คำเตือน Schannel ที่สร้างการเชื่อมต่อ TLS ล้มเหลวระหว่างการสื่อสารประกอบการ peers

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 2464556 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

อาการ

แต่ละโปรแกรมประยุกต์ต่อไปนี้ไม่สามารถสร้างการเชื่อมต่อการขนส่งเลเยอร์ความปลอดภัย (TLS) มีเพียร์ประกอบการสื่อสาร (UC) ของโปรแกรมประยุกต์:
  • Microsoft Exchange Server
  • เซิร์ฟเวอร์สื่อสารของ Microsoft Office
  • ไคลเอนต์ Microsoft Communicator
  • ไคลเอนต์ Microsoft Office Live ประชุม 2007
  • เซิร์ฟเวอร์ Lync ของ Microsoft
  • ไคลเอนต์ Microsoft Lync
นอกจากนี้ คุณได้รับคำเตือนต่อไปนี้ของ Schannel และคำอธิบายของปัญหาในแฟ้มบันทึกเหตุการณ์ของ Windows Server:

ชนิดเหตุการณ์: คำเตือน
แหล่งของเหตุการณ์: Schannel
ประเภทเหตุการณ์: ไม่มี
รหัสเหตุการณ์: 36885
วัน: วัน
เวลา: เวลา
ผู้ใช้:
คอมพิวเตอร์: ชื่อคอมพิวเตอร์

คำอธิบาย: เมื่อขอการรับรองความถูกต้องของไคลเอ็นต์ เซิร์ฟเวอร์นี้ส่งรายชื่อของผู้มีสิทธิ์ออกใบรับรองเชื่อถือได้ไปยังไคลเอนต์ ไคลเอนต์ใช้รายการนี้เพื่อเลือกใบรับรองไคลเอ็นต์ที่ไม่น่าเชื่อถือ โดยเซิร์ฟเวอร์ ในปัจจุบัน เซิร์ฟเวอร์นี้เชื่อถือหน่วยงานออกใบรับรองมากว่า รายการขยายจนยาวเกินไป ดังนั้นรายการนี้ได้ถูกตัดทอน ผู้ดูแลของเครื่องนี้ควรทบทวนการรับรองสำหรับการรับรองความถูกต้องของไคลเอ็นต์ที่เชื่อถือได้ และเอาที่ไม่จำเป็นต้องสามารถเชื่อถือได้

สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากเซิร์ฟเวอร์ UC ไม่ผ่านข้อมูลผู้มีสิทธิ์ออกใบรับรองที่ถูกต้องไป UC ไคลเอนต์ในระหว่างการเจรจาของการเชื่อมต่อ TLS แทน สถานการณ์สมมติต่อไปนี้เกิดขึ้น:

  • เซิร์ฟเวอร์ UC ผ่านรายการของใบรับรองความน่าเชื่อถือ (CTL) ของข้อมูลผู้มีสิทธิ์ออกใบรับรองที่ติดตั้งไปยังไคลเอนต์ UC ที่ร้องขอการเชื่อมต่อที่ปลอดภัย TLS
  • CTL จะถูกปัดเศษตามการออกแบบข้อจำกัดของคอมโพเนนต์ของ Windows เซิร์ฟเวอร์ Schannel
  • UC ไคลเอนต์ที่ร้องขอการเชื่อมต่อ TLS ปลอดภัยไม่ได้รับข้อมูลผู้ให้บริการออกใบรับรองที่ตรงกับรายการที่มีอยู่ในรายชื่อผู้ให้บริการออกใบรับรองที่ถูกติดตั้ง
  • ความพยายามในการเชื่อมต่อ TLS ล้มเหลว ด้วยข้อผิดพลาดที่อธิบายไว้ในส่วน "อาการ"

ปัญหานี้เกิดขึ้นเนื่องจาก มีการออกแบบของคอมโพเนนต์ Schannel ของระบบปฏิบัติการ Windows Server ที่เป็นโฮสต์แอพลิเคชัน UC

หมายเหตุสำหรับข้อมูลเพิ่มเติมเกี่ยวกับคอมโพเนนต์ Schannel ของระบบปฏิบัติการ Windows Server และข้อจำกัดของของ CTL โปรดดู "Windows Server 2003 "Windows Server 2008 R2 และ Windows Server 2008"และ"Windows Server 2012 "ส่วนย่อยของส่วน"ข้อมูลเพิ่มเติม"

การหลีกเลี่ยงปัญหา

วิธีการต่อไปนี้แก้ไขปัญหาที่อธิบายไว้ในส่วน "อาการ"

