ユニファイド コミュニケーションのピア間で TLS 接続に失敗しましたには、Schannel の警告が生成されます。

文書翻訳 文書翻訳
文書番号: 2464556 - 対象製品
すべて展開する | すべて折りたたむ

目次

現象

トランスポート層セキュリティ (TLS) 接続を作成、次のアプリケーションのアプリケーションの統合コミュニケーション (UC) ピアにできません。
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • マイクロソフトの Communicator クライアント
  • Microsoft? Office Live Meeting の 2007年クライアント
  • Microsoft Lync Server
  • Microsoft Lync のクライアント
またが表示されます、次の Schannel 警告と問題の説明を Windows Server イベント ログに。

イベントの種類: 警告
イベント ソース: Schannel
イベント カテゴリ: なし
イベント ID: 36885
日付: 日付
時間: 時間
ユーザー:
コンピューター: コンピューター名

説明: クライアント認証を要求するときにこのサーバー信頼された証明機関の一覧クライアントに送信します。クライアントは、サーバーによって信頼されているクライアント証明書を選択するにはこの一覧を使用します。現在、このサーバーの一覧が大きくなりすぎて多くの証明機関を信頼します。このリストは、そのため切り捨てられました。このコンピューターの管理者する必要がありますクライアント認証用の信頼された証明機関を確認し、本当に信頼する必要はありませんを削除します。

原因

この問題は、TLS 接続のネゴシエーション中に UC サーバーは UC クライアントの適切な証明機関の情報を渡しませんために発生します。代わりに、次のシナリオが発生します。

  • UC サーバー、セキュリティで保護された TLS 接続を要求した UC クライアントにインストールされている証明機関の情報の証明書信頼リスト (CTL) を渡します。
  • CTL は、Windows サーバーの Schannel のコンポーネントのデザイン制限に従って切り捨てられます。
  • セキュリティで保護された TLS 接続を要求した UC クライアントは、インストールされている証明機関の一覧に含まれているエントリと一致する証明機関の情報を受信しません。
  • TLS 接続の試行は、「現象」に記載されているエラーで失敗します。

この問題は、Schannel のコンポーネントは、UC アプリケーションをホストしている Windows Server オペレーティング システムの仕様により発生します。

注: 「Windows Server 2003」を参照して、Windows サーバー オペレーティング システム Schannel のコンポーネントと、CTL の制限に関する詳細については、「Windows Server 2008 R2 と Windows Server 2008」と、「関連情報」セクションの「Windows Server 2012」サブセクション。

回避策

次の方法では、「現象」に記載されている問題を回避します。

方法 1:いくつかの信頼されたルート証明書を削除します。


警告信頼されたルート機関の証明書を削除するときに注意をしてください。サードパーティの信頼されたルート機関の証明書を削除するには、Windows ベースのサーバーでホストされているアプリケーションをセキュリティで保護されたクライアント アクセスを中断でした。

いくつかの信頼されたルート証明書は、お客様の環境では使用されません、する場合は、UC アプリケーションをホストしているサーバーから削除してください。これを行うには、次の手順を実行します。

Windows Server 2008 R2 とWindows Server 2008、 Windows Server 2003
  1. [スタート] ボタン、実行をクリックして型 mmc、し [ OK] をクリックします。
  2. 上のファイル ] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。
  3. [スタンドアロン スナップインの追加 ダイアログ ボックスで、証明書をクリックし、[追加] をクリックします。
  4. [コンピューター アカウント] をクリックして、次へ完了] をクリックします。
  5. [閉じる] をクリックし、[ OK] をクリックします。
  6. [コンソール ルート Microsoft 管理コンソール (MMC) スナップインで証明書 (ローカル コンピューター)] を展開、信頼ルート証明機関] を展開し、[証明書] をクリックします。
  7. 持っておく必要のない、信頼されたルート証明書を削除します。これには、証明書を右クリックし、削除を、] をクリックし、はい 、証明書を削除することを確認します。
情報Windows Server オペレーティング システムにインストールされているサード パーティ ルート証明機関を信頼された証明書のインストールと削除を自動化する方法について詳細については、「、マイクロソフト サポート技術資料を参照する次の文書番号をクリックします。

