Unified Communications'a eşleri arasında başarısız TLS bağlantısı Schannel uyarı oluşturur.

Makale çevirileri Makale çevirileri
Makale numarası: 2464556 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Her biri aşağıdaki uygulamalar, bu uygulama unified Communications'a (UC) eş ile Aktarım Katmanı Güvenliği (TLS) bağlantı oluşturulamıyor:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Microsoft Communicator istemci
  • Microsoft Office Live toplantı 2007 istemci
  • Microsoft Lync Server
  • Microsoft Lync istemcisi
Ayrıca, aşağıdaki Schannel uyarı ve sorunun açıklamasını Windows Server olay günlüğüne alırsınız:

Olay türü: uyarı
Olay kaynağı: Schannel
Olay kategorisi: yok
Olay Kimliği: 36885
Tarih: tarih
Zaman: zaman
Kullanıcı:
Bilgisayar: BilgisayarAdı

Açıklama: istemci kimliği doğrulaması istendiğinde, bu sunucu, güvenilen sertifika yetkilileri listesini istemciye gönderir. İstemci, sunucu tarafından güvenilen bir istemci sertifikası seçmek için bu listeyi kullanır. Şu anda, bu sunucu listesi çok uzun olduğunu çok sertifika yetkilisine güvendiğinden. Bu liste, bu nedenle kesildi. Bu makinenin yöneticisi istemci kimlik doğrulaması için güvenilen sertifika yetkililerini gözden geçirin ve bunlar gerçekten güvenilir olması gerekmez kaldırmak gerekir.

Neden

UC sunucu, TLS bağlantısı anlaşması sırasında UC istemciye doğru sertifika yetkilisi bilgileri vermeyen Bu sorun oluşur. Bunun yerine, aşağıdaki senaryoda oluşur:

  • UC sunucu, sertifika güven listesini (CTL) yüklü sertifika yetkilisi bilgilerini güvenli TLS bağlantısı isteyen UC istemciye geçirir.
  • CTL Windows Server Schannel bileşen tasarım sınırlamaları kesirli kısmı atılır.
  • Güvenli TLS bağlantısı istenen UC istemci kendi yüklü sertifika yetkilisi listesinde bulunan girdileri eşleşen sertifika yetkilisi bilgilerini almaz.
  • "Belirtiler" bölümünde anlatılan hata ile TLS bağlantı girişimi başarısız olur.

Bu sorun, Windows Server işletim sisteminin UC uygulamaları barındıran Schannel bileşen tasarımı nedeniyle oluşur.

NotWindows Server işletim sisteminin Schannel bileşen ve onun CTL sınırlamaları hakkında daha fazla bilgi için "Windows Server 2003'e," bakın "Windows Server 2008 R2 ve Windows Server 2008" ve "Daha fazla bilgi" bölümündeki "Windows Server 2012" alt bölümleri.

Pratik Çözüm

Aşağıdaki yöntemler "Belirtiler" bölümünde açıklanan soruna geçici bir çözüm çalışır.

Yöntem 1:Bazı güvenilen kök sertifikaları Kaldır


Uyarı Güvenilen kök yetkili sertifikalarının kaldırırken dikkatli olmanız gerekir. Temizleme, üçüncü taraf güvenilen kök yetkili sertifikalarının Windows tabanlı sunucuda barındırılan uygulamalara güvenli istemci erişimi bozar.

Bazı güvenilen kök sertifikaları, ortamınızda kullanılmaz, UC uygulamasını barındıran sunucudan kaldırmanız gerekir. Bunu yapmak için şu adımları izleyin:

Windows Server 2008 R2, Windows Server 2008 ve Windows Server 2003
  1. Başlat' ı tıklatın, Çalıştır' ı türü MMC, sonra da Tamam' ı tıklatın.
  2. Üzerinde Dosya menüsünde, Ek Bileşen Ekle/Kaldır'ıtıklatın ve ardından Ekle'yitıklatın.
  3. İçinde tek başına ek bileşen Ekle alanında iletişim kutusunda, Sertifikalar' ı tıklatın ve sonra Ekle' yi tıklatın.
  4. Bilgisayar hesabı' nı tıklatın, İleri' yi tıklatın ve sonra Son' u tıklatın.
  5. Kapat' ı tıklatın ve sonra Tamam' ı tıklatın.
  6. Altında Konsol Kökü Microsoft Yönetim Konsolu (MMC) ek bileşeninde Sertifikalar (yerel bilgisayar)'ıgenişletin, Güvenilen kök sertifika yetkililerigenişletin ve ardından Sertifikalar' ı tıklatın.
  7. Olmak zorunda değil güvenilen kök sertifikaları kaldırın. Bunu yapmak için sertifikayı sağ tıklatın, Sil' i tıklatın ve sonra'ı Evet , sertifikayı kaldırmak istediğinizi onaylamak için.
BilgiKaldırma ve yükleme Windows Server işletim sistemlerinde yüklü olan üçüncü taraf güvenilen kök yetkili sertifikalarının otomatik hale getirmek nasıl hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

