Günlüğe kaydedilen Schannel uyarı ile Unified Communications eşleri arasında tls istemci kimlik doğrulaması başarısız oluyor

Makale numarası: 2464556 - Bu makalenin geçerli olduğu ürünleri görün.
Otomatik TercümeOtomatik tercüme makalelerin ne olduğunu açıklayan yazıyı okumak için buraya tıklayın
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Aşağıdaki uygulamalar ile Unified Communications (uc) eşine tls bağlantısı oluşturma sırasında başarısız:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Microsoft Communicator istemci
  • Microsoft Office Live toplantı 2007 istemci
  • Microsoft Lync'in Server
  • Microsoft Lync'in istemci
Ayrıca, Windows Server olay günlüğüne sorunu açıklayan aşağıdaki uyarı olayı görüntülenir:

Olay türü: uyarı
Olay kaynağı: Schannel
Olay kategorisi: yok
Olay Kimliği: 36885
Tarih: tarih
Zaman: zaman
Kullanıcı:
Bilgisayar: bilgisayaradı

Açıklama: istemci kimliği doğrulaması istendiğinde, bu sunucu, güvenilen sertifika yetkilileri listesini istemciye gönderir. İstemci sunucu tarafından güvenilen bir istemci sertifikası seçmek için bu listeyi kullanır. Bu sunucu şu anda çok sayıda sertifika yetkilileri güvendiğinden liste çok uzun güvenir. Bu liste, bu nedenle kesildi. Bu makinenin yöneticisi, istemci kimlik doğrulaması için güvenilen sertifika yetkililerini gözden geçirin ve kaldırmak, gerçekten güvenilir olması gerekmez.

Üste | Geri Bildirim Ver

Neden

uc sunucu doğru sertifika yetkilisi bilgileri uc istemciye tls bağlantısı anlaşması sırasında geçmez.

  • uc sunucu güvenli tls bağlantısı isteyen uc istemci yüklü sertifika yetkilisi bilgileri listesini geçirir.
  • Bu liste Windows Server Schannel bileşen tasarım sınırlamaları göre kesilir.
  • Güvenli tls bağlantısı istenen uc istemci yüklü sertifika yetkilisi listesindeki girişleri eşleşen sertifika yetkilisi bilgileri almaz.
  • tls bağlantı girişimi "Belirtiler" bölümünde listelenen hata ile başarısız olur.

Schannel bileşen uc uygulamaları barındıran Windows Server işletim sisteminin tasarımı nedeniyle bu sorun oluşur.
Üste | Geri Bildirim Ver

Pratik Çözüm

Burada listelenen yöntemler "Belirtiler" bölümünde açıklanan soruna yönelik bir geçici çözüm sağlanır.

Yöntem 1:Bazı güvenilen kök sertifikaları Kaldır

Bazı güvenilen kök sertifikaları ortamınızda kullanılmaz, uc uygulamasını barındıran sunucudan kaldırmanız gerekir. Bunu yapmak için aşağıdaki adımları izleyin.

Not Burada listelenen adımları Windows Server 2003 ve Windows Server 2008'de gerçekleştirilebilir.

  1. ' I tıklatın Başlat,'ı tıklatın Çalıştır, türü MMCve ardından TAMAM.
  2. Üzerinde Dosya menüsünde,'ı tıklatın Ekle veya ek bileşeni Kaldırve ardından Ekle.
  3. İçinde Tek Başına Ek Bileşen Ekle iletişim kutusunda'ı tıklatın Sertifikalarve ardından Ekle.
  4. ' I tıklatın Bilgisayar hesabı,'ı tıklatın İlerive ardından Son.
  5. ' I tıklatın Kapatve ardından TAMAM.
  6. Altında Konsol kökü Microsoft Yönetim Konsolu (mmc) ek bileşeninde genişletin Sertifikalar (yerel bilgisayar), genişletme Güvenilen kök sertifika yetkililerive ardından Sertifikalar.
  7. Sahip olmayan güvenilen kök sertifikaları kaldırın. Bunu yapmak için sertifikayı sağ tıklatın, Silve ardından Evet Sertifikayı kaldırma işlemini doğrulamak için.
Not Windows için gerekli bazı kök sertifikaları vardır. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

