Zlyhalo pripojenie TLS medzi rovesníkmi zjednotená komunikácia generuje Schannel upozornenie

Preklady článku Preklady článku
ID článku: 2464556 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

Príznaky

Každá z týchto aplikácií nemôže vytvoriť pripojenie Transport Layer Security (TLS) s peer unified communications (UC) danej aplikácie:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Microsoft Communicator klienta
  • Microsoft Office Live Meeting 2007 klient
  • Microsoft Lync Server
  • Microsoft Lync klienta
Navyše sa zobrazí nasledovné upozornenie Schannel a popis problému v denníku udalostí systému Windows servera:

Typ udalosti: Upozornenie
Zdroj udalosti: Schannel
Kategória udalosti: žiadna
Udalosť ID: 36885
Dátum: dátum
Čas: čas
Užívateľ:
Počítač: názov počítača

Popis: Keď žiadajú o overenie klienta, server odošle zoznam dôveryhodných certifikačných úradov klienta. Klient používa tento zoznam vybrať certifikát klienta, ktorý je dôveryhodný server. V súčasnosti tento server verí toľko certifikačné úrady zoznam rozrástol príliš dlho. Tento zoznam teda bol skrátený. Správca tohto stroja skontrolujte certifikačných autorít dôveryhodný pre overenie klienta a odstrániť tie, ktoré naozaj nemusia byť dôveryhodné.

Príčina

Tento problém sa vyskytuje, pretože UC server neprechádza správne certifikačný orgán informácie späť do klienta UC počas rokovaní o pripojenie TLS. Namiesto toho sa vyskytuje nasledujúci scenár:

  • UC server prechádza jeho zoznam dôveryhodných certifikátov (CTL) nainštalované certifikačný orgán informácií UC klientovi, ktorý vyžaduje zabezpečené pripojenie TLS.
  • Podľa návrhu obmedzenia súčasti Windows Server Schannel skrátený zoznam CTL.
  • UC klient vyžaduje zabezpečené pripojenie TLS nedostane informácie o certifikačnom úrade, ktorý zodpovedá položky, ktoré sú obsiahnuté v jeho nainštalovaný certifikačného orgánu zoznam.
  • Pokus o pripojenie TLS zlyhá s chybou, ktorá je popísaná v časti "Príznaky".

Tento problém sa vyskytuje z dôvodu návrhu Schannel súčasti operačného systému Windows Server, ktorý je hostiteľom aplikácie UC.

PoznámkaĎalšie informácie o súčasti operačného systému Windows Server Schannel a obmedzenia jeho CTL, označovať "Windows Server 2003" "Windows Server 2008 R2 a Windows Server 2008" a "Windows Server 2012" podsekcie v sekcii "Ďalšie informácie".

Ako problém obísť

Nasledujúcich metód obísť problém, ktorý je popísaný v časti "Príznaky".

Metóda 1:Odstráňte niektoré Dôveryhodné koreňové certifikáty


Upozornenie Mali by ste opatrní pri odstránení Dôveryhodné koreňové certifikáty. Odstránenie tretej-party Dôveryhodné koreňové certifikáty mohol zlomiť bezpečný prístup klienta pre aplikácie, ktoré sú hosťované na serveri so systémom Windows.

Ak niektoré Dôveryhodné koreňové certifikáty nie sú použité vo vašom prostredí, mali by ste odstrániť ich zo servera, ktorý je hostiteľom aplikácie UC. Robiť to, postupujte nasledovne:

Windows Server 2008 R2, Windows Server 2008 a Windows Server 2003
  1. Kliknite na tlačidlo Štart, kliknite na tlačidlo spustiť, typu MMC, a potom kliknite na tlačidlo OK.
  2. Na súbor menu, kliknite na položku Pridať alebo odstrániť modul Snap-in, a potom kliknite na tlačidlo pridať.
  3. V Pridanie samostatného modulu dialógové okno, kliknite na položku Certifikátya potom kliknite na tlačidlo pridať.
  4. Kliknite na konto, kliknite na tlačidlo ďaleja potom kliknite na tlačidlo Dokončiť.
  5. Kliknite na tlačidlo Zavrieťa potom kliknite na tlačidlo OK.
  6. Pod koreňový adresár konzoly v Microsoft Management Console (MMC) modulu, rozbaľte Certifikáty (lokálny počítač), rozbaľte Dôveryhodných koreňových certifikačných autoríta potom kliknite na položku Certifikáty.
  7. Odstrániť dôveryhodné základné certifikáty, ktoré nemáte mať. To urobiť, pravým tlačidlom myši kliknite na certifikát, kliknite na položku odstrániťa potom kliknite Áno chcete potvrďte, že chcete odstrániť certifikát.
InformácieDozvedieť sa viac o tom, ako automatizovať demontáž a montáž z tretej-party Trusted Root Authority nainštalované certifikáty na operačné systémy Windows, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