2801679 KB 931125 yükledikten sonra oluşan SSL/TLS iletişim sorunları

Bilgi Windows için gerekli bazı kök sertifikaları vardır. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

293781 Güvenilen kök sertifikaları, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP ve Windows 2000 tarafından gerekli

Yöntem 2:Güvenilen sertifika yetkilileri UC istemci barındıran bilgisayarda listesini yok saymak için Grup ilkesini yapılandırma

UC uygulamayı barındıran sunucunun bir etki alanının üyesi ise, UC istemci barındıran sunucu bilgisayardaki güvenilen sertifika yetkilileri listesini yoksay neden olan bir ilke oluşturabilirsiniz. Bu ilke uygulandığında, etkilenen sunucu ve istemcilerin yalnızca kuruluş kök sertifika yetkilileri deposunda bulunan sertifika güven. Bu nedenle, tek tek bilgisayarları değiştirmek gerekmez.

WindowsSEnucu 2008 R2 veya Windows Server 2008

Sertifika dağıtmak için ilke kullanma

WindowsServer 2003

Bir Grup İlkesi nesnesine güvenilen bir kök sertifika yetkilisi Ekle


Not Windows için gerekli bazı kök sertifikaları vardır. Bu sertifikalar, oluşturduğunuz ilke eklemeniz gerekir. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

293781 Güvenilen kök sertifikaları, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP ve Windows 2000 tarafından gerekli

Yöntem 3:Schannel artık TLS/SSL el sıkışma işlemi sırasında güvenilen kök sertifika yetkilileri listesini göndermek için yapılandırma

Windows Server 2008 R2, Windows Server 2008 ve Windows Server 2003'teki adımları izleyebilirsiniz.

Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sisteminizi yeniden yüklemenizi gerektirebilir. Microsoft bu sorunların çözülebileceğini garanti etmemektedir. Kendi sorumluluğunuzdadır kayıt defterini değiştirin.

Bu sorunla karşılaşırsınız UC uygulamasını çalıştıran sunucuda aşağıdaki kayıt defteri girdisini false olarak ayarlayın:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Değer adı: SendTrustedIssuerList
Değer türü: REG_DWORD
Değer verisi: 0 (yanlış)


Varsayılan olarak, bu giriş kayıt defterinde listelenmez. Varsayılan olarak, bu değer 1 (doğru)' dir. Bu kayıt defteri girdisi sunucu güvenilen sertifika yetkilileri listesini istemciye olup olmadığını denetleyen bayrağı denetler. Sunucu, bu kayıt defteri girdisi Falseolarak ayarladığınızda, güvenilen sertifika yetkilileri listesini istemciye göndermez. Bu davranış, istemci bir sertifika isteği nasıl yanıt vereceğini etkileyebilir. Örneğin, Internet Explorer, istemci kimlik doğrulaması için bir istek alırsa, Internet Explorer sunucu listesinden bulunan sertifika yetkililerinden birinin zincirindeki görünen istemci sertifikalarını görüntüler. Sunucu güvenilir sertifika yetkilileri listesi göndermez, ancak Internet Explorer istemci bilgisayarda yüklü olan istemci sertifikalarının tümünü görüntüler.

Bu kayıt defteri girdisini ayarlamak için şu adımları izleyin:
  1. Başlat' ı tıklatın, Çalıştır' ı türü Regedit, sonra da Tamam' ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Üzerinde düzenleme menüsünde, Yeniseçeneğine gidin ve DWORD değeri' ni tıklatın.
  4. Türü SendTrustedIssuerList, ve ardından kayıt defteri girdisini adlandırmak için Enter tuşuna basın.
  5. SendTrustedIssuerListsağ tıklatın ve sonra Değiştir' i tıklatın.
  6. İçinde veri değeri yazın0 değer olmadığını zaten görüntülenir ve Tamam' ı tıklatın.
  7. Kayıt Defteri Düzenleyicisinden çıkın.
Not Windows için gerekli bazı kök sertifikaları vardır. Bu sertifikalar, oluşturduğunuz ilke eklemeniz gerekir. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