2801679 KB 931125 をインストールした後に、SSL や TLS 通信の問題

情報Windows で必要なルート証明書のいくつかがあります。詳細については、以下の資料番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。

293781 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista、Windows Server 2003、Windows XP、および Windows 2000 で必要なルート証明書を信頼します。

方法 2:UC クライアントをホストしているコンピューター上の証明機関を信頼のリストを無視するようにグループ ポリシーを構成します。

UC アプリケーションをホストするサーバーがドメインのメンバーである場合、UC クライアントをホストしているコンピューター上の信頼された証明機関の一覧を無視するようにサーバーを原因となるポリシーを作成できます。このポリシーを適用すると影響を受けるサーバーとクライアントは、エンタープライズ ルート証明機関ストア内の証明書のみを信頼します。したがって、個々 のコンピューターを変更する必要はありません。

WindowsSe2008 R2 またはWindows Server 2008 を利用した rver

ポリシーを使用して証明書を配布するには

WindowsServer 2003

信頼されたルート証明機関をグループ ポリシー オブジェクトに追加します。


メモ Windows で必要なルート証明書のいくつかがあります。作成したポリシーにこれらの証明書を追加する必要があります。詳細については、以下の資料番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。

293781 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista、Windows Server 2003、Windows XP、および Windows 2000 で必要なルート証明書を信頼します。

方法 3:TLS と SSL ハンドシェイク処理中に、信頼されたルート証明機関の一覧を送信できなくする Schannel を構成します。

次の手順では、Windows Server 2008 R2、Windows Server 2008 および Windows Server 2003 です。

警告レジストリ エディター、または別の方法を使用してレジストリを不適切に変更すると、深刻な問題が発生する可能性があります。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証できません。自己責任においてレジストリを変更してください。

この問題が発生する、UC アプリケーションを実行しているサーバーで、次のレジストリ エントリを false に設定します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

値の名前: SendTrustedIssuerList
値の種類: REG_DWORD
値のデータ: 0 (False)


既定では、このエントリは、レジストリには表示されません。既定では、この値は1 (True)です。このレジストリ エントリは、サーバー信頼された証明機関の一覧をクライアントに送信するかを制御するフラグを制御します。このレジストリ エントリをFalseに設定すると、サーバーは信頼された証明機関の一覧をクライアントに送信しません。この現象は、クライアントが証明書の要求に応答する方法に影響可能性があります。たとえば、Internet Explorer はクライアント認証の要求を受信した場合 Internet Explorer のみ、クライアント証明書に表示される 1 つのサーバーの一覧には、証明機関のチェーンに表示します。ただし、サーバーは信頼された証明機関の一覧を送信しない場合は、Internet Explorer がクライアント コンピューターにインストールされているすべてのクライアント証明書が表示されます。

このレジストリ エントリを設定するには、次の手順を実行します。
  1. [スタート] ボタン、実行をクリックして型 regedit、し [ OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. 上のを編集 ] メニューの [新規作成] をポイントし、[ DWORD 値] をクリックします。
  4. タイプ SendTrustedIssuerList、し、Enter キーを押して名前をレジストリ エントリ。
  5. SendTrustedIssuerListを右クリックし、[変更] をクリックします。
  6. データの値 ボックスに、入力0 値がないこと既に表示され、[ OK] をクリックします。
  7. レジストリ エディターを終了します。
メモ Windows で必要なルート証明書のいくつかがあります。作成したポリシーにこれらの証明書を追加する必要があります。詳細については、以下の資料番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。

293781 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista、Windows Server 2003、Windows XP、および Windows 2000 で必要なルート証明書を信頼します。

