Si verifica un errore di autenticazione client TLS tra i peer di Unified Communications con un messaggio di avviso di Schannel ha effettuato l'accesso

Identificativo articolo: 2464556 - Visualizza i prodotti a cui si riferisce l?articolo.
Traduzione automatica articoliAttenzione: Questo è un articolo tradotto in automatico.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Le seguenti applicazioni di un errore in creazione di una connessione TLS con relativo peer di Unified Communications (UC):
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Client di Communicator Microsoft
  • Microsoft® Office Live Meeting 2007 client
  • Microsoft Lync Server
  • Client di Microsoft Lync
Inoltre, il seguente evento di avviso che descrive il problema viene visualizzato nel registro eventi di Windows Server:

Tipo di evento: avviso
Origine evento: Schannel
Categoria evento: nessuno
ID evento: 36885
Data: data
Tempo: tempo
Utente:
Computer: NomeComputer

Descrizione: Quando richiede l'autenticazione del client, il server invia un elenco di autorità di certificazione attendibili al client. Il client utilizza questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, ritenute attendibili dal server molte autorità di certificazione che l'elenco è diventato troppo lungo. Questo elenco è pertanto stato troncato. L'amministratore del computer deve esaminare le autorità di certificazione attendibili per l'autenticazione client e rimuovere quelli che non è realmente necessario per essere considerato attendibile.

Torna all'inizio | Invia suggerimenti

Cause

La soluzione UC non vengono trasmesse le informazioni di autorità di certificazione corretta al client UC durante la negoziazione della connessione TLS.

  • Il server UC passa un elenco di informazioni sull'autorità di certificazione installata sul client UC che richiede la connessione TLS protetta.
  • Questo elenco viene troncato in base a dei limiti di progettazione del componente Windows Server Schannel.
  • Il client di Unicità che ha richiesto la connessione TLS protetta non riceve le informazioni dell'autorità di certificazione corrispondenti le voci nel relativo elenco di autorità di certificazione installata.
  • Il tentativo di connessione TLS ha esito negativo e l'errore è elencato nella sezione "Sintomi".

Questo problema si verifica a causa della progettazione del componente del sistema operativo Windows Server che ospita le applicazioni UC Schannel.
Torna all'inizio | Invia suggerimenti

Workaround

I metodi elencati di seguito forniscono una soluzione alternativa per il problema descritto nella sezione "Sintomi".

Metodo 1:Rimuovere alcuni certificati principali attendibili

Se alcuni attendibili i certificati principali non vengono utilizzati nell'ambiente in uso, è necessario rimuoverli dal server che ospita l'applicazione UC. Per effettuare questa operazione, attenersi alla seguente procedura.

Nota I passaggi elencati di seguito possono essere eseguiti in Windows Server 2003 e in Windows Server 2008.

  1. Fare clic su Inizio, fare clic su Eseguire, tipo MMC, quindi fare clic su OK.
  2. Nel File menu, fare clic su Aggiungi/Rimuovi Snap-in, quindi fare clic su Aggiungere.
  3. Nel Aggiungere lo Snap-in autonomo Nella finestra di dialogo, fare clic su Certificati, quindi fare clic su Aggiungere.
  4. Fare clic su Account del computer, fare clic su Successivo, quindi fare clic su Fine.
  5. Fare clic su Chiudere, quindi fare clic su OK.
  6. Nella casella di gruppo Directory principale della console nello snap-in Microsoft Management Console (MMC) espandere Certificati (Computer locale), espandere Autorità di certificazione radice attendibili, quindi fare clic su Certificati.
  7. Rimuovere i certificati principali attendibili che non è necessario avere. A tale scopo, fare doppio clic di un certificato, fare clic su Elimina, quindi fare clic su per confermare la rimozione del certificato.
Nota Esistono alcuni certificati di origine sono richiesti da Windows. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

293781
(http://support.microsoft.com/kb/293781)
Certificati principali attendibili che sono necessari per Windows Server 2008 R2, da Windows 7, da Windows Server 2008, da Windows Vista, Windows Server 2003, da Windows XP e da Windows 2000

Metodo 2:Configurare i criteri di gruppo per ignorare l'elenco delle autorità di certificazione sul computer che ospita il client UC attendibili

Se il server che ospita l'applicazione UC è un membro di un dominio, è possibile creare un criterio che fa sì che il server per ignorare l'elenco delle autorità di certificazione attendibili sul computer che ospita il client UC. Quando si applica questo criterio, i server interessati e i client attendibili solo i certificati nell'archivio Autorità di certificazione principale dell'organizzazione. Pertanto, non è necessario modificare i singoli computer.

Nota Le informazioni che figurano nei passaggi 1 e 2 sono disponibili solo per il servizio di directory di Active Directory di Windows Server 2003.