293781 Güvenilen kök sertifikaları, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP ve Windows 2000 tarafından gerekli

Daha fazla bilgi

Bu "Belirtiler" bölümünde belirtilir değil de, Windows Server 2003 veya Windows Server 2008 çalıştıran ve aşağıdaki roller gibi Microsoft Exchange Unified Communications bileşenlerini barındıran tüm bilgisayarlarda bu sorun oluşabilir:
  • İstemci erişimi sunucusu
  • Posta kutusu
  • Unified Communications Server

Bu Windows Server işletim sistemleri istemci güvenli TLS bağlantısı gerektirdiğinde, sertifika yetkilisi Microsoft Windows Update Web sitesinden güncelleştirmeler için otomatik kök güncelleştirme düzeneği kullanabilirsiniz. Bu otomatik sertifika güncelleştirme işlemi güvenli UC istemci TLS bağlantı isteklerini emin olmak için gereken ek sertifika yetkilisi bilgileri birikmesine neden olur. Windows Server Schannel bileşen güvenli TLS bağlantısı gerektirir UC istemci için kök sertifika yetkilisi bilgileri sıralar. UC istemci Schannel CTL içerik, kendi sertifika yetkilisi bilgileri listesiyle karşılaştırır. Bu işlem eşleştirme kök sertifika bilgileri TCP bağlantısının her iki uç noktada TLS el sıkışma işlemi devamlılığı için bulunduğundan emin sağlar. Ancak, Windows Server Schannel bileşeni Windows Server'ın yüklü sertifika yetkilisi bilgileri istemciye güvenli TLS bağlantısı isteyen geri UC, CTL içinde yalnızca sınırlı miktarda sıralayabilir. Bazı senaryolarda, bu hata vermesine UC istemcinin Güvenli TLS bağlantı isteği neden olur.

Windows Server 2003 ve Windows Server 2008 otomatik kök tasarım farklılıkları hakkında daha fazla bilgi için yapılandırmaları güncelleştirin ve Schannel sertifika yetkilisi listesiyle ilgili sınırlamalar hakkında aşağıdaki bölümlere bakın.

Windows Server 2003


Windows Server 2003'te veren listesi 12.288 (veya 0x3000)'den büyük olamaz bayt. Windows Server 2003 SP1 veya Windows Server 2003 SP2 düzeltme "Ek bilgi" bölümünde listelenen KB933940 yüklemesini büyütülmüş bir veren listesi 16,384 (veya 0x4000) kapasitesini bayt sağlar.

Otomatik kök güncelleştirme mekanizması, Windows Server 2003'te etkinleştirilmemiştir. Windows Server 2003 otomatik kök güncelleştirme mekanizmasını destekler. Otomatik kök Server 2003 güncelleştirmeleri hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesine gidin:

Güvenilen kök yetkili sertifikalarının otomatik güncelleştirilmesini açma

Windows Server 2008 R2 ve Windows Server 2008


Windows Server 2008'de veren listesi 16,384 (veya 0x4000)'den büyük olamaz bayt.

Varsayılan olarak, Windows Server 2008 ve Windows Server 2008 R2'de otomatik kök güncelleştirme düzeneği etkinleştirilir. Mekanizması güncelleştirmesi otomatik kök yönetme hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:

Sertifika desteği ve Windows Server 2008'de ortaya çıkan Internet iletişimi

Windows Server 2012

Windows Server 2012, Windows Server işletim sistemlerinin önceki sürümlerinde vardı Schannel CTL işlevselliği desteklemiyor. Güvenilir sertifikalar, Windows Server 2012 nasıl yönettiğini hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine "İstemci kimlik doğrulaması Güvenilen sağlayıcılar Yönetimi" bölümünü okuyun:
TLS/SSL (Schannel SSP) yenilikler nelerdir?

"Belirtiler" bölümünde açıklanan sorun hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:

933430 İstemcileri bir Web sitesinde istemci sertifikaları kullanılmasını iste veya Windows Server 2003'te IAS kullanıyorsanız bağlantı yapılamıyor

931125 Windows kök sertifika programı üyeleri

Özellikler

Makale numarası: 2464556 - Last Review: 22 Ekim 2013 Salı - Gözden geçirme: 4.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Anahtar Kelimeler: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 2464556

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com