Предупреждение Schannel возникает сбой TLS-подключение между узлами объединенных коммуникаций

Переводы статьи Переводы статьи
Код статьи: 2464556 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

Каждый из следующих приложений невозможно создать безопасности транспортного уровня (TLS) соединение с узлом приложения объединенных коммуникаций (UC):
  • Microsoft Exchange Server.
  • Microsoft Office Communications Server
  • Клиент Communicator Microsoft
  • Клиент Microsoft® Office Live Meeting 2007
  • Microsoft Lync Server
  • Клиент Microsoft Lync
Кроме того появляется следующее предупреждение Schannel и описание проблемы в журнале событий Windows Server:

Тип события: предупреждение
Источник события: Schannel
Категория события: нет
Код события: 36885
Дата: дата
Время: время
Пользователь:
Компьютер: имя_компьютера

Описание: При запросе проверки подлинности клиента этот сервер отправляет список доверенных центров сертификации клиента. Клиент использует этот список, чтобы выбрать сертификат клиента, который является доверенным для сервера. В настоящий момент этот сервер доверяет так много центров сертификации, список растет слишком длинное. Таким образом этот список был усечен. Администратор этого компьютера следует просмотреть центры сертификации, доверенные для проверки подлинности клиента и удалить те из них, которые не нужно быть доверенным.

Причина

Эта проблема возникает, так как сервер единой системы Связи не передать сведения о центре сертификации правильный клиенту UC во время согласования TLS-подключение. Вместо этого происходит следующий сценарий:

  • UC сервер передает свой список доверия сертификатов (CTL) для сведения о центре сертификации установленных UC клиента, запрашивающего безопасное соединение TLS.
  • CTL усекается по ограничений конструктора компонента Windows Server Schannel.
  • UC клиента, запросившего безопасное подключение TLS не получает сведения о центре сертификации, который соответствует записи, содержащиеся в списке центра сертификации, установленного.
  • Попытка подключения TLS завершается с ошибкой, описанной в разделе «Проблема».

Эта проблема возникает из-за структуры Schannel компонент операционной системы Windows Server, на котором размещены приложения объединенных Коммуникаций.

ПримечаниеДополнительные сведения о Schannel компонент операционной системы Windows Server и ограничения его CTL ссылки «Windows Server 2003» «Windows Server 2008 R2 и Windows Server 2008» и «Windows Server 2012» подразделы в разделе «Дополнительные сведения».

Временное решение

Следующие методы обхода проблемы, описанной в разделе «Проблема».

Способ 1:Удалить некоторые доверенные корневые сертификаты


Предупреждение Будьте внимательны при удалении сертификатов доверенного корневого центра сертификации. Удаление сторонних сертификатов доверенного корневого центра сертификации может привести к нарушению безопасности клиентского доступа к приложениям, которые размещаются на сервере под управлением Windows.

Если некоторые доверенные корневые сертификаты не используются в данной среде, следует удалить их с сервера, где размещается приложение объединенных Коммуникаций. Чтобы сделать это, выполните следующие действия.

Windows Server 2008 R2, Windows Server 2008 и Windows Server 2003
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
  2. На файл меню выберите пункт Добавить или удалить оснасткуи нажмите кнопку Добавить.
  3. В Добавить изолированную оснастку диалоговое окно, выберите сертификатыи нажмите кнопку Добавить.
  4. Щелкните учетная запись компьютера, нажмите кнопку Далееи затем нажмите кнопку Готово.
  5. Нажмите кнопку Закрыть, а затем нажмите кнопку ОК.
  6. В разделе Корень консоли в оснастке консоли управления (MMC), разверните Сертификаты (локальный компьютер), разверните узел Доверенные корневые центры сертификациии щелкните сертификаты.
  7. Удалите доверенные корневые сертификаты, которые не должны иметь. Чтобы сделать это, щелкните правой кнопкой мыши сертификат, нажмите кнопку Удалитьи нажмите кнопку Да для подтверждения удаления сертификата.
СведенияДля получения дополнительных сведений об автоматизации удаления и установки сторонних сертификатов доверенного корневого центра сертификации, устанавливаемые в операционных системах Windows Server, щелкните следующий номер статьи базы знаний Майкрософт:

2801679 Проблемы с протоколом SSL/TLS после установки 931125

Сведения Существуют некоторые корневые сертификаты, необходимые для работы Windows. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

293781 Доверенные корневые сертификаты, необходимые для Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP и Windows 2000

Способ 2:Настроить групповую политику, чтобы игнорировать список доверенных центров сертификации на компьютере, на котором размещена UC клиента

Если сервер, на котором размещены приложения объединенных Коммуникаций является членом домена, можно создать политику, которая заставляет сервер игнорирует список доверенных центров сертификации на компьютере, на котором размещается клиент унифицированных Коммуникаций. При применении этой политики, затронутых серверов и клиентов доверять только сертификаты в хранилище корневых центров сертификации предприятия. Таким образом нет необходимости изменять отдельные компьютеры.

WindowsSE2008 R2 или Windows Server 2008 на сервере

Использовать политику для передачи сертификатов

WindowsServer 2003

Добавление доверенного корневого центра сертификации в объект групповой политики


Примечание Существуют некоторые корневые сертификаты, необходимые для работы Windows. Необходимо добавить эти сертификаты созданную политику. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

293781 Доверенные корневые сертификаты, необходимые для Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP и Windows 2000

Способ 3:Настройка безопасного канала Schannel не отправлять в список доверенных корневых центров сертификации в процессе подтверждения TLS/SSL

Эти действия в Windows Server 2008 R2, Windows Server 2008 и Windows Server 2003.

Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Этих проблем может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует, что эти проблемы можно разрешить. Ответственность за изменение реестра несет пользователь.

На сервере, на котором выполняется приложения объединенных Коммуникаций, на котором возникают проблемы значение false следующую запись реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Имя значения: SendTrustedIssuerList
Тип значения: REG_DWORD
Значение: 0 (ЛОЖЬ)


По умолчанию эта запись отсутствует в реестре. По умолчанию это значение равно 1 (ИСТИНА). Этот параметр реестра контролирует флаг, который определяет, является ли сервер отправляет список доверенных центров сертификации клиента. Если этому параметру присвоено значение False, сервер отправляет список доверенных центров сертификации клиента. Это может повлиять на то, как клиент отвечает на запрос сертификата. Например если обозреватель Internet Explorer получает запрос для проверки подлинности клиента, Internet Explorer отображает только сертификаты клиентов, которые появляются в цепочке сертификации, в списке с сервера. Однако если сервер не отправляет список доверенных центров сертификации, Internet Explorer отображает все сертификаты клиента, установленных на клиентском компьютере.

Чтобы задать этот параметр реестра, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. На Изменить меню выберите команду Создатьи затем щелкните Значение DWORD.
  4. Введите SendTrustedIssuerList, и нажмите клавишу ВВОД, чтобы переименовать запись в реестре.
  5. Щелкните правой кнопкой мыши SendTrustedIssuerListи выберите команду Изменить.
  6. В значение введите0 Если значение не отображается и нажмите кнопку ОК.
  7. Закройте редактор реестра.
Примечание Существуют некоторые корневые сертификаты, необходимые для работы Windows. Необходимо добавить эти сертификаты созданную политику. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

293781 Доверенные корневые сертификаты, необходимые для Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP и Windows 2000

Дополнительная информация

Хотя это не было отмечено в разделе «Проблема», эта проблема может возникнуть на всех компьютерах, которые работают под управлением Windows Server 2003 или Windows Server 2008 и размещении объединенных коммуникаций Майкрософт Exchange компонентов, таких как следующие роли:
  • Сервер клиентского доступа
  • Почтовый ящик
  • Сервер единой системы обмена данными

Эти операционные системы Windows Server можно использовать механизм автоматического корневой обновления для загрузки обновления центра сертификации с веб-узла Microsoft Windows Update, если клиент требует безопасного подключения TLS. Процесс обновления сертификата автоматических заставляет сервер для сбора информации о центрах сертификации дополнительных сертификации, необходимые для обеспечения запросы клиентских соединений TLS безопасность Коммуникаций. Компонент Windows Server Schannel выполняет маршалинг сведения о центре сертификации корневого клиенту объединенных Коммуникаций, который требует безопасного подключения TLS. Клиент UC сравнивает содержимое Schannel CTL со своим собственным списком сведения о центре сертификации. Эта процедура позволяет убедиться, что корневой сертификат сведения о сопоставлении присутствует в обеих конечных точках подключения TCP для continuance процесса подтверждения TLS. Однако компонент Windows Server Schannel можно маршалировать только ограниченный объем сведения о центре сертификации Windows Server установлены в его CTL клиенту объединенных Коммуникаций, запрашивающего безопасное соединение TLS. В некоторых случаях в результате UC клиента безопасности TLS запрос на подключение к сбою.

Дополнительные сведения о различиях разработки для Windows Server 2003 и Windows Server 2008 корня автоматического обновления конфигураций и об ограничениях список центра сертификации Schannel, содержатся в следующих разделах.

Windows Server 2003


В Windows Server 2003 поставщик списка не может быть больше 12 288 (или 0x3000) байт. Установки Windows Server 2003 с пакетом обновления 1 или 2 (SP2) для Windows Server 2003 исправление KB933940, перечисленных в разделе «Дополнительные сведения» предоставляет поставщика увеличенный объем 16 384 (или 0x4000) байт.

Механизм автоматического корневой обновления не включена в Windows Server 2003. Windows Server 2003 поддерживает механизм автоматического корневой обновления. Дополнительные сведения о корневой автоматического обновления для Server 2003 посетите следующий веб-узел Microsoft TechNet:


Windows Server 2008 R2 и Windows Server 2008


В Windows Server 2008 поставщик списка не может быть больше 16 384 (или 0x4000) байт.

По умолчанию механизм автоматического корневой обновления включена в Windows Server 2008 и Windows Server 2008 R2. Дополнительные сведения о том, как управлять механизм автоматического корневой обновления, перейдите на следующий веб-узел Microsoft TechNet:


Windows Server 2012

Windows Server 2012 не поддерживает функциональность Schannel CTL, который присутствовал в более ранних версиях операционных систем Windows Server. Дополнительные сведения об управлении доверенных сертификатов Windows Server 2012 ознакомьтесь с разделом «Управление доверенных поставщиков для проверки подлинности клиента» к следующей статье Microsoft TechNet:
Новые возможности в TLS/SSL (Schannel SSP)

Дополнительные сведения о проблеме, описанной в разделе «Проблема» щелкните следующий номер статьи базы знаний Майкрософт:

933430 Клиенты не могут подключаться требовать сертификаты клиентов на веб-сайте, или использовать IAS в Windows Server 2003

931125 Участники программы корневых сертификатов Windows

Свойства

Код статьи: 2464556 - Последний отзыв: 22 октября 2013 г. - Revision: 7.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Ключевые слова: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 2464556

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com