Per creare questo criterio, attenersi alla seguente procedura:

Passaggio 1: Creare un oggetto Criteri di gruppo. A tale scopo, accedere a un controller di dominio e quindi avviare lo strumento Active Directory Users and Computers.
  1. Fare clic su Inizio, fare clic su Eseguire, tipo DSA. msc, quindi fare clic su OK.
  2. Pulsante destro del mouse il contenitore in cui si desidera configurare l'oggetto Criteri di gruppo e quindi fare clic su Proprietà. Ad esempio, pulsante destro del mouse il contenitore di dominio o destro del mouse su un contenitore dell'unità organizzativa.
  3. Scegliere il Criteri di gruppo scheda e quindi fare clic su Nuovo.
  4. Digitare un nome descrittivo per il criterio e quindi premere INVIO.
  5. Fare clic su Modifica Per avviare l'Editor oggetti Criteri di gruppo.
  6. Espandere Configurazione del computer, espandere Impostazioni di Windows, espandere Impostazioni di protezione, quindi fare clic su Criteri chiave pubblica.
  7. Pulsante destro del mouse Autorità di certificazione radice attendibili, quindi fare clic su Proprietà.
  8. Fare clic su Autorità di certificazione principale dell'organizzazione, quindi fare clic su OK.
  9. Chiudere l'Editor oggetti Criteri di gruppo.
  10. Fare clic su OK per chiudere la Proprietà NomeOggetto Nella finestra di dialogo.
Passaggio 2: Aggiungere i certificati radice all'archivio certificati Autorità di certificazione principale attendibili. Esportare tutti i certificati radice necessari dall'archivio del computer locale del server appropriato. Ad esempio certificati radice per le autorità di certificazione interna (CA) e certificati di origine per le autorità di certificazione pubblica richieste dall'organizzazione.
  1. Accedere a un controller di dominio e quindi avviare lo strumento Active Directory Users and Computers.
  2. Pulsante destro del mouse sul contenitore che contiene l'oggetto Criteri di gruppo creato nel "passaggio 1: l'oggetto Criteri di creazione di un gruppo" della sezione e quindi fare clic su Proprietà.
  3. Scegliere il Criteri di gruppo scheda, fare clic sull'oggetto Criteri di gruppo e quindi fare clic su Modifica.
  4. Espandere Configurazione del computer, espandere Impostazioni di Windows, espandere Impostazioni di protezione, quindi fare clic su Criteri chiave pubblica.
  5. Pulsante destro del mouse Autorità di certificazione radice attendibili, quindi fare clic su Importazione.
  6. Seguire i passaggi dell'importazione guidata certificati per importare il certificato principale o i certificati che è stato esportato nel passaggio 2A.
  7. Chiudere l'Editor oggetti Criteri di gruppo.
  8. Fare clic su OK per chiudere la Proprietà NomeOggetto Nella finestra di dialogo.
Nota Esistono alcuni certificati di origine sono richiesti da Windows. È necessario aggiungere questi certificati per il criterio è stato creato. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

293781
(http://support.microsoft.com/kb/293781)
Certificati principali attendibili che sono necessari per Windows Server 2008 R2, da Windows 7, da Windows Server 2008, da Windows Vista, Windows Server 2003, da Windows XP e da Windows 2000

Metodo 3:Configura Schannel a non potrà inviare l'elenco delle autorità di certificazione principale attendibile durante il processo di handshake TLS/SSL

Nota I passaggi elencati di seguito possono essere eseguiti in Windows Server 2003 e in Windows Server 2008.

Avviso Se si modifica il Registro di sistema in modo non corretto utilizzando l'Editor del Registro di sistema o un altro metodo, potrebbero verificarsi problemi gravi. Che possono richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.

Sul server che esegue l'applicazione di Unicità in cui si verifica questo problema, impostare la seguente voce del Registro di sistema su false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nome valore: SendTrustedIssuerList
Tipo di valore: REG_DWORD
Dati valore: 0 (FALSO)


Per impostazione predefinita, questa voce non è elencata nel Registro di sistema. Per impostazione predefinita, questo valore è 1 (VERO). Questa voce del Registro di sistema controlla il flag che controlla se il server invia al client un elenco di autorità di certificazione attendibili. Quando questa voce del Registro di sistema è impostata su False, il server non invia un elenco di autorità di certificazione attendibili al client. Questo problema potrebbe riguardare il modo in cui il client risponde a una richiesta di certificato. Ad esempio, se Internet Explorer riceve una richiesta per l'autenticazione client, Internet Explorer consente di visualizzare solo i certificati client che vengono visualizzati nella catena di una delle autorità di certificazione che l'elenco dal server. Tuttavia, se il server non invia un elenco di autorità di certificazione attendibili, Internet Explorer consente di visualizzare tutti i certificati client sono installati nel computer client.