วิธีที่ 1:เอาบางใบรับรองหลักที่เชื่อถือได้


คำเตือน คุณควรใช้ความระมัดระวังเมื่อคุณเอาออกใบรับรองหน่วยงานรากที่เชื่อถือได้ การเอาออกใบรับรองหน่วยงานรากที่เชื่อถือได้ของบริษัทอื่นไม่สามารถตัดการเข้าถึงไคลเอ็นต์ที่ปลอดภัยไปยังโปรแกรมประยุกต์ที่มีโฮสต์อยู่บนเซิร์ฟเวอร์ที่ใช้ Windows

ถ้าบางเชื่อถือใบรับรองหลักไม่ได้ใช้ในสภาพแวดล้อมของคุณ คุณควรเอาออกจากเซิร์ฟเวอร์ที่เป็นโฮสต์แอพลิเคชัน UC ในการดำเนินการดังกล่าว ให้ทำตามขั้นตอนต่อไปนี้

Windows Server 2008 R2, Windows Server 2008 และWindows Server 2003
  1. คลิกเริ่มคลิกเรียกใช้ชนิด mmcแล้ว คลิกตกลง
  2. ในการแฟ้ม คลิกเพิ่ม/เอาสแน็ปอินออกและเมนูแล้ว คลิกเพิ่ม
  3. ในการ เพิ่มแบบสแตนด์อโลนสแนปอิน กล่องโต้ตอบคลิกใบรับรองและจากนั้น คลิกเพิ่ม
  4. คลิกบัญชีผู้ใช้คอมพิวเตอร์คลิกถัดไปและจากนั้น คลิกเสร็จสิ้น
  5. คลิก ปิด และจากนั้น คลิก ตกลง
  6. ภายใต้รากคอนโซล ใน Microsoft Management Console (MMC) สแนปอิน ขยายใบรับรอง (ภายในเครื่องคอมพิวเตอร์), ขยายหน่วยงานออกใบรับรองหลักที่เชื่อถือได้และคลิกใบรับรอง
  7. ลบใบรับรองหลักที่เชื่อถือได้ที่คุณไม่จำเป็นต้องมี เมื่อต้องการทำเช่นนี้ ให้คลิกขวาที่ใบรับรอง คลิกลบและจากนั้น คลิกใช่ เพื่อยืนยันว่า คุณต้องการเอาออกใบรับรอง
ข้อมูลเมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการทำการลบและติดตั้งใบรับรองหน่วยงานรากที่เชื่อถือได้ของบริษัทอื่นที่ติดตั้งบนระบบปฏิบัติการ Windows Server คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

2801679 ปัญหาการสื่อสารของ SSL/TLS หลังจากที่คุณติดตั้ง KB 931125

ข้อมูล มีบางใบรับรองหลักที่จำเป็น โดย Windows สำหรับข้อมูลเพิ่มเติม คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

293781 ใบรับรองหลักที่จำเป็น โดย Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP และ Windows 2000 ที่เชื่อถือได้

วิธีที่ 2:กำหนดค่านโยบายกลุ่มจะละเว้นรายการเชื่อถือใบรับรองบนคอมพิวเตอร์ที่เป็นโฮสต์ของไคลเอนต์ UC

ถ้าเซิร์ฟเวอร์ที่โฮสต์แอพลิเคชัน UC เป็นสมาชิกของโดเมน คุณสามารถสร้างนโยบายที่ทำให้เซิร์ฟเวอร์เพื่อละเว้นรายการของหน่วยงานจัดเก็บใบรับรองที่เชื่อถือได้บนคอมพิวเตอร์เครื่องโฮสต์ที่ ไคลเอนต์ UC เมื่อคุณใช้นโยบายนี้ ผลกระทบของเซิร์ฟเวอร์และไคลเอนต์เชื่อใบรับรองที่อยู่ในที่เก็บใบรับรองหลักองค์กร ดังนั้น คุณไม่จำเป็นต้องเปลี่ยนคอมพิวเตอร์แต่ละเครื่อง

WindowsServer 2008 R2 หรือWindows Server 2008

ใช้นโยบายการกระจายใบรับรอง

Windowsเซิร์ฟเวอร์ 2003

เพิ่มใบรับรองหลักที่เชื่อถือได้ไปยังวัตถุ'นโยบายกลุ่ม'


หมายเหตุ มีบางใบรับรองหลักที่จำเป็น โดย Windows คุณต้องเพิ่มใบรับรองเหล่านี้ไปยังนโยบายที่คุณสร้างขึ้น สำหรับข้อมูลเพิ่มเติม คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

293781 ใบรับรองหลักที่จำเป็น โดย Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP และ Windows 2000 ที่เชื่อถือได้

วิธีที่ 3:ตั้งค่าคอนฟิก Schannel เพื่อส่งรายการใบรับรองหลักที่เชื่อถือได้ในระหว่างกระบวนการ handshake TLS/SSL ไม่มีอีกต่อไป

คุณสามารถทำตามขั้นตอนเหล่านี้ใน Windows Server 2008 R2, Windows Server 2008 และ Windows Server 2003

