Невдалий TLS зв'язок між однолітками уніфікованих комунікацій генерує Schannel попередження

Переклади статей Переклади статей
Номер статті: 2464556 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Ознаки

Кожен з наступних додатків не вдалося створити транспорту Layer Security (TLS) з'єднання з що додаток уніфікованих комунікацій (UC) рівний:
  • Microsoft Exchange Server
  • Microsoft Office сервер зв'язок "один-до-одного"
  • Клієнт Microsoft комунікатор
  • Клієнт Microsoft® Office Live - Українська версія конференц 2007
  • Microsoft Lync Server
  • Microsoft Lync клієнта
Крім того, з'являється наступне Schannel попередження і опису проблеми в журналі подій Windows Server:

Тип події: попередження
Джерело події: Schannel
Категорія події: жоден
Код події: 36885
Дата: Дата
Час: Вільний час
Користувач:
Комп'ютер: ім'я комп'ютера

Опис/контроль: When просять for автентифікація клієнта, цей сервер надсилає список довірених центрів сертифікації клієнта. Клієнт використовує цей список вибрати сертифікат клієнта, який є надійним на сервері. В даний Вільний час цей сервер довіряє так багато центрів сертифікації, що список виріс занадто довге. Цей список таким чином було скорочено. Адміністратора цього комп'ютера слід ознайомитися сертифікації довіреним для перевірки автентичності клієнта і видалити ті, які дійсно не потрібно бути надійною.

причина

Ця проблема виникає тому, що сервер UC не проходить правильний сертифікації авторитет інформації UC клієнтові протягом переговорів TLS-з'єднання. Замість цього, виникає таку ситуацію:

  • UC сервер передає список довірених його сертифікатів (CTL) встановлені Сертифікаційний орган інформації UC клієнт, який просить безпечне з'єднання TLS.
  • Додатковий скорочується відповідно до дизайну обмеження компонент Windows Server Schannel.
  • Клієнт UC, запитаних безпечне з'єднання TLS не отримує сертифікації авторитет відомостей збігається запис А бізнес-партнера, які містяться у списку інстальованих сертифікації авторитет.
  • TLS спроба підключення невдала з помилкою, описану в розділі "Ознаки".

Ця помилка виникає через дизайн Schannel компонентом операційної системи Windows Server, що хостинг додатків UC.

Примітка. Щоб отримати додаткові відомості про компонент Schannel операційної системи Windows Server та обмеження її CTL, зверніться до на "Windows Server 2003," "Windows Server 2008 R2 і Windows Server 2008" а також підрозділи "Windows Server 2012" розділу "Додаткові відомості".

Обхідний шлях

Такі методи вирішити проблему, описану в розділі "Ознаки".

Метод 1:Видалити деякі довірені кореневі сертифікати


Попередження. Ви повинні використовувати обережності при видаленні довірених кореневих сертифікатів. Видалення сторонніх довірених кореневих сертифікатів може розірвати безпечний клієнтського доступу до додатків, які розміщуються на основі Windows server.

Якщо деякі довірені кореневі сертифікати використовуються не у вашому середовищі, її слід видалити їх із сервера, що хостинг програма UC. Для цього виконайте такі інтерактивні елементи.

Windows Server 2008 R2, Windows Server 2008 і Windows Server 2003
  1. Натисніть кнопку почати, натисніть кнопку запустити, тип консолі MMCі натисніть кнопку ОК.
  2. На на файл меню, натисніть Додати/видалити оснасткаі натисніть кнопку Додати.
  3. У на додати автономної оснастки діалоговому вікні натисніть кнопку сертифікатита натисніть кнопку Додати.
  4. обліковий запис А комп'ютера, натисніть кнопку Даліі потім натисніть кнопку Готово.
  5. Натисніть кнопку закритиа потім натисніть кнопку ОК.
  6. Під консоль корінь в консолі керування Microsoft (MMC) оснастка, розширити сертифікатів (локальний комп'ютер)розгорніть довірені кореневі центри сертифікаціїта натисніть кнопку сертифікати.
  7. Видалити довірені кореневі сертифікати, що ви не повинні мати. Для цього клацніть правою кнопкою миші сертифікат, натисніть Видалитиі натисніть кнопку так щоб підтвердити, що ви хочете, щоб видалити сертифікат.
ІнформаціяЩоб дізнатися більше про як автоматизувати видалення і установки сторонніх довірених кореневих сертифікатів, які встановлені на операційних системний інтегратор Windows Server, клацніть номер статті для перегляду статті в базі знань Microsoft Knowledge Base:

2801679 Проблеми зі зв'язком SSL/TLS після інсталяції 931125 КБ

Інформація Існують деякі кореневі сертифікати, необхідні Windows. Щоб отримати додаткові відомості клацніть, номер статті в базі знань Майкрософт:

293781 Довірені кореневі сертифікати, необхідні Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP та Windows 2000

Метод 2:Налаштування групової політики ігнорувати списку довірених центрів сертифікації на комп'ютері, що проводяться клієнтом UC

Якщо на сервері програма UC входить до домену, можна створити політику, яка викликає server ігнорувати списку довірених центрів сертифікації на комп'ютері, що господарі UC клієнта. Під Вільний час застосування цієї політики, постраждалих сервери та клієнти довіряють тільки сертифікати, які є у сховищі підприємство кореневі центри сертифікації. Таким чином, вам не потрібно змінювати окремі комп'ютери.

WindowsSErver 2008 R2 або Windows Server 2008

За допомогою політики поширювати сертифікати

WindowsServer 2003

Додати довіреним кореневим центром сертифікації для об'єкта групової політики


Примітка. Існують деякі кореневі сертифікати, необхідні Windows. Ці сертифікати потрібно додати до правила, які ви створили. Щоб отримати додаткові відомості клацніть, номер статті в базі знань Майкрософт:

293781 Довірені кореневі сертифікати, необхідні Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP та Windows 2000

Метод 3:Настроювання Schannel більше не надсилати список довірені кореневі центри сертифікації під Вільний час рукостискання TLS/SSL

Виконайте такі інтерактивні елементи в Windows Server 2008 R2, Windows Server 2008 і Windows Server 2003.

Попередження. Якщо неправильно змінити реєстр за допомогою редактора реєстру або іншим способом, це може спричинити серйозні ускладнення. Це може викликати необхідність переустановити операційну систему. корпорація Майкрософт не може гарантувати, що ці проблеми можуть бути усунені. Змінюйте реєстр на власний ризик.

На сервері, який працює під керуванням UC застосунку, на якому разі виникнення цієї проблеми значення false такий запис А а реєстру:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Ім'я значення: SendTrustedIssuerList
Значення типу: REG_DWORD
Рядкового параметра: 0 (хибність)


За промовчанням цей запис А не перераховані в реєстрі. Типово це значення є 1 (істина). Цей запис А реєстру контролює прапор, яка контролює, чи сервер надсилає список довірених центрів сертифікації клієнту. Якщо цей запис А реєстру значення ХИБНІСТЬ, сервер не надсилати список довірених центрів сертифікації клієнту. Така поведінка може вплинути, як клієнт відповідає на запит сертифіката. Наприклад, якщо Internet Explorer отримує запит автентифікація клієнта, браузер Internet Explorer відображає лише Клієнтські сертифікати, які з'являються в ланцюжку одного з сертифікації, які є у списку із сервера. Однак, якщо сервер не надсилає список довірених центрів сертифікації, браузер Internet Explorer відображає всі Клієнтські сертифікати, які інсталюються на клієнтському комп'ютері.

Щоб установити цей запис А реєстру, виконайте такі дії:
  1. Натисніть кнопку почати, натисніть кнопку запустити, тип Regeditі натисніть кнопку ОК.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. На на редагувати меню команду створитиа потім параметр DWORD.
  4. Тип SendTrustedIssuerList, і натисніть клавішу Enter, щоб назвати запис А реєстру.
  5. Клацніть правою кнопкою миші SendTrustedIssuerListа потім виберіть команду змінити.
  6. У на рядкового параметра введіть0 Якщо значення не є вже є на палітрі і натисніть кнопку ОК.
  7. Закрийте редактор реєстру.
Примітка. Існують деякі кореневі сертифікати, необхідні Windows. Ці сертифікати потрібно додати до правила, які ви створили. Щоб отримати додаткові відомості клацніть, номер статті в базі знань Майкрософт:

293781 Довірені кореневі сертифікати, необхідні Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP та Windows 2000

Додаткові відомості

Хоча це не записано в розділі "Ознаки", ця проблема може виникнути на всіх комп'ютерах, що знаходяться під керуванням Windows Server 2003 або Windows Server 2008 і хостинг Microsoft Exchange об’єднані комунікації компоненти, такі як наведених нижче ролей:
  • Сервер доступу клієнта
  • ім’я поштової скриньки
  • Уніфікованих комунікацій Server

Цих операційних системний інтегратор Windows Server за допомогою механізму оновлення автоматичне корінь можна завантажити Сертифікаційний орган оновлення з веб-сайту Microsoft Windows Update, коли клієнт потребує безпечне з'єднання TLS. Цей процес оновлення автоматизованих сертифікат викликає server накопичити додаткову сертифікацію авторитет інформації, що необхідно, щоб переконатися, що з безпечного UC TLS підключення запити клієнтів. Компонент Windows Server Schannel маршалів орган сертифікації корінь інформацію, щоб UC клієнт, який потребує безпечне з'єднання TLS. UC клієнт буде порівняти вміст Schannel CTL з власним список Сертифікаційний орган інформації. Цей процес гарантує, що відповідні кореневого сертифікату інформація присутня в обидві кінцеві точки TCP з'єднання для продовження процесу рукостискання TLS. Однак, Windows Server Schannel компонент може маршал тільки обмежена кількість Windows Server інстальовано сертифікації авторитет інформації у його CTL UC клієнтові, який просить безпечне з'єднання TLS. У деяких сценаріях це викликає UC безпечний TLS підключення клієнта на провал.

Для отримання додаткових відомостей про відмінності дизайн для Windows Server 2003 і Windows Server 2008 автоматичне корінь оновлення конфігурації та про Schannel Сертифікаційний орган список обмеження, див у відповідних розділах.

Windows Server 2003


У Windows Server 2003, список емітента не повинен перевищувати 12,288 (або 0x3000) байт. Установка Windows Server 2003 SP1 або Windows Server 2003 SP2 виправлення, указане в розділі "Додаткові відомості" KB933940 забезпечує збільшена емітента список байт потужністю 16,384 (або 0x4000).

Автоматичне корінь механізм оновлення не увімкнено у Windows Server 2003. Windows Server 2003 підтримує автоматичне корінь механізм оновлення. Щоб отримати додаткові відомості про автоматичне корінь оновлень для Server 2003 зверніться до веб-сайту Microsoft TechNet:


Windows Server 2008 R2 і Windows Server 2008


У Windows Server 2008, список емітента не повинен перевищувати 16,384 (або 0x4000) байт.

За промовчанням у Windows Server 2008 і Windows Server 2008 R2 увімкнуто автоматичне корінь механізм оновлення. Щоб отримати додаткові відомості про те, як керувати механізм оновлення автоматичне корінь, перейдіть до веб-сайту Microsoft TechNet:


Windows Server 2012

Windows Server 2012 не підтримує Schannel CTL функціональність, яка була присутня в попередніх версіях операційних системний інтегратор Windows Server. Щоб отримати додаткові відомості про те, як Windows Server 2012 управляє довірених сертифікатів можна прочитати в розділі «Керування довірених постачальників для перевірки автентичності клієнта» наступні статті Microsoft TechNet:
Нове в протокол SSL, TLS (Schannel SSP)

Щоб отримати додаткові відомості про проблему, описану в розділі "Ознаки" клацніть номер статті в базі знань Microsoft Knowledge Base:

933430 Клієнти не може налагодити зв'язки, якщо вам потрібна Клієнтські сертифікати на веб-сайті або у разі сценарій виконання МСФЗ (IAS) у Windows Server 2003

931125 Windows кореневого сертифіката членів програми

Властивості

Номер статті: 2464556 - Востаннє переглянуто: 22 жовтня 2013 р. - Редакція: 3.0
Застосовується до:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Ключові слова: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 2464556

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com