詳細

これが「現象」では記録されません、でもこの問題が発生してすべてコンピューターに Windows Server 2003 または Windows Server 2008 を実行しているし、、次の役割など、Microsoft Exchange ユニファイド コミュニケーションのコンポーネントをホストしています。
  • クライアント アクセス サーバー
  • メールボックス
  • ユニファイド ・ コミュニケーション ・ サーバー

これらの Windows Server オペレーティング システムは、クライアントはセキュリティで保護された TLS 接続が必要なときに、Microsoft Windows Update web サイトから証明機関の更新プログラムをダウンロードするには、ルートの自動更新メカニズムを使用できます。この証明書の自動更新処理により、サーバーのセキュリティで保護された UC クライアント TLS 接続の要求を確認するために必要なその他の証明機関の情報を蓄積します。Windows サーバーの Schannel のコンポーネントは、ルート証明機関の情報をセキュリティで保護された TLS 接続を必要とする UC クライアントにマーシャ リングします。UC クライアントは独自の証明機関の情報のリスト、Schannel CTL の内容を比較します。このプロセスは、ルート証明書の情報と一致するが、TLS ハンドシェイク プロセスの継続性を実現、TCP 接続の両方のエンドポイントであることを確認します。ただし、Windows Server の Schannel のコンポーネント UC クライアント TLS のセキュリティで保護された接続を要求するには、CTL に Windows サーバーがインストールされている証明機関の情報量が制限をマーシャ リングできます。一部のシナリオでは、UC クライアントのセキュリティで保護された TLS の接続要求が失敗するこれによりします。

詳細については、Windows Server 2003 および Windows Server 2008 の自動ルートの設計の違いについての構成の更新、Schannel 証明書機関リストの制限は、次のセクションを参照してください。

Windows Server 2003


Windows Server 2003 で、発行元の一覧より大きくできません 12,288 (または著しく) バイトです。インストールの Windows Server 2003 SP1 または Windows Server 2003 SP2 の修正プログラムの「関連情報」セクションに記載されている KB933940 の拡大された発行者リスト 16,384 (0x4000) 容量のバイト数を提供します。

ルートの自動更新メカニズムは、Windows Server 2003 では使用できません。Windows Server 2003 では、ルートの自動更新のメカニズムをサポートします。Server 2003 ルートの自動更新の詳細については、次のマイクロソフト TechNet web サイトを参照してください。

信頼されたルート証明機関の証明書の自動更新を有効に

Windows Server 2008 R2 と Windows Server 2008


Windows Server 2008 では、発行元の一覧より大きくできません 16,384 (0x4000) バイトです。

既定では、ルートの自動更新メカニズムは、Windows Server 2008 と Windows Server 2008 R2 で有効です。ルートの自動更新メカニズムを管理する、次のマイクロソフト TechNet web サイトに移動する方法の詳細については。

証明書のサポートと Windows server 2008 のインターネット通信結果

Windows Server 2012

Windows Server 2012 は、Windows サーバー オペレーティング システムの以前のバージョンで存在していた、Schannel CTL の機能をサポートしていません。Windows Server 2012 で信頼された証明書を管理する方法に関する詳細については、次の Microsoft TechNet の記事の「クライアント認証用の信頼できる発行元の管理」セクションを参照。
TLS と SSL (Schannel SSP) の新機能

「現象」に記載されている問題の詳細については、次のマイクロソフト サポート技術記事を表示するには、次資料番号をクリックしてください。

933430 Web サイトでクライアント証明書を必要とする場合、または Windows Server 2003 IAS を使用する場合は、クライアントが接続することはできません。

931125 Windows ルート証明書プログラムのメンバー

プロパティ

文書番号: 2464556 - 最終更新日: 2013年10月22日 - リビジョン: 5.0
この資料は以下の製品について記述したものです。
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
キーワード:?
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:2464556
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com