern, können schwerwiegende Probleme auftreten. Diese Probleme können erfordern, dass das Betriebssystem neu installiert werden muss. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Sie ändern die Registrierung auf eigene Gefahr.

Setzen Sie auf dem Server, der die UC-Anwendung ausgeführt wird, auf der dieses Problem auftritt den folgenden Registrierungseintrag auf False:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Wertname: SendTrustedIssuerList
Werttyp: REG_DWORD
Wert: 0 (falsch)


Standardmäßig ist dieser Eintrag nicht in der Registrierung aufgelistet. Standardmäßig ist dieser Wert 1 (WAHR). Dieser Registrierungseintrag steuert das Flag, die steuert, ob der Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client sendet. Wenn dieser Registrierungseintrag auf Falsefestgelegt wird, sendet der Server eine Liste vertrauenswürdiger Zertifizierungsstellen nicht an den Client. Dieses Verhalten kann die Reaktion des Clients auf eine Anforderung für ein Zertifikat betreffen. Wenn Internet Explorer eine Anforderung zur Client-Authentifizierung erhält, zeigt Internet Explorer nur die Clientzertifikate, die angezeigt werden z. B. in der Kette von einer der Zertifizierungsstellen, die in der Liste auf dem Server befinden. Wenn der Server eine Liste vertrauenswürdiger Zertifizierungsstellen nicht sendet, zeigt Internet Explorer jedoch die Client-Zertifikate, die auf dem Clientcomputer installiert sind.

Um diesen Registrierungseintrag festzulegen, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben regedit, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Auf den Bearbeiten Menü, zeigen Sie auf neu, und klicken Sie dann auf DWORD-Wert.
  4. Typ SendTrustedIssuerList, und drücken Sie dann die EINGABETASTE, um den Registrierungseintrag zu benennen.
  5. Maustaste auf SendTrustedIssuerList, und klicken Sie dann auf Ändern.
  6. In der Wert Geben0 Wenn Wert sich nicht bereits angezeigt werden und klicken Sie dann auf OK.
  7. Beenden Sie den Registrierungs-Editor.
Hinweis Es gibt bestimmte Stammzertifikate, die von Windows erforderlich sind. Sie müssen diese Zertifikate zur Richtlinie hinzufügen, die Sie erstellt haben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

293781 Vertrauenswürdige Stammzertifikate, die von Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP und Windows 2000 benötigt werden

Weitere Informationen

Obwohl dies nicht im Abschnitt "Problembeschreibung" erwähnt wird, kann dieses Problem auf allen Computern auftreten, die Windows Server 2003 oder Windows Server 2008 ausführen und betreiben Microsoft Exchange Unified Communications-Komponenten wie z. B. die folgenden Rollen:
  • Client Access-Server
  • Postfach
  • Unified Communications-Server

Diese Windows Server-Betriebssysteme können der Updatemechanismus automatische Root Certification Authority-Updates von der Microsoft Windows Update-Website herunterladen, wenn ein Client eine sichere TLS-Verbindung erfordert. Diese automatischen Zertifikatsanforderung Aktualisierungsvorgang bewirkt, dass der Server gesammelt, die zusätzliche Informationen zur Zertifizierungsinstanz, die benötigt wird, um sichere Unified Communications Client TLS-Verbindungsanforderungen sicherzustellen. Die Windows Server-Schannel-Komponente marshallt der Informationen zur Zertifizierungsinstanz der Stamm an den UC-Client, der die sichere TLS-Verbindung erfordert. Der UC-Client wird den Inhalt der Schannel CTL durch seine eigene Liste von Informationen über die Zertifizierungsstelle vergleichen. Dieser Prozess stellt sicher, dass übereinstimmende Root Zertifikatinformationen an beiden Endpunkten der TCP-Verbindung für den Fortbestand der TLS-Handshake-Prozess vorhanden ist. Die Windows Server-Schannel-Komponente kann jedoch nur begrenzte Daten der Installation von Windows Server-Zertifizierung Zertifizierungsstelle in der Zertifikatsvertrauensliste zurück an den Client UC gemarshallt, die die sichere TLS-Verbindung anfordert. In einigen Fällen bewirkt, dass dieser-UC-Clients sichere TLS-Verbindungsanforderung fehlschlagen.

Weitere Informationen zu den unterschiedlichen Architektur für die Windows Server 2003 und Windows Server 2008 automatische Stamm aktualisieren Sie Konfigurationen zu und zu Schannel Certification Authority Liste Einschränkungen finden Sie in den folgenden Abschnitten.

WindowsServer 2003


In Windows Server 2003, die Liste darf nicht größer als 12.288 (oder 0 x 3000) Bytes. Die Installation von Windows Server 2003 SP1 oder Windows Server 2003 SP2-Hotfixes KB933940, die im Abschnitt "Weitere Informationen" aufgelistet ist bietet einen erweiterten Aussteller Liste Kapazität von 16.384 (oder 0 x 4000) Bytes.

Automatische Root Update-Mechanismus ist in Windows Server 2003 nicht aktiviert. Windows Server 2003 unterstützt den automatische Root Update-Mechanismus. Weitere Informationen zu automatischen Stamm Updates für Server 2003 finden Sie auf der folgenden Microsoft TechNet-Website:


Windows Server 2008 R2 und WindowsServer 2008


In Windows Server 2008 die Ausstellerliste darf nicht größer als 16.384 (oder 0 x 4000) Bytes.

Standardmäßig ist der automatische Root Update-Mechanismus in Windows Server 2008 und Windows Server 2008 R2 aktiviert. Weitere Informationen zum Verwalten von automatischen Root Update-Mechanismus finden auf der folgenden Microsoft TechNet-Website:

Zertifikatunterstützung und daraus resultierende Internetkommunikation in WindowsServer 2008

Windows Server 2012

Windows Server 2012 unterstützt nicht die CTL Schannel-Funktionalität, die in früheren Versionen von Windows Server-Betriebssystemen vorhanden war. Weitere Informationen darüber, wie Windows Server 2012 vertrauenswürdige Zertifikate verwaltet finden Sie im Abschnitt "Verwalten vertrauenswürdiger Aussteller zur Clientauthentifizierung" des folgenden Microsoft TechNet-Artikel:
Was ist neu in TLS/SSL (Schannel SSP)

Weitere Informationen zu dem Problem, das im Abschnitt "Problembeschreibung" beschrieben wird, klicken Sie auf die folgenden Artikelnummern klicken, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:

933430 Clients können keine Verbindungen herstellen, wenn Sie Client-Zertifikate auf einer Website oder bei Verwendung von IAS in Windows Server 2003

931125 Windows-Programm für Stammzertifikate

Eigenschaften

Artikel-ID: 2464556 - Geändert am: Montag, 21. Oktober 2013 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Keywords: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 2464556
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com