Th?t b?i TLS k?t n?i gi?a các đ?ng nghi?p truy?n thông h?p nh?t t?o ra m?t c?nh báo Schannel

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 2464556 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

Tri?u ch?ng

M?i ngư?i trong s? các ?ng d?ng không th? t?o k?t n?i Transport Layer Security (TLS) v?i r?ng ?ng d?ng truy?n thông h?p nh?t (UC) ngang:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Khách hàng Microsoft Communicator
  • Microsoft Office Live h?p 2007 khách hàng
  • Microsoft Lync Server
  • Khách hàng Microsoft Lync
Ngoài ra, b?n nh?n đư?c c?nh báo Schannel sau đây và mô t? c?a v?n đ? trong s? ghi s? ki?n Windows Server:

Lo?i s? ki?n: c?nh báo
S? ki?n ngu?n: Schannel
Th? lo?i s? ki?n: không có
ID s? ki?n: 36885
Ngày: ngày
Th?i gian: th?i gian
Ngư?i dùng:
Máy tính: COMPUTERNAME

Tr? chơi mô t?: Khi yêu c?u cho xác th?c máy tính khách, H? ph?c v? này g?i m?t danh sách các cơ quan ch?ng nh?n tin c?y cho khách hàng. Khách hàng s? d?ng danh sách này đ? ch?n m?t ch?ng ch? khách đư?c tin c?y b?i các máy ch?. Hi?n nay, H? ph?c v? này tin tư?ng r?t nhi?u các cơ quan ch?ng nh?n r?ng danh sách đ? phát tri?n quá dài. Danh sách này do đó đ? đư?c c?t ng?n. Các qu?n tr? viên c?a máy tính này nên xem l?i các cơ quan ch?ng nh?n tin c?y cho ch?ng th?c s? d?ng và lo?i b? nh?ng ngư?i không th?c s? c?n ph?i đư?c tin c?y.

Nguyên nhân

V?n đ? này x?y ra b?i v? máy ch? UC, không chuy?n thông tin th?m c?p đ? quy?n gi?y ch?ng nh?n chính xác v? khách hàng UC trong quá tr?nh đàm phán TLS k?t n?i. Thay vào đó, k?ch b?n sau đây x?y ra:

  • Máy ch? UC vư?t qua ch?ng ch? ni?m tin danh (CTL) đư?c cài đ?t chuyên bi?t ch?ng nh?n cơ quan thông tin cho khách hàng UC yêu c?u k?t n?i b?o m?t TLS.
  • CTL c?t ng?n theo gi?i h?n thi?t k? c?a các thành ph?n c?a s? máy ch? Schannel.
  • Khách hàng UC yêu c?u k?t n?i b?o m?t TLS không nh?n đư?c thông tin th?m c?p đ? quy?n gi?y ch?ng nh?n phù h?p v?i các m?c đư?c ch?a trong danh sách th?m c?p đ? quy?n gi?y ch?ng nh?n đ? cài đ?t chuyên bi?t c?a m?nh.
  • N? l?c k?t n?i TLS không thành công v?i l?i đư?c mô t? trong ph?n "Tri?u ch?ng".

V?n đ? này x?y ra b?i v? thi?t k? c?a các thành ph?n Schannel c?a hệ điều hành Windows Server đang lưu tr? các ?ng d?ng UC.

Lưu ?Đ? bi?t thêm chi ti?t v? các h? th?ng đi?u hành Windows Server Schannel thành ph?n và nh?ng h?n ch? c?a CTL c?a nó, ch? "Windows Server 2003," "Windows Server 2008 R2 và Windows Server 2008" và "Windows Server 2012" ph?n ph? c?a ph?n "Thông tin".

Cách gi?i quy?t khác

Nh?ng phương pháp kh?c ph?c s? c? đư?c mô t? trong ph?n "Tri?u ch?ng".

Phương pháp 1:Lo?i b? m?t s? ch?ng ch? g?c tin c?y


C?nh báo B?n nên c?n th?n khi b?n lo?i b? các g?c ch?ng đáng tin c?y. Vi?c lo?i b? các bên th? ba tin c?y g?c ch?ng có th? phá v? an toàn khách hàng truy c?p vào các ?ng d?ng đư?c lưu tr? trên máy ch? D?a-trên-Windows.

N?u m?t s? đáng tin c?y ch?ng ch? g?c không đư?c s? d?ng trong môi trư?ng c?a b?n, b?n nên lo?i b? chúng kh?i máy ch? đang lưu tr? các ?ng d?ng UC. Đ? làm đi?u này, h?y làm theo các bư?c sau:

Windows Server 2008 R2, Windows Server 2008 và Windows Server 2003
  1. Nh?p vào B?t đ?u, b?m ch?y, lo?i MMC, và sau đó nh?p vào OK.
  2. Trên các t?p tin tr?nh đơn, nh?p vào thêm/lo?i b?-theo, và sau đó b?m vào Thêm.
  3. Trong các thêm đ?c l?p-theo hộp thoại h?p, b?m vào ch?ng ch?, và sau đó b?m vào Thêm.
  4. Nh?p vào tài kho?n máy tính, b?m vào ti?p theo, và sau đó nh?p vào k?t thúc.
  5. Nh?p vào đóng, và sau đó nh?p vào OK.
  6. Theo giao di?n đi?u khi?n g?c trong Microsoft Management Console (MMC)-theo, m? r?ng gi?y ch?ng nh?n (máy tính c?c b?), m? r?ng Đáng tin c?y g?c nhà ch?c trách ch?ng ch?, và sau đó b?m vào ch?ng ch?.
  7. Lo?i b? ch?ng ch? g?c tin c?y mà b?n không c?n ph?i có. Đ? làm đi?u này, b?m chu?t ph?i vào m?t gi?y ch?ng nh?n, nh?p vào xóa, và sau đó nh?p vào đ? xác nh?n r?ng b?n mu?n lo?i b? ch?ng ch?.
Thông tinĐ? t?m hi?u thêm v? làm th? nào đ? t? đ?ng lo?i b? và cài đ?t chuyên bi?t c?a các bên th? ba tin c?y g?c ch?ng đư?c cài đ?t chuyên bi?t trên hệ điều hành Windows Server, b?m s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:

2