샤넬 경고가 발생 하는 통합된 통신 피어 간 TLS 연결 실패

기술 자료 번역 기술 자료 번역
기술 자료: 2464556 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

현상

해당 응용 프로그램의 통합된 커뮤니케이션 (UC) 피어 전송 계층 보안 (TLS) 연결을 만들 수 없습니다 다음 응용 프로그램의 각.
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Microsoft Communicator 클라이언트
  • Microsoft® Office Live Meeting 2007 클라이언트
  • Microsoft Lync 서버
  • Microsoft Lync 클라이언트
또한 다음 샤넬 경고 및 문제 설명을에 나타나면 Windows Server 이벤트 로그:

이벤트 종류: 경고
이벤트 원본: 샤넬
이벤트 범주: 없음
이벤트 ID: 36885
날짜: 날짜
시간: 시간
사용자:
컴퓨터: 컴퓨터 이름

설명: 클라이언트 인증을 요구할 때이 서버는 신뢰할 수 있는 인증 기관 목록을 클라이언트로 보냅니다. 클라이언트 서버에서 신뢰할 수 있는 클라이언트 인증서를 선택 하려면이 목록을 사용 합니다. 현재이 서버는 목록이 너무 긴 커졌습니다 많은 인증 기관을 신뢰 합니다. 이 목록은 잘려졌습니다. 이 컴퓨터의 관리자는 클라이언트 인증을 위해 신뢰 된 인증 기관을 검토 하 고 신뢰할 수 실제로 필요 하지 않은 제거 해야 합니다.

원인

UC 서버에 전달 하지 않습니다 올바른 인증 기관 정보 다시 UC 클라이언트가 TLS 연결 협상 중 때문에이 문제가 발생 합니다. 다음과 같은 경우 발생합니다.

  • UC 서버 보안 TLS 연결을 요청 하는 UC 클라이언트에 설치 된 인증 기관 정보에 인증서 신뢰 목록 (CTL)을 전달 합니다.
  • CTL은 서버 Windows Schannel 구성 요소의 디자인 제한 사항에 따라 잘립니다.
  • 보안 TLS 연결을 요청한 UC 클라이언트 설치 된 인증 기관 목록에 포함 되어 있는 항목에 일치 하는 인증 기관 정보를 받지 않습니다.
  • "현상" 절에 나와 있는 오류 TLS 연결 시도가 실패 합니다.

UC 응용 프로그램을 호스팅하는 Windows Server 운영 체제의 보안 채널 구성 요소의 디자인 때문에이 문제가 발생 합니다.

참고Schannel 구성 요소는 Windows 서버 운영 체제 및 해당 CTL의 한계에 대 한 자세한 내용은 "Windows Server 2003에서" 참조 "Windows Server 2008 R2 및 Windows Server 2008" 및 "추가 정보" 섹션의 "Windows Server 2012" 하위 섹션.

해결 과정

다음 방법 "현상" 절에 설명 되어 있는 문제를 해결 합니다.

방법 1:일부 신뢰할 수 있는 루트 인증서 제거


경고 신뢰할 수 있는 루트 인증 기관 인증서를 제거할 때는 주의 해야 합니다. 서드 파티 신뢰할 수 있는 루트 인증 기관 인증서 제거 Windows 기반 서버에서 호스팅되는 응용 프로그램에 보안 클라이언트 액세스를 손상 시킬 수 있습니다.

일부 트러스트 된 루트 인증서 사용자의 환경에서 사용 되지 않는, 통합 커뮤니케이션 응용 프로그램을 호스팅하는 서버에서 제거 해야 합니다. 이렇게 하려면, 다음과 같이 하십시오.

Windows Server 2008 R2, Windows Server 2008 및 Windows Server 2003
  1. 시작, 실행을 형식 mmc를 누른 다음 확인을 클릭 합니다.
  2. 파일 메뉴에서 스냅인 추가/제거를클릭 한 다음 추가클릭 합니다.
  3. 독립 실행형 스냅인 추가 대화 상자 인증서를 클릭 한 다음 추가클릭 합니다.
  4. 컴퓨터 계정을 클릭 하 고 다음, 마침을 클릭 합니다.
  5. 닫기를 클릭 하 고 확인을 클릭 합니다.
  6. 콘솔 루트 Microsoft 관리 콘솔 (MMC) 스냅인에서 인증서 (로컬 컴퓨터), 신뢰할 수 있는 루트 인증 기관확장 한 다음 인증서를 클릭 합니다.
  7. 가 없는 신뢰할 수 있는 루트 인증서를 제거 합니다. 이렇게 하려면 인증서를 마우스 오른쪽 단추로 삭제를 클릭을 누른 확인 인증서를 제거 하는.
정보제거 및 Windows 서버 운영 체제에 설치 된 타사 신뢰할 수 있는 루트 기관 인증서는 설치를 자동화 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

2801679 KB 931125 설치 후 SSL/TLS 통신 문제

정보 Windows에 필요한 몇 가지 루트 인증서가. 자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭해 주십시오.

293781 Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP 및 Windows 2000에 필요한 루트 인증서를 신뢰할 수 있는

방법 2:UC 클라이언트 호스팅하는 컴퓨터에서 인증 기관을 신뢰할 수 있는 목록을 무시 하도록 그룹 정책 구성

UC 응용 프로그램을 호스팅하는 서버는 도메인의 구성원 인 경우 UC 클라이언트 호스팅하는 서버 컴퓨터의 신뢰할 수 있는 인증 기관 목록을 무시 하도록 발생 하는 정책을 만들 수 있습니다. 이 정책을 적용 하면 영향을 받는 서버와 클라이언트가 엔터프라이즈 루트 인증 기관 저장소에 있는 인증서만 신뢰 합니다. 개별 컴퓨터를 변경할 필요가 없습니다.

WindowsSe서버 2008 R2 또는 Windows Server 2008

정책을 사용 하 여 인증서 배포

Windows서버 2003

그룹 정책 개체에 신뢰할 수 있는 루트 인증 기관 추가


참고 Windows에 필요한 몇 가지 루트 인증서가. 사용자가 만든 정책에 이러한 인증서를 추가 해야 합니다. 자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭해 주십시오.

293781 Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP 및 Windows 2000에 필요한 루트 인증서를 신뢰할 수 있는

방법 3:TLS/SSL 핸드셰이크 프로세스 중에 신뢰할 수 있는 루트 인증 기관 목록을 더 이상 보낼 Schannel 구성

Windows Server 2008 R2, Windows Server 2008 및 Windows Server 2003에서 다음이 단계를 수행 수 있습니다.

경고 레지스트리 편집기를 사용하거나 다른 메서드를 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제는 운영 체제를 다시 설치 해야 합니다. Microsoft는 이러한 문제를 확인할 수 있는지 보장할 수 없습니다. 위험을 감안하고 레지스트리를 수정합니다.

이 문제가 발생 하는 UC 응용 프로그램을 실행 하는 서버에서 다음 레지스트리 항목을 false로 설정.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

값 이름: SendTrustedIssuerList
값 종류: REG_DWORD
값 데이터: 0 (거짓)


기본적으로이 항목이 레지스트리에 있는 나열 되지 않습니다. 기본적으로이 값이 1 (True). 이 레지스트리 항목은 서버가 신뢰할 수 있는 인증 기관의 목록을 클라이언트로 보냅니다 여부를 제어 하는 플래그를 제어 합니다. 이 레지스트리 항목을 False로 설정 하면 서버가 신뢰할 수 있는 인증 기관 목록을 클라이언트에 보내지 않습니다. 이 동작은 클라이언트 인증서 요청에 응답 하는 방법을 영향을 미칠 수 있습니다. 예를 들어, Internet Explorer 클라이언트 인증 요청을 받으면, 서버에서 목록에 있는 인증 기관 중 한 곳의 체인에 클라이언트 인증서를 Internet Explorer 표시 합니다. 그러나 서버는 신뢰할 수 있는 인증 기관 목록을 보내지 않습니다, Internet Explorer 클라이언트 컴퓨터에 설치 된 모든 클라이언트 인증서를 표시 합니다.

이 레지스트리 항목을 설정 하려면 다음과이 같이 하십시오.
  1. 시작, 실행을 형식 regedit를 누른 다음 확인을 클릭 합니다.
  2. 위치를 찾은 다음 레지스트리 하위 키를 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. 대의 편집 메뉴에서 새로만들기를 가리킨 다음 DWORD 값을 누릅니다.
  4. 형식 SendTrustedIssuerList를 레지스트리 항목의 이름을 입력 합니다.
  5. SendTrustedIssuerList마우스 오른쪽 단추로 클릭 하 고 수정을 클릭 합니다.
  6. 값 데이터 상자에 입력 합니다0 경우는 값이 이미 표시 및 다음 확인을 클릭 합니다.
  7. 레지스트리 편집기를 종료합니다.
참고 Windows에 필요한 몇 가지 루트 인증서가. 사용자가 만든 정책에 이러한 인증서를 추가 해야 합니다. 자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭해 주십시오.

293781 Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP 및 Windows 2000에 필요한 루트 인증서를 신뢰할 수 있는

추가 정보

"현상" 절에 표시 되지 않습니다, 하지만 Windows Server 2003 또는 Windows Server 2008 실행 하 고 다음 역할 등 Microsoft Exchange 통합 커뮤니케이션의 구성 요소를 호스팅하는 모든 컴퓨터에서이 문제가 발생할 수 있습니다.
  • 클라이언트 액세스 서버
  • 사서함
  • 통합된 통신 서버

이러한 Windows Server 운영 체제 자동 루트 업데이트 메커니즘이 사용 클라이언트 보안 TLS 연결 해야 할 경우 인증 기관 업데이트는 Microsoft Windows Update 웹 사이트에서 다운로드 수 있습니다. 이 인증서 자동된 업데이트 프로세스를 안전한 UC 클라이언트가 TLS 연결 요청을 확인 하는 데 필요한 추가 인증 기관 정보를 축적 하도록 서버를 하면 됩니다. Windows Server Schannel 구성이 마샬링합니다 루트 인증 기관 정보를를 UC 클라이언트의 보안 TLS 연결이 필요 합니다. UC 클라이언트가 자체 인증 기관 정보 목록 사용 하 여 Schannel CTL의 내용을 비교 합니다. 이 이렇게 하면 루트 인증서 정보를 일치 하는 TCP 연결의 두 종점이 모두에 존재에 대 한 TLS 핸드셰이크 프로세스 지속 되는지 확인 합니다. 그러나 Windows Server Schannel 구성 요소가 제한 된 양의 그 상자 보안 TLS 연결을 요청 하는 UC 클라이언트에 설치 된 Windows 서버 인증 기관 정보를 마샬링할 수 있습니다. 일부 시나리오에서는 이렇게 하면 UC 클라이언트의 보안 TLS 연결 요청이 실패 합니다.

Windows Server 2003 및 Windows Server 2008 자동 루트 디자인 차이 대 한 자세한 내용은 구성 업데이트 및 Schannel 인증 기관 목록 제한 하는 방법에 대 한 다음 섹션을 참조 하십시오.

Windows Server 2003


Windows Server 2003에서는 발급자 목록 12,288 (또는 0x3000) 보다 클 수 없습니다 바이트입니다. KB933940 "추가 정보" 절에 나와 있는 Windows Server 2003 SP2 핫픽스 또는 Windows Server 2003 s p 1의 설치 확대 된 발급자 목록을 용량 16, 384 (또는 0x4000) 바이트를 제공 합니다.

Windows Server 2003에서 자동 루트 업데이트 메커니즘을 사용 하지 않습니다. Windows Server 2003의 자동 루트 업데이트 메커니즘을 지원합니다. 자동 루트 업데이트 Server 2003에 대 한 자세한 내용은 다음 Microsoft TechNet 웹 사이트로 이동.

신뢰할 수 있는 루트 인증 기관 인증서의 자동 업데이트 켜기

Windows Server 2008 R2 및 Windows Server 2008


Windows Server 2008에서 발급자 목록 16, 384 (또는 0x4000) 보다 클 수 없습니다 바이트입니다.

기본적으로 Windows Server 2008 및 Windows Server 2008 r 2에서 자동 루트 업데이트 메커니즘이 활성화 됩니다. 자동 루트를 관리 하는 방법에 대 한 자세한 내용은 장치 업데이트를 다음 Microsoft TechNet 웹 사이트를 방문 하십시오.

인증서 지원 및 결과 인터넷 통신에서 Windows Server 2008

Windows Server 2012

Windows Server 2012 이전 버전의 Windows Server 운영 체제에 있던 샤넬 CTL 기능을 지원 하지 않습니다. Windows Server 2012 신뢰할 수 있는 인증서를 관리 하는 방법에 대 한 자세한 내용은 다음 Microsoft TechNet 문서 "클라이언트 인증을 위한 신뢰할 수 있는 발급자 관리" 섹션을 읽어 보십시오.
TLS/SSL (보안 채널 SSP)의 새로운 기능

"현상" 절에 설명 되어 있는 문제에 대 한 자세한 내용은 Microsoft 기술 자료에 있는 다음 문서 번호를 클릭 합니다.

933430 웹 사이트에서 클라이언트 인증서를 필요로 하는 경우 또는 Windows Server 2003에서 IAS를 사용 하는 경우 클라이언트 연결을 만들 수 없습니다.

931125 Windows 루트 인증서 프로그램 구성원

속성

기술 자료: 2464556 - 마지막 검토: 2013년 10월 22일 화요일 - 수정: 4.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
키워드:?
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtko
기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:2464556

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com