293781
(http://support.microsoft.com/kb/293781)
Tarafından Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP ve Windows 2000 tarafından gerekli olan güvenilen kök sertifikalar

Yöntem 2:Güvenilen sertifika yetkilileri uc istemci barındıran bilgisayarda listesini yok saymak için grup ilkesini yapılandırma

uc uygulamayı barındıran sunucunun bir etki alanının üyesi ise, uc istemci, sunucu bilgisayardaki güvenilen sertifika yetkilileri listesini yok saymak üzere ev sahipliği yapan neden olan bir ilke oluşturabilirsiniz. Bu ilke uygulandığında, etkilenen sunucu ve istemcilerin yalnızca kuruluş kök sertifika yetkilileri deposunda bulunan sertifikalar güven. Bu nedenle, bilgisayarları ayrı ayrı değiştirmeniz gerekmez.

Not Adım 1 ve 2 ' listelenen bilgileri yalnızca Windows Server 2003 Active Directory dizin hizmeti için kullanılabilir.

Bu ilkeyi oluşturmak için aşağıdaki adımları izleyin:

Adım 1: Bir Grup İlkesi nesnesi oluşturun. Bunu yapmak için bir etki alanı denetleyicisine oturum açın ve sonra Active Directory Kullanıcıları ve Bilgisayarları aracını başlatın.
  1. ' I tıklatın Başlat,'ı tıklatın Çalıştır, türü DSA.mscve ardından TAMAM.
  2. Grup İlkesi nesnesini yapılandırın ve ardından istediğiniz kapsayıcıyı sağ tıklatın Özellikler. Örneğin, etki alanı kapsayıcısını sağ tıklatın veya bir kuruluş birimi kapsayıcısına sağ tıklatın.
  3. ' I tıklatın Grup İlkesi sekmesini tıklatın ve sonra Yeni.
  4. İlke için açıklayıcı bir ad yazın ve Enter tuşuna basın.
  5. ' I tıklatın Düzenle Grup İlkesi Nesne Düzenleyicisi'ni başlatmak için.
  6. Genişlet Bilgisayar Yapılandırması, genişletme Windows ayarları, genişletme Güvenlik ayarlarıve ardından Ortak anahtar ilkeleri.
  7. Sağ tıklatma Güvenilen kök sertifika yetkililerive ardından Özellikler.
  8. ' I tıklatın Kuruluş kök sertifika yetkililerive ardından TAMAM.
  9. Grup İlkesi Nesne Düzenleyicisi'ni kapatın.
  10. ' I tıklatın TAMAM kapatmak için NesneAdı özellikleri iletişim kutusu.
Adım 2: Kök sertifikaları Güvenilen Kök Sertifika Yetkilileri sertifika deposuna eklemek. Uygun sunucuda yerel bilgisayar deposundan herhangi bir gerekli kök sertifikaları verin. Bu iç sertifika yetkilileri (CA) için kök sertifikaları ve kuruluşunuzun ihtiyaç ortak sertifika yetkililerinden kök sertifikalarını içerir.
  1. Bir etki alanı denetleyicisine oturum açın ve sonra Active Directory Kullanıcıları ve Bilgisayarları aracını başlatın.
  2. Oluşturduğunuz Grup İlkesi nesnesini içeren kapsayıcıyı sağ tıklatın "Adım 1: oluşturma Grup İlkesi nesnesi" bölümünde ve tıklatın Özellikler.
  3. ' I tıklatın Grup İlkesi sekme, Grup İlkesi nesnesini tıklatın ve sonra tıklatın Düzenle.
  4. Genişlet Bilgisayar Yapılandırması, genişletme Windows ayarları, genişletme Güvenlik ayarlarıve ardından Ortak anahtar ilkeleri.
  5. Sağ tıklatma Güvenilen kök sertifika yetkililerive ardından İçe aktarma.
  6. Kök sertifika veya adım 2A'verilen sertifikaları almak için Sertifika Alma Sihirbazı'ndaki adımları izleyin.
  7. Grup İlkesi Nesne Düzenleyicisi'ni kapatın.
  8. ' I tıklatın TAMAM kapatmak için NesneAdı özellikleri iletişim kutusu.
Not Windows için gerekli bazı kök sertifikaları vardır. Bu sertifikalar, oluşturduğunuz ilke eklemeniz gerekir. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