คำเตือน ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้องโดยใช้ Registry Editor หรือโดยใช้วิธีอื่น ปัญหาเหล่านี้คุณอาจต้องติดตั้งระบบปฏิบัติการ Microsoft ไม่สามารถรับประกันว่า ปัญหาเหล่านี้จะสามารถแก้ไข ปรับเปลี่ยนรีจิสทรีควาด้วยมเสี่ยงของคุณเอง

บนเซิร์ฟเวอร์ที่กำลังเรียกใช้แอพลิเคชัน UC ที่คุณประสบปัญหานี้ ตั้งค่ารายการรีจิสทรีต่อไปนี้เป็นเท็จ:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

ชื่อค่า: SendTrustedIssuerList
ชนิดมูลค่า: REG_DWORD
ข้อมูลค่า: 0 (เท็จ)


โดยค่าเริ่มต้น รายการนี้ไม่มีอยู่ในรีจิสทรี โดยค่าเริ่มต้น ค่านี้เป็น1 (True) รายการรีจิสทรีนี้ควบคุมการตั้งค่าสถานะที่ควบคุมว่า เซิร์ฟเวอร์จะส่งรายชื่อของผู้มีสิทธิ์ออกใบรับรองเชื่อถือได้ไปยังไคลเอนต์ เมื่อคุณตั้งค่ารายการรีจิสทรีนี้เป็นFalseเซิร์ฟเวอร์ส่งรายชื่อของผู้มีสิทธิ์ออกใบรับรองเชื่อถือได้ไปยังไคลเอนต์ ลักษณะการทำงานนี้อาจมีผลต่อวิธีไคลเอนต์ตอบสนองต่อการร้องขอสำหรับใบรับรอง ตัวอย่างเช่น ถ้า Internet Explorer ได้รับการร้องขอสำหรับการรับรองความถูกต้องของไคลเอ็นต์ Internet Explorer แสดงเฉพาะประกาศนียบัตรไคลเอนต์ที่ปรากฏในสายของใบรับรองที่อยู่ในรายการจากเซิร์ฟเวอร์อย่างใดอย่างหนึ่ง อย่างไรก็ตาม ถ้าเซิร์ฟเวอร์ไม่ส่งรายชื่อของผู้มีสิทธิ์ออกใบรับรองเชื่อถือได้ Internet Explorer แสดงใบรับรองไคลเอ็นต์ทั้งหมดที่ติดตั้งบนคอมพิวเตอร์ไคลเอนต์

เมื่อต้องการตั้งค่ารายการรีจิสทรีนี้ ให้ทำตามขั้นตอนเหล่านี้:
  1. คลิกเริ่มคลิกเรียกใช้ชนิด regeditแล้ว คลิกตกลง
  2. ค้นหาและคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. ในการแก้ไข ชี้ไปที่สร้างและเมนูแล้ว คลิกDWORD Value
  4. ชนิด SendTrustedIssuerListแล้ว กด Enter เพื่อตั้งชื่อรายการรีจิสทรี
  5. คลิกขวาที่SendTrustedIssuerListและจากนั้น คลิกปรับเปลี่ยน
  6. ในการValue data กล่อง พิมพ์0 หากว่า ค่าไม่ได้แสดงอยู่แล้ว และจากนั้น คลิกตกลง
  7. ออกจาก Registry Editor
หมายเหตุ มีบางใบรับรองหลักที่จำเป็น โดย Windows คุณต้องเพิ่มใบรับรองเหล่านี้ไปยังนโยบายที่คุณสร้างขึ้น สำหรับข้อมูลเพิ่มเติม คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

293781 ใบรับรองหลักที่จำเป็น โดย Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP และ Windows 2000 ที่เชื่อถือได้

ข้อมูลเพิ่มเติม

ถึงแม้ว่านี้ไม่ถูกบันทึกไว้ในส่วน "อาการ" ปัญหานี้อาจเกิดขึ้นได้บนคอมพิวเตอร์ทั้งหมดที่กำลังเรียกใช้ Windows Server 2003 หรือ Windows Server 2008 และโฮสต์คอมโพเนนต์การสื่อสารรวมของ Exchange Microsoft เช่นบทบาทต่อไปนี้:
  • เซิร์ฟเวอร์การเข้าถึงไคลเอ็นต์
  • กล่องจดหมาย
  • เซิร์ฟเวอร์สื่อสารประกอบการ

ระบบปฏิบัติการ Windows Server เหล่านี้สามารถใช้กลไกการปรับปรุงรากอัตโนมัติดาวน์โหลดการปรับปรุงผู้ให้บริการออกใบรับรองจากเว็บไซต์ Microsoft Windows Update เมื่อไคลเอนต์ต้องมีการเชื่อมต่อที่ปลอดภัย TLS กระบวนการปรับปรุงอัตโนมัติของใบรับรองนี้ทำให้เซิร์ฟเวอร์เพื่อรวบรวมข้อมูลที่หน่วยงานจัดเก็บใบรับรองเพิ่มเติมที่จำเป็นเพื่อให้มั่นใจในความปลอดภัย UC ไคลเอนต์ TLS เชื่อมต่อขอ คอมโพเนนต์ของ Windows Server Schannel marshals ข้อมูลหน่วยงานจัดเก็บใบรับรองหลักไปยังไคลเอนต์ UC ที่จำเป็นต้องมีการเชื่อมต่อ TLS ปลอดภัย ไคลเอนต์ UC จะเปรียบเทียบเนื้อหาของ Schannel CTL กับรายการข้อมูลผู้มีสิทธิ์ออกใบรับรองของตนเอง กระบวนการนี้ทำให้แน่ใจว่า ข้อมูลของใบรับรองหลักที่ตรงกันอยู่ในทั้งสองปลายทางของการเชื่อมต่อ TCP สำหรับการ continuance TLS handshake กระบวนการ อย่างไรก็ตาม คอมโพเนนต์ของ Windows Server Schannel สามารถ marshal เฉพาะช่วงระยะของข้อมูลหน่วยงานจัดเก็บใบรับรอง Windows Server ติดตั้งอยู่ใน CTL นั้นกลับไปยังไคลเอนต์ UC ที่ร้องขอการเชื่อมต่อ TLS ปลอดภัย ในบางสถานการณ์ ซึ่งทำให้ไคลเอนต์ UC ปลอดภัย TLS ขอเชื่อมต่อล้มเหลว

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความแตกต่างของการออกแบบสำหรับ Windows Server 2003 และ Windows Server 2008 อัตโนมัติรากอัพเดตการตั้งค่าคอนฟิก และเกี่ยวกับ Schannel ออกใบรับรองหน่วยงานรายการจำกัด ดูส่วนต่อไปนี้

Windows Server 2003


ใน Windows Server 2003 รายการผู้ออกไม่สามารถมีขนาดใหญ่กว่า 12,288 (หรือ 0x3000) ไบต์ได้ การติดตั้ง ของ Windows Server 2003 SP1 หรือ Windows Server 2003 SP2 โปรแกรมแก้ไขด่วน KB933940 ที่แสดงไว้ในส่วน "ข้อมูลเพิ่มเติม" แสดงรายการกำลังการผลิตของ 16384 (หรือ 0x4000) ไบต์ผู้ออกมีขนาดใหญ่ขึ้น

กลไกการปรับปรุงรากอัตโนมัติยังไม่ได้เปิดใช้ใน Windows Server 2003 Windows Server 2003 สนับสนุนกลไกการปรับปรุงรากอัตโนมัติ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปรับปรุงอัตโนมัติรากสำหรับเซิร์ฟเวอร์ 2003 ไปที่เว็บไซต์ของ Microsoft TechNet ดังต่อไปนี้:


Windows Server 2008 R2 และ Windows Server 2008


ใน Windows Server 2008 รายการผู้ออกไม่สามารถมากกว่า 16384 (หรือ 0x4000) ไบต์ได้

โดยค่าเริ่มต้น กลไกการปรับปรุงรากอัตโนมัติถูกเปิดใช้งานใน Windows Server 2008 และ Windows Server 2008 R2 สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจัดการกลไกการปรับปรุงรากอัตโนมัติ ไปเว็บไซต์ของ Microsoft TechNet ดังต่อไปนี้:


Windows Server 2012

Windows Server 2012 ไม่สนับสนุนฟังก์ชัน Schannel CTL ที่มีในระบบปฏิบัติการ Windows Server รุ่นก่อนหน้า สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีจัดการใบรับรองที่น่าเชื่อถือของ Windows Server 2012 อ่านส่วน "จัดการที่น่าเชื่อถือสำหรับการรับรองความถูกต้องของไคลเอ็นต์ของ" ของบทความ Microsoft TechNet ดังต่อไปนี้:
มีอะไรใหม่ใน TLS/SSL (Schannel SSP)

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหาที่อธิบายไว้ในส่วน "อาการ" คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

933430 ไคลเอ็นต์ไม่สามารถสร้างการเชื่อมต่อ ถ้าคุณจำเป็นต้องมีใบรับรองไคลเอ็นต์บนเว็บไซต์ หรือ ถ้าคุณใช้ IAS ใน Windows Server 2003

931125 สมาชิกโปรแกรมใบรับรองหลักใน Windows

คุณสมบัติ

หมายเลขบทความ (Article ID): 2464556 - รีวิวครั้งสุดท้าย: 22 ตุลาคม 2556 - Revision: 4.0
ใช้กับ
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Keywords: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:2464556

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com