2801679 SSL/TLS komunikačné problémy po nainštalovaní KB 931125

Informácie Existujú nejaké koreňa certifikáty, ktoré požaduje systém Windows. Ďalšie informácie nájdete po kliknutí na nasledovné číslo článku publikovaného v Microsoft Knowledge Base:

293781 Dôveryhodné základné certifikáty, ktoré sú vyžadované Windows Server 2008 R2 Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP a Windows 2000

Metóda 2:Konfigurácia skupinovej politiky ignorovať zoznam dôveryhodných certifikačných úradov na počítači, ktorý hosťuje UC klienta

Ak server, ktorý hosťuje aplikácii UC je členom domény, môžete vytvoriť politiku, ktorá spôsobí, že server ignorovať v zozname dôveryhodných certifikačných úradov na počítači, ktorý hosťuje UC klienta. Keď použijete túto politiku, postihnuté servery a klientov dôverovať iba certifikáty v priestore na uloženie Hlavné certifikačné úrady podnikovej. Preto, že nemáte zmeniť jednotlivé počítače.

WindowsSEservera 2008 R2 alebo Windows Server 2008

Použitie politiky na distribúciu certifikátov

WindowsServer 2003

Pridanie dôveryhodná koreňová certifikačná autorita do objektu skupinovej politiky


Poznámka Existujú nejaké koreňa certifikáty, ktoré požaduje systém Windows. Musíte pridať tieto certifikáty na politiku, ktorú ste vytvorili. Ďalšie informácie nájdete po kliknutí na nasledovné číslo článku publikovaného v Microsoft Knowledge Base:

293781 Dôveryhodné základné certifikáty, ktoré sú vyžadované Windows Server 2008 R2 Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP a Windows 2000

Metóda 3:Konfigurovať Schannel už poslať zoznam dôveryhodných hlavných certifikačných úradov počas handshake TLS/SSL

Môžete sledovať tieto kroky v systéme Windows Server 2008 R2, Windows Server 2008 a Windows Server 2003.

Upozornenie Môžu nastať vážne problémy Ak databázu registry upravíte nesprávne pomocou editora databázy Registry alebo pomocou inej metódy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nemôže zaručiť, že tieto problémy môžu byť vyriešené. Databázu registry upravujete na vlastné riziko.

Na serveri so spustenou službou UC aplikácia na ktorých narazíte na tento problém, nastavte nasledujúcu položku databázy registry na hodnotu false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Názov hodnoty: SendTrustedIssuerList
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0 (False)


Podľa predvoleného nastavenia táto položka nenachádza v databáze registry. V predvolenom nastavení, táto hodnota je 1 (True). Táto položka databázy registry určuje príznak, ktorý určuje, či server odošle zoznam dôveryhodných certifikačných úradov pre klienta. Keď nastavíte túto položku databázy registry na hodnotu False, server neposiela zoznam dôveryhodných certifikačných úradov pre klienta. Toto správanie môže ovplyvniť ako klient reaguje na žiadosti o osvedčenie. Napríklad, ak Internet Explorer dostane žiadosť o overenie klienta, program Internet Explorer zobrazuje iba klientských certifikátov, ktoré sa objavujú v reťazci niektorého z certifikačných orgánov, ktoré sú v zozname zo servera. Avšak, ak server neposiela zoznam dôveryhodných certifikačných autorít, program Internet Explorer zobrazuje všetky klientske certifikáty, ktoré sú nainštalované na klientskom počítači.

Nastavenie tejto položky databázy registry, postupujte nasledovne:
  1. Kliknite na tlačidlo Štart, kliknite na tlačidlo spustiť, typu regedit, a potom kliknite na tlačidlo OK.
  2. Vyhľadajte a kliknite na nasledujúci podkľúč databázy registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Na úpravu ponuku, ukážte na položku novéa potom kliknite na položku Hodnota DWORD.
  4. Typ SendTrustedIssuerList, a potom stlačte kláves Enter, čím pomenujete položku databázy registry.
  5. Kliknite pravým tlačidlom myši SendTrustedIssuerList, a potom kliknite na tlačidlo Upraviť.
  6. V hodnotu dát zadajte0 Ak hodnota nie je zobrazená, a potom kliknite na tlačidlo OK.
  7. Ukončite Editor databázy Registry.
Poznámka Existujú nejaké koreňa certifikáty, ktoré požaduje systém Windows. Musíte pridať tieto certifikáty na politiku, ktorú ste vytvorili. Ďalšie informácie nájdete po kliknutí na nasledovné číslo článku publikovaného v Microsoft Knowledge Base:

293781 Dôveryhodné základné certifikáty, ktoré sú vyžadované Windows Server 2008 R2 Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP a Windows 2000

Ďalšie informácie

Hoci to nie je uvedené v časti "Príznaky", tento problém sa môže vyskytnúť na všetkých počítačoch so systémom Windows Server 2003 alebo Windows Server 2008 a hosting Microsoft Exchange Unified Communications komponenty ako napríklad nasledujúce roly:
  • Server klientskeho prístupu
  • Poštová schránka
  • Unified Communications Server

Tieto operačné systémy Windows Server môžete použiť automatické koreňový aktualizácia mechanizmus na stiahnutie certifikačný orgán aktualizácie z webovej lokality Microsoft Windows Update, keď klient vyžaduje zabezpečené pripojenie TLS. Tento proces aktualizácie automatické potvrdenie spôsobí, že server sa hromadiť ďalšie certifikačný orgán informácie, ktoré je potrebné zabezpečiť bezpečné UC klienta TLS spojenie žiadostí. Súčasť Windows Server Schannel maršali koreň informácie o certifikačnom úrade UC klientovi, ktorý vyžaduje zabezpečené pripojenie TLS. UC klient porovná obsah zoznamu CTL Schannel s svoj vlastný zoznam informácie o certifikačnom úrade. Tento proces zabezpečuje, že zodpovedajúce informácie koreňového certifikátu je prítomný na obidva koncové body pripojenia TCP pre pokračovanie procesu handshake TLS. Však môžete súčasti Windows Server Schannel maršala iba obmedzené množstvo Windows Server nainštalovaný informácie o certifikačnom úrade v jeho CTL späť do klienta UC vyžaduje zabezpečené pripojenie TLS. V niektorých prípadoch to spôsobí UC bezpečné TLS spojenie požiadaviek klienta na neúspech.

Ďalšie informácie o dizajn rozdiely pre Windows Server 2003 a Windows Server 2008 automatické koreňový Aktualizácia konfigurácie a o Schannel certifikačného orgánu zoznam obmedzení, nájdete v nasledujúcich častiach.

Windows Server 2003


V systéme Windows Server 2003, emitent zozname nemôže byť väčší ako 12,288 (alebo 0x3000) bajtov. Inštalácia balíka Windows Server 2003 SP1 alebo Windows Server 2003 SP2 rýchlu opravu KB933940, ktorý je uvedený v časti "Ďalšie informácie" poskytuje emitent rozšírenej zoznam kapacity 16,384 (alebo 0x4000) bajtov.

Automatické koreňový aktualizácia mechanizmus nie je zapnutá v systéme Windows Server 2003. Windows Server 2003 podporuje automatické koreňový aktualizácia mechanizmus. Ďalšie informácie o automatické koreňový aktualizácia pre Server 2003 nájdete na nasledujúcej webovej lokalite Microsoft TechNet:

Zapnutie automatickej aktualizácie certifikátov dôveryhodných hlavných úradov

Windows Server 2008 R2 a Windows Server 2008


V systéme Windows Server 2008, emitent zozname nemôže byť väčší ako 16,384 (alebo 0x4000) bajtov.

Podľa predvoleného nastavenia automatické koreňový aktualizácia mechanizmus je zapnutá v systéme Windows Server 2008 a Windows Server 2008 R2. Ďalšie informácie o tom, ako spravovať automatické koreňový aktualizácia mechanizmus, choďte na nasledujúcu webovú lokalitu Microsoft TechNet:

Osvedčenia o pomoci a výslednej internetovej komunikácie v systéme Windows Server 2008

Windows Server 2012

Windows Server 2012 nepodporuje funkciu Schannel CTL, ktorý bol prítomný v starších verziách operačných systémov Windows Server. Ďalšie informácie o spravovaní Windows Server 2012 dôveryhodných certifikátov, prečítajte si časť "Správa dôveryhodného emitentov na overenie klienta" nasledujúci článok Microsoft TechNet:
Čo je nové v TLS/SSL (Schannel SSP)

Ďalšie informácie o probléme, ktorý je popísaný v časti "Príznaky", po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

933430 Klienti nemôžu Spájajte Ak požadujete klientských certifikátov na webových stránkach, alebo ak používate IAS v systéme Windows Server 2003

931125 Windows koreňový certifikát program členovia

Vlastnosti

ID článku: 2464556 - Posledná kontrola: 22. októbra 2013 - Revízia: 3.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Kľúčové slová: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 2464556

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com