293781
(http://support.microsoft.com/kb/293781)
Tarafından Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP ve Windows 2000 tarafından gerekli olan güvenilen kök sertifikalar

Yöntem 3:Schannel artık tls/ssl el sıkışma işlemi sırasında güvenilen kök sertifika yetkilileri listesini göndermek için yapılandırma

Not Burada listelenen adımları Windows Server 2003 ve Windows Server 2008'de gerçekleştirilebilir.

Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı değiştirirseniz, ciddi sorunlar ortaya çıkabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft bu sorunların çözülebileceğini garanti etmemektedir. Kendi sorumluluğunuzdadır kayıt defterini değiştirin.

Bu sorunla karşılaşırsınız uc uygulamasını çalıştıran sunucuda aşağıdaki kayıt defteri girdisini false olarak ayarlayın:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Değer adı: SendTrustedIssuerList
Değer türü: reg_dword
Değer verisi: 0 (yanlış)


Varsayılan olarak, bu giriş kayıt defterinde listelenmez. Varsayılan olarak, bu değer 1 (doğru)'dir. Bu kayıt defteri girdisi sunucu güvenilen sertifika yetkilileri listesini istemciye gönderir olup olmadığını denetleyen bayrağı denetler. Bu kayıt defteri girdisi False olarak ayarlandığında, sunucu bir güvenilen sertifika yetkilileri listesini istemciye göndermez. Bu davranış, istemci bir sertifika isteği nasıl yanıt vereceğini etkileyebilir. Örneğin, Internet Explorer, istemci kimlik doğrulaması için bir istek alırsa, Internet Explorer sunucu listesinden bulunan sertifika yetkililerinden birinin zincirindeki görünen istemci sertifikalarını görüntüler. Ancak, Internet Explorer sunucu güvenilir sertifika yetkilileri listesi göndermez, istemci bilgisayarda yüklü olan istemci sertifikalarının tümünü görüntüler.

Bu kayıt defteri girdisini ayarlamak için şu adımları izleyin:
  1. ' I tıklatın Başlat,'ı tıklatın Çalıştır, türü Regeditve ardından TAMAM.
  2. Bulun ve aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Üzerinde Düzenle menüsü, Yenive ardından dword değeri.
  4. Türü SendTrustedIssuerList, ve ardından kayıt defteri girdisini adlandırmak için Enter tuşuna basın.
  5. Sağ tıklatma SendTrustedIssuerListve ardından Değiştir.
  6. İçinde Değer verisi kutusuna 0 değer olmadığını önceden görüntülenen ve ardından TAMAM.
  7. Çıkış Kayıt Defteri Düzenleyicisi.
Not Windows için gerekli bazı kök sertifikaları vardır. Bu sertifikalar, oluşturduğunuz ilke eklemeniz gerekir. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

293781
(http://support.microsoft.com/kb/293781)
Tarafından Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP ve Windows 2000 tarafından gerekli olan güvenilen kök sertifikalar

Üste | Geri Bildirim Ver

Daha fazla bilgi

Bu olgu "Belirtiler" bölümünde belirtilen değil de, Windows Server 2003 veya Windows Server 2008 çalıştıran ve aşağıdaki roller gibi Microsoft Exchange Unified Communications bileşenlerini barındıran tüm bilgisayarlarda bu sorun oluşabilir:
  • İstemci erişimi sunucusu
  • Posta kutusu
  • Unified Communications Server