Per impostare questa voce del Registro di sistema, attenersi alla seguente procedura:
  1. Fare clic su Inizio, fare clic su Eseguire, tipo Regedit, quindi fare clic su OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Nel Modifica dal menu Nuovo, quindi fare clic su Valore DWORD.
  4. Tipo SendTrustedIssuerList, quindi premere INVIO per assegnare il nome della voce del Registro di sistema.
  5. Pulsante destro del mouse SendTrustedIssuerList, quindi fare clic su Modificare.
  6. Nel Dati valore casella, digitare 0 Se il valore non è già visualizzata e quindi fare clic su OK.
  7. Uscire dall'Editor del Registro di sistema.
Nota Esistono alcuni certificati di origine sono richiesti da Windows. È necessario aggiungere questi certificati per il criterio è stato creato. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

293781
(http://support.microsoft.com/kb/293781)
Certificati principali attendibili che sono necessari per Windows Server 2008 R2, da Windows 7, da Windows Server 2008, da Windows Vista, Windows Server 2003, da Windows XP e da Windows 2000

Torna all'inizio | Invia suggerimenti

Informazioni

Sebbene questo fatto non è annotato nella sezione "Sintomi", questo problema può verificarsi in tutti i computer che eseguono Windows Server 2003 o Windows Server 2008 e che ospitano i componenti di Microsoft Exchange Unified Communications, ad esempio i seguenti ruoli:
  • Server accesso client
  • Cassetta postale
  • Unified Communications Server

I sistemi operativi Windows Server consente di utilizzare il meccanismo di aggiornamento principale automatici per scaricare gli aggiornamenti di autorità di certificazione dal sito Web Microsoft Windows Update quando un client richiede una connessione TLS protetta. Questo processo di aggiornamento automatico del certificato, il server si accumulano le informazioni di autorità di certificazione supplementare sono necessario verificare che le richieste di connessione TLS di client di protezione UC. Il componente di Windows Server Schannel esegue il marshalling le informazioni di autorità di certificazione radice al client UC che richiede la connessione TLS protetta. Il client UC consentirà di confrontare il contenuto dell'elenco Autorità di certificazione al radice Schannel con il relativo elenco di informazioni sull'autorità di certificazione. Questo processo assicura che le informazioni del certificato radice di corrispondenza sono presente in entrambi gli endpoint della connessione TCP per la continuità del processo di handshake TLS. Tuttavia, il componente di Windows Server Schannel può effettuare il marshalling solo una quantità limitata delle informazioni di autorità di certificazione installato Windows Server al client UC che richiede la connessione TLS protetta. In alcuni scenari, in questo modo sicura TLS richiesta di connessione del client UC non riesca.

Vedere le sezioni seguenti per ulteriori informazioni sulle differenze di progettazione per le configurazioni di aggiornamento automatico principale Windows Server 2003 e Windows Server 2008 e sui limiti degli elenchi autorità certificazione Schannel.

Windows Server 2003


In Windows Server 2003, l'elenco di autorità emittenti non può superare quelle 12.288 o 0x3000 byte. L'installazione di Windows Server 2003 SP1 o Windows Server 2003 Service Pack 2 hotfix KB933940 è elencato nella sezione "Informazioni" fornisce un emittente allargato capacità di elenco di 16.384 oppure 0x4000 byte.

Il meccanismo di aggiornamento automatico radice non è abilitato in Windows Server 2003. Windows Server 2003 supporta il meccanismo di aggiornamento automatico radice. Per ulteriori informazioni sugli aggiornamenti automatici radice per Server 2003, visitare il seguente sito Web Microsoft TechNet:

Attivare l'aggiornamento automatico dei certificati di autorità principali attendibili
(http://technet.microsoft.com/en-us/library/cc786443(WS.10).aspx)


Windows Server 2008


In Windows Server 2008, l'elenco di autorità emittenti non può essere maggiore di 16.384 oppure 0x4000 byte.

Per impostazione predefinita, il meccanismo di aggiornamento automatico radice è attivato in Windows Server 2008 e nelle versioni successive di Windows. Per ulteriori informazioni su come gestire il meccanismo di aggiornamento automatico principale di Windows Server 2008, visitare il seguente sito Web Microsoft TechNet:

Il certificato risultante comunicazione Internet in Windows Server 2008 e supporto
(http://technet.microsoft.com/en-us/library/cc771121(WS.10).aspx)


Per ulteriori informazioni sul problema descritto nella sezione "Sintomi", fare clic sul numero dell'articolo riportato di seguito per visualizzare gli articoli della Microsoft Knowledge Base riportato di seguito:

933430
(http://support.microsoft.com/default.aspx?scid=kb;EN-US;933430)
I client non possono effettuare connessioni se si richiedono i certificati client in un sito Web o se si utilizza IAS in Windows Server 2003

931125
(http://support.microsoft.com/default.aspx?scid=kb;EN-US;931125)
Windows root certificate program members

Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 2464556 - Ultima modifica: martedì 20 novembre 2012 - Revisione: 3.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Chiavi: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2464556
(http://support.microsoft.com/kb/2464556/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio