Nu a reușit TLS conexiune între colegii de comunicații unificate generează o avertizare Schannel

Traduceri articole Traduceri articole
ID articol: 2464556 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

Simptome

Fiecare din următoarele aplicații nu poate crea o conexiune de protocol TLS (TLS) cu peer de comunicații unificate (UC) această cerere:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Clientul Microsoft Communicator
  • Microsoftź Office Live Meeting 2007 client
  • Microsoft Lync Server
  • Microsoft Lync clientului
În plus, veți primi următorul Schannel avertisment și descrierea problemei în jurnal de evenimente Windows Server:

Tip eveniment: avertisment
Eveniment Sursa: Schannel
Categoria eveniment: nici unul
ID eveniment: 36885
Data: data
De timp: marcă de timp
Utilizator:
Calculator: NUMECOMPUTER

Descrierea/de control: Atunci când solicită pentru autentificare client, acest server trimite o listă a autorităților de certificare de încredere clientului. Clientul folosește această listă pentru a alege un certificat client, care este de încredere de către server. În prezent, acest server trusturi atât de multe autorită?i de certificare că Listă tabel a crescut prea mult marcă de timp. Această listă astfel s-a trunchiat. Administratorul de această mașină ar trebui autorită?ile de certificare de încredere pentru autentificare client de revizuire și scoateți cele care nu într-adevăr nevoie să fie de încredere.

Cauză

Această problemă apare deoarece serverul UC nu trece corect certificare autoritatea informații înapoi la UC client în timpul negocierii TLS conexiunii. În schimb, se produce următorul scenariu:

  • UC server trece său Listă de certificate de încredere (CTL) de informații de autoritate de certificare instalate la client UC care cere conexiune TLS securizată.
  • CTL este trunchiat ca pe proiectarea limitările de componenta Windows Server Schannel.
  • UC clientului care a solicitat conexiune TLS securizată nu a primit certificarea autoritatea informații care se potrivește intrările care sunt cuprinse în Listă tabel de autoritate sa instalat de certificare.
  • Încercare de conectare TLS nu reușește cu mesaj de eroare care este descris în secțiunea "Simptome".

Această problemă se produce din cauza design de componenta Schannel a sistemului de operare Windows Server, care este gazduieste UC aplicatii.

NotăPentru mai multe informații despre sistemul de operare Windows Server Schannel componentă și limitările sale CTL, consultați "Windows Server 2003," "Windows Server 2008 R2 și Windows Server 2008", și "Windows Server 2012" subsecțiuni din secțiunea "Mai multe informații".

Remediere

Următoarele metode de lucru în jurul problema descrisă în secțiunea "Simptome".

Metoda 1:Elimina unele certificate de încredere rădăcină


Avertizare Ar trebui să utilizați prudență atunci când scoateți certificatele de autoritate rădăcină de încredere. Eliminarea de certificate de autoritate rădăcină de încredere al treilea-petrecere ar putea rupe sigure clientului acces la aplicații care sunt gazduite pe serverul bazate pe Windows.

Dacă unele trusted root certificate nu sunt folosite în mediul dumneavoastră, ar trebui să eliminați-le de pe serverul care găzduiește aplicarea UC. Pentru aceasta, urmați acești pași:

Windows Server 2008 R2, Windows Server 2008 și Windows Server 2003
  1. Faceți clic pe Start, faceți clic pe Run, tip MMC, apoi faceți clic pe OK.
  2. Pe fișier meniu, faceți clic pe Adăugare/eliminare de completare Snap-in, și apoi faceți clic pe Adăugare.
  3. În Adauga Standalone Snap-in casetă de dialog, faceți clic pe certificate, și apoi faceți clic pe Adăugare.
  4. Faceți clic pe cont pentru computer, faceți clic pe Nextși apoi faceți clic pe Terminare.
  5. Faceți clic pe închidere, și apoi faceți clic pe OK.
  6. Sub consola Root în Microsoft consolă de gestionare (MMC) snap-in, extinde certificate (Local Computer), extinde Autorită?i de certificare rădăcină de încredereși apoi faceți clic pe certificate.
  7. Elimina Certificatele rădăcină de încredere, care nu trebuie să aibă. Pentru aceasta, faceți clic dreapta pe un certificat, faceți clic pe ștergețiși apoi faceți clic pe Da pentru a confirma că doriți să eliminați certificatul.
InformațiiPentru a afla mai multe despre cum să automatizeze îndepărtarea și instalarea a certificatelor Trusted Root autoritatea terți care sunt instalate pe sistemele de operare Windows Server, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:

2801679 Probleme de comunicare SSL/TLS după ce instalați KB 931125

Informații Există unele certificate rădăcină, care sunt cerute de Windows. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:

293781 Certificatele rădăcină, care sunt cerute de Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP și Windows 2000 de încredere

Metoda 2:Configurarea politicii de grup pentru a ignora Listă tabel de încredere de certificare pe computer care găzduie?te UC client

Dacă serverul care găzduiește aplicarea UC este membru al unui domeniu, puteți crea o politică care provoacă la server pentru a ignora Listă tabel de autorită?i de încredere de certificare pe computerul care găzduiește UC clientului. Atunci când se aplică această politică, afectate fermă de servere si clienti încredere numai certificatele care sunt în magazin de autorită?i de certificare Intreprindere rădăcină. Prin urmare, nu trebuie să schimbe calculatoare individuale.

WindowsServer 2008 R2 sau Windows Server 2008

Politica de utilizare a distribui certificate

WindowsServer 2003

Adauga o autoritate de certificare de încredere rădăcină într-un obiect de politică de grup


Notă Există unele certificate rădăcină, care sunt cerute de Windows. Trebuie să adăugați aceste certificate de la politica creat. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:

293781 Certificatele rădăcină, care sunt cerute de Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP și Windows 2000 de încredere

Metoda 3:Configura Schannel pentru a nu mai trimite Listă tabel autorită?ilor de certificare rădăcină de încredere în timpul procesului de strângere de mână TLS/SSL

Puteți urma acești pași în Windows Server 2008 R2, Windows Server 2008 și Windows Server 2003.

Avertizare Grave probleme ar putea apărea dacă modificați registry incorect utilizând Registry Editor sau utilizând o altă metodă. Aceste probleme s-ar putea cere să reinstalați sistemul de operare. Microsoft nu poate garanta că aceste probleme pot fi rezolvate. Modifica registry la propriul risc.

Pe serverul care execută aplicația UC care vă confruntați cu această problemă, setați intrarea de registry următoarele false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Value nume: SendTrustedIssuerList
Tipul de valoare: REG_DWORD
Valoarea de date: 0 (fals)


implicit, această intrare nu este listată în registry. implicit, această valoare este 1 (adevărat). Această intrare de registry controlează pavilion care controlează dacă serverul trimite o listă a autorităților de certificare de încredere clientului. Când setați această intrare de registry la False, serverul nu trimite o listă a autorităților de certificare de încredere clientului. Acest comportament poate afecta modul client răspunde la o solicitare de certificat. De exemplu, în cazul în care Internet Explorer prime?te o cerere pentru autentificare client, Internet Explorer afi?ează numai certificatele client care apar în lanțul de una dintre autorită?ile de certificare care sunt în Listă tabel de pe server. Cu toate acestea, în cazul în care serverul nu trimite o listă a autorităților de certificare de încredere, Internet Explorer afi?ează toate certificatele client, care sunt instalate pe computer client.

Pentru a seta această intrare de registry, urmați acești pași:
  1. Faceți clic pe Start, faceți clic pe Run, tip regedit, apoi faceți clic pe OK.
  2. Localizați și apoi faceți clic pe următoarea subcheie de registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Pe edita meniu, point la spre nou, și apoi faceți clic pe DWORD Value.
  4. Tip SendTrustedIssuerList, apoi apăsați Enter pentru a denumi intrarea de registry.
  5. SendTrustedIssuerList, și apoi atunci pocnitură Modify.
  6. În date de valoare cutie, tip0 Dacă că valoarea nu este afișat deja, și apoi faceți clic pe OK.
  7. Ieșire registru redactor.
Notă Există unele certificate rădăcină, care sunt cerute de Windows. Trebuie să adăugați aceste certificate de la politica creat. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:

293781 Certificatele rădăcină, care sunt cerute de Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP și Windows 2000 de încredere

Informații suplimentare

Deși acest lucru nu este menționat în secțiunea "Simptome", această problemă poate apărea pe toate computerele pe care se execută Windows Server 2003 sau Windows Server 2008 și sunt gazduieste componentele Microsoft Exchange Unified Communications următoarele roluri:
  • server de Acces clienți
  • Cutia poștală
  • server de comunicații unificate

Aceste sisteme de operare Windows Server puteți utiliza mecanismul de actualizare automată rădăcină pentru a descărca actualizări de autoritate de certificare la site web Microsoft Actualizare Windows, atunci când un client solicită o conexiune securizată TLS. Acest proces de actualizare automată certificat cauze server pentru a acumula informații de autoritatea certificarea suplimentară că este nevoie să vă asigurați-vă că sigur UC client TLS cererilor de conexiune. Componenta Windows Server Schannel mareșali certificare rădăcină autoritatea informațiile clientului UC care necesită conexiune securizată TLS. UC clientul va compara conținutul Schannel CTL cu propria listă de informații de autoritate de certificare. Acest proces asigură că informațiile de certificat rădăcină de potrivire este prezent la ambele capetele conexiunii TCP pentru continuarea procesului de strângere de mână TLS. Cu toate acestea, componenta Windows Server Schannel poate mareșalul doar o cantitate limitată de certificare Windows Server instalat autoritatea informațiile din CTL sale înapoi la UC client care cere conexiune TLS securizată. În unele scenarii, acest lucru provoacă UC sigure TLS conexiune la cererea clientului să nu reușească.

Pentru mai multe informații despre diferențele de proiectare pentru Windows Server 2003 și Windows Server 2008 rădăcină automat update configurații și despre Schannel certificare autoritatea Listă tabel limitări, consultați următoarele secțiuni.

Windows Server 2003


În Windows Server 2003, Listă tabel de emitentul nu poate fi mai mare de 12,288 (sau 0x3000) bytes. Instalarea Windows Server 2003 SP1 sau a Windows Server 2003 SP2 remedierea rapidă KB933940 care este listat în secțiunea "Mai multe informații" oferă un emitent extinsă Listă tabel capacitatea de 16,384 (sau 0x4000) bytes.

Mecanismul de actualizare automată rădăcină nu este activat în Windows Server 2003. Windows Server 2003 acceptă mecanismul de actualizare automată rădăcină. Pentru mai multe informații despre actualizările automate rădăcină pentru Server 2003, du-te la următorul site Web Microsoft TechNet:

Activa?i actualizarea automată de certificate de autoritate rădăcină de încredere

Windows Server 2008 R2 și Windows Server 2008


În Windows Server 2008, Listă tabel de emitentul nu poate fi mai mare de 16,384 (sau 0x4000) bytes.

implicit, mecanismul de actualizare automată rădăcină este activată în Windows Server 2008 și Windows Server 2008 R2. Pentru mai multe informații despre modul de a gestiona mecanismul de actualizare automată rădăcină, du-te la următorul site Web Microsoft TechNet:

Certificat de sprijin și de comunicare pe Internet care rezultă în Windows Server 2008

Windows Server 2012

Windows Server 2012 nu acceptă funcționalitatea Schannel CTL care a fost prezent în versiuni anterioare de sisteme de operare Windows Server. Pentru mai multe informații despre modul de Windows Server 2012 gestionează certificate de încredere, citiți secțiunea "Management de emiten?i de încredere pentru autentificarea client" din următorul articol Microsoft TechNet:
Ce este nou în TLS/SSL (Schannel SSP)

Pentru mai multe informații despre problema descrisă în secțiunea "Simptome", faceți clic pe următoarele numere de articol pentru a vedea articolele în bază de cunoștințe Microsoft:

933430 Clientii pot face conexiuni dacă aveți nevoie de certificatele client pe un site web sau dacă utilizați IAS în Windows Server 2003

931125 Membrii programului Windows rădăcină certificat

Proprietă?i

ID articol: 2464556 - Ultima examinare: 22 octombrie 2013 - Revizie: 3.0
Se aplică la:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Cuvinte cheie: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2464556

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com