Windows Server işletim sistemlerinde otomatik kök güncelleştirme düzeneği, bir istemcinin Güvenli tls bağlantısı gerektirir sertifika yetkilisi güncelleştirmeleri Microsoft Windows Update Web sitesinden karşıdan yüklemek için kullanın. Bu otomatik sertifika güncelleştirme işlemi güvenli uc istemci tls bağlantı isteklerinin emin olmak için gereken ek sertifika yetkilisi bilgileri biriktirmek sunucu neden olur. Windows Server Schannel bileşen güvenli tls bağlantısı gerektiren uc istemcinin kök sertifika yetkilisi bilgileri sıralar. uc istemci, kendi sertifika yetkilisi bilgileri listesiyle Schannel kök sertifika yetkilisi listesi içeriğini karşılaştırır. Bu işlem kök sertifika bilgisi ile eşleşen tcp bağlantısının her iki uç noktada tls el sıkışma işlemi sistem çökmesi için olduğunu emin olmanızı sağlar. Ancak, Windows Server Schannel bileşeni yüklü Windows Server sertifika yetkilisi bilgileri istemciye güvenli tls bağlantısı isteyen geri uc yalnızca sınırlı miktarda sıralayabilir. Bazı senaryolarda, bu hata vermesine uc istemcinin Güvenli tls bağlantı isteği neden olur.

Windows Server 2003 ve Windows Server 2008 otomatik kök güncelleştirme yapılandırmaları için tasarım farkları ve Schannel sertifika yetkilisi listesiyle ilgili sınırlamalar hakkında daha fazla bilgi için aşağıdaki bölümlere bakın.

Windows Server 2003


Windows Server 2003'te veren listesi 12.288 veya 0x3000 daha büyük olamaz bayt. Windows Server 2003 SP1 veya Windows Server 2003 SP2 düzeltme "Ek bilgi" bölümünde listelenen KB933940 yüklemesini büyütülmüş bir veren 16.384 veya 0x4000 listesi kapasitesi sağlar bayt.

Windows Server 2003'te otomatik kök güncelleştirme düzeneği etkin değil. Windows Server 2003 için otomatik kök güncelleştirme düzeneği destekler. Otomatik kök güncelleştirmeleri Server 2003 hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:

Güvenilen kök yetkili sertifikalarının otomatik güncelleştirilmesini açma
(http://technet.microsoft.com/en-us/library/cc786443(WS.10).aspx)


Windows Server 2008


Windows Server 2008'de veren liste 16.384 veya 0x4000 daha büyük olamaz bayt.

Varsayılan olarak, Windows Server 2008 ve sonraki Windows sürümlerinde otomatik kök güncelleştirme düzeneği etkinleştirilir. Windows Server 2008 otomatik kök yönetme hakkında daha fazla bilgi için güncelleştirme mekanizması, aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:

Sertifika desteği ve Windows Server 2008'de ortaya çıkan Internet iletişimi
(http://technet.microsoft.com/en-us/library/cc771121(WS.10).aspx)


"Belirtiler" bölümünde anlatılan sorun hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:

933430
(http://support.microsoft.com/default.aspx?scid=kb;EN-US;933430)
İstemciler Web sitesindeki istemci sertifikaları kullanılmasını iste veya Windows Server 2003'te IAS kullanıyorsanız bağlantıları yapılamıyor

931125 numaralı
(http://support.microsoft.com/default.aspx?scid=kb;EN-US;931125)
Windows kök sertifika programı üyeleri

Üste | Geri Bildirim Ver

Özellikler

Makale numarası: 2464556 - Son Gözden Geçirme: 20 Kasım 2012 Salı - Gözden geçirme: 3.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Anahtar Kelimeler: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMttr
Otomatik Tercüme
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 2464556
(http://support.microsoft.com/kb/2464556/en-us/ )
Üste | Geri Bildirim Ver

Geri Bildirim Ver

 
ÜsteÜste