Gagal TLS hubungan antara rekan-rekan komunikasi terpadu menghasilkan peringatan Schannel

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2464556 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

Gejala

Masing-masing aplikasi berikut tidak dapat membuat sambungan Transport Layer Security (TLS) dengan rekan komunikasi terpadu (UC) aplikasi tersebut:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Microsoft Communicator klien
  • Microsoft Office Live Meeting 2007 klien
  • Microsoft Lync Server
  • Microsoft Lync klien
Selain itu, Anda menerima peringatan Schannel berikut dan deskripsi masalah di log peristiwa Windows Server:

Jenis peristiwa: peringatan
Sumber peristiwa: Schannel
Kategori peristiwa: tidak ada
Event ID: 36885
Tanggal: tanggal
Waktu: waktu
Pengguna:
Komputer: COMPUTERNAME

Keterangan: Ketika meminta klien otentikasi, server ini mengirimkan daftar otoritas terpercaya sertifikasi kepada klien. Klien menggunakan daftar ini untuk memilih sertifikat klien yang dipercaya oleh server. Saat ini, server ini percaya begitu banyak otoritas sertifikasi bahwa daftar telah tumbuh terlalu lama. Daftar ini dengan demikian terpotong. Administrator dari mesin ini harus meninjau otoritas sertifikasi yang dipercaya untuk klien otentikasi dan menghapus orang-orang yang tidak benar-benar perlu untuk dapat dipercaya.

Penyebab

Masalah ini terjadi karena UC server tidak lulus sertifikasi benar otoritas informasi ke UC klien selama negosiasi TLS sambungan. Sebaliknya, skenario berikut terjadi:

  • UC server melewati daftar kepercayaan sertifikat (CTL) diinstal sertifikat otoritas informasi kepada klien UC bahwa permintaan sambungan aman TLS.
  • CTL dipotong sesuai keterbatasan desain komponen Windows Server Schannel.
  • Klien UC yang diminta sambungan aman TLS tidak menerima informasi otoritas sertifikasi yang cocok entri yang terkandung dalam daftar otoritas sertifikasi diinstal.
  • TLS koneksi upaya gagal dengan kesalahan yang dijelaskan di bagian "Gejala".

Masalah ini terjadi karena desain komponen sistem operasi Windows Server yang menjadi host aplikasi UC Schannel.

CatatanUntuk informasi lebih lanjut tentang sistem operasi Windows Server Schannel komponen dan keterbatasan CTL nya, merujuk pada "Windows Server 2003," "Windows Server 2008 R2 dan Windows Server 2008", dan "Windows Server 2012" subbagian dari bagian "informasi lebih lanjut".

Teknik pemecahan masalah

Metode berikut bekerja di sekitar masalah yang dijelaskan di bagian "Gejala".

Metode 1:Menghapus beberapa sertifikat terpercaya akar


Peringatan Anda harus menggunakan hati-hati ketika Anda menghapus dipercaya akar otoritas sertifikat. Penghapusan pihak ketiga dipercaya akar otoritas sertifikat bisa memecahkan klien aman akses ke aplikasi yang di-host pada server berbasis Windows.

Jika beberapa dipercaya akar Sertifikat tidak digunakan di lingkungan Anda, Anda harus menghapusnya dari server host UC application. Untuk melakukannya, ikuti langkah berikut:

Windows Server 2008 R2, Windows Server 2008 dan Windows Server 2003
  1. Klik mulai, klik menjalankan, jenis MMC, lalu klik OK.
  2. Pada File menu, klik Tambah/Hapus snap-in, dan kemudian klik Tambah.
  3. Di menambahkan Standalone snap-in kotak dialog, klik sertifikat, dan kemudian klik Tambah.
  4. Klik account komputer, klik berikutnya, dan kemudian klik selesai.
  5. Klik tutup, dan kemudian klik OK.
  6. Di bawah konsol akar di konsol manajemen Microsoft (MMC) snap-in, memperluas sertifikat (komputer lokal), memperluas Dipercaya akar sertifikasi otoritas, dan kemudian klik sertifikat.
  7. Menghapus terpercaya akar sertifikat bahwa Anda tidak harus memiliki. Untuk melakukan ini, klik kanan-atas sertifikat, klik Hapus, dan kemudian klik ya untuk mengkonfirmasi bahwa Anda ingin menghapus sertifikat.
InformasiUntuk mempelajari lebih lanjut tentang cara untuk mengotomatisasi penghapusan dan Instalasi sertifikat terpercaya akar otoritas pihak ketiga yang diinstal pada sistem operasi Windows Server, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:

2801679 Komunikasi SSL/TLS masalah setelah menginstal KB 931125

Informasi Ada beberapa akar sertifikat yang diperlukan oleh Windows. Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:

293781 Dipercaya akar sertifikat yang diperlukan oleh Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP dan Windows 2000

Metode 2:Mengkonfigurasi Kebijakan Grup untuk mengabaikan daftar dipercaya otoritas sertifikasi pada komputer yang host UC klien

Jika server yang meng-host aplikasi UC adalah anggota domain, Anda dapat membuat kebijakan yang menyebabkan server untuk mengabaikan daftar otoritas terpercaya sertifikasi pada komputer yang host UC klien. Bila Anda menerapkan kebijakan ini, terkena server dan klien percaya hanya sertifikat yang ada di toko Enterprise akar sertifikasi otoritas. Oleh karena itu, Anda tidak perlu mengubah masing-masing komputer.

WindowsServer 2008 R2 atau Windows Server 2008

Gunakan kebijakan untuk mendistribusikan sertifikat

WindowsServer 2003

Tambahkan otoritas sertifikasi terpercaya akar ke objek Kebijakan Grup


Catatan Ada beberapa akar sertifikat yang diperlukan oleh Windows. Anda harus menambahkan sertifikat berikut ke kebijakan yang Anda buat. Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:

293781 Dipercaya akar sertifikat yang diperlukan oleh Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP dan Windows 2000

Metode 3:Mengkonfigurasi Schannel tidak lagi mengirim daftar otoritas sertifikasi terpercaya akar selama proses jabat tangan TLS/SSL

Anda dapat mengikuti langkah-langkah berikut di Windows Server 2008 R2, Windows Server 2008 dan Windows Server 2003.

Peringatan Masalah serius mungkin muncul saat Anda memodifikasi registri secara tidak benar dengan menggunakan Peninjau suntingan registri atau metode lainnya. Masalah tersebut mengharuskan Anda untuk menginstal ulang sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diselesaikan. Mengubah registri risiko Anda sendiri.

Di server yang menjalankan aplikasi UC di mana Anda mengalami masalah ini, menetapkan entri registri berikut untuk palsu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nama nilai: SendTrustedIssuerList
Jenis nilai: REG_DWORD
Nilai data: 0 (False)


secara asali, Catatan ini tidak tercantum dalam registri. secara asali, nilai ini adalah 1 (True). Entri registri ini mengontrol bendera yang mengontrol apakah server mengirimkan daftar otoritas terpercaya sertifikasi kepada klien. Bila Anda membuat entri registri ini ke False, server tidak mengirimkan daftar otoritas sertifikasi terpercaya ke klien. Perilaku ini dapat mempengaruhi bagaimana klien menanggapi permintaan untuk sertifikat. Misalnya, jika Internet Explorer menerima permintaan klien, Internet Explorer menampilkan hanya sertifikat klien yang muncul dalam rantai dari salah satu otoritas sertifikasi yang ada di daftar dari server. Namun, jika server tidak mengirimkan daftar otoritas sertifikasi terpercaya, Internet Explorer menampilkan semua sertifikat klien yang diinstal pada komputer klien.

Untuk menyetel entri registri ini, ikuti langkah berikut:
  1. Klik mulai, klik menjalankan, jenis regedit, lalu klik OK.
  2. Temukan dan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Pada Edit menu, titik baru, dan kemudian klik Nilai DWORD.
  4. Jenis SendTrustedIssuerList, kemudian tekan Enter untuk memberi nama entri registri.
  5. Klik kanan-atas SendTrustedIssuerList, dan kemudian klik memodifikasi.
  6. Dalam nilai data kotak, ketik0 Jika nilai yang tidak sudah ditampilkan, dan kemudian klik OK.
  7. keluar dari Registry Editor.
Catatan Ada beberapa akar sertifikat yang diperlukan oleh Windows. Anda harus menambahkan sertifikat berikut ke kebijakan yang Anda buat. Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:

293781 Dipercaya akar sertifikat yang diperlukan oleh Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP dan Windows 2000

Informasi lebih lanjut

Meskipun ini tidak dicatatkan di bagian "Gejala", masalah ini dapat terjadi pada semua komputer yang menjalankan Windows Server 2003 atau Windows Server 2008 dan hosting Microsoft Exchange Unified Communications komponen seperti peran berikut:
  • Client Access Server
  • Kotak pesan
  • Server Unified Communications

sistem operasi Windows Server ini dapat menggunakan mekanisme pemutakhiran otomatis akar untuk mengunduh update otoritas sertifikasi dari website Microsoft Windows Update ketika klien memerlukan sambungan aman TLS. Proses update otomatis sertifikat ini menyebabkan server untuk mengumpulkan informasi otoritas sertifikasi tambahan yang diperlukan untuk memastikan permintaan sambungan aman UC klien TLS. Komponen Windows Server Schannel TestRunner Marsekal akar sertifikasi otoritas informasi kepada klien UC yang memerlukan sambungan aman TLS. Klien UC akan membandingkan kandungan Schannel CTL dengan sendiri daftar informasi otoritas sertifikasi. Proses ini membuat yakin bahwa pencocokan informasi sertifikat akar hadir di kedua Endpoint koneksi TCP untuk kelanjutan dari proses jabat tangan TLS. Namun, komponen Windows Server Schannel dapat Marsekal hanya sejumlah terbatas informasi otoritas sertifikasi Windows Server diinstal dalam dengan CTL ke UC klien bahwa permintaan sambungan aman TLS. Dalam beberapa skenario, hal ini menyebabkan klien UC aman TLS permintaan koneksi gagal.

Untuk informasi lebih lanjut tentang perbedaan desain untuk Windows Server 2003 dan Windows Server 2008 akar otomatis memperbarui konfigurasi dan tentang Schannel sertifikasi otoritas daftar keterbatasan, lihat bagian berikut.

Windows Server 2003


Windows Server 2003, daftar penerbit tidak dapat lebih besar dari 12,288 (atau 0x3000) byte. Instalasi Windows Server 2003 SP1 atau hotfix Windows Server 2003 SP2 KB933940 yang tercantum di bagian "Informasi selengkapnya" menyediakan Emiten diperbesar daftar kapasitas 16,384 (atau 0x4000) byte.

Mekanisme pemutakhiran otomatis akar tidak diaktifkan pada Windows Server 2003. Windows Server 2003 mendukung mekanisme pemutakhiran otomatis akar. Untuk informasi lebih lanjut tentang pembaruan otomatis akar untuk Server 2003, kunjungi website Microsoft TechNet berikut:

Hidupkan otomatis memperbarui sertifikat otoritas terpercaya akar

Windows Server 2008 R2 dan Windows Server 2008


Di Windows Server 2008, daftar penerbit tidak dapat lebih besar dari 16,384 (atau 0x4000) byte.

secara asali, mekanisme pemutakhiran otomatis akar diaktifkan dalam Windows Server 2008 dan Windows Server 2008 R2. Untuk informasi lebih lanjut tentang bagaimana mengelola mekanisme pemutakhiran otomatis akar, pergi ke website Microsoft TechNet berikut:

Sertifikat dukungan dan komunikasi Internet dihasilkan pada Windows Server 2008

Windows Server 2012

Windows Server 2012 tidak mendukung fungsi Schannel CTL yang hadir dalam versi sebelumnya sistem operasi Windows Server. Untuk informasi lebih lanjut tentang bagaimana mengelola Windows Server 2012 sertifikat terpercaya, baca "Manajemen penerbit terpercaya untuk klien otentikasi" bagian dari artikel Microsoft TechNet berikut:
Apa baru di TLS/SSL (Schannel SSP)

Untuk informasi lebih lanjut tentang masalah yang dijelaskan di bagian "Gejala", klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:

933430 Klien tidak dapat membuat sambungan jika Anda memerlukan sertifikat klien pada sebuah situs web atau jika Anda menggunakan IAS pada Windows Server 2003

931125 Anggota program Windows akar sertifikat

Properti

ID Artikel: 2464556 - Kajian Terakhir: 22 Oktober 2013 - Revisi: 3.0
Berlaku bagi:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Kata kunci: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 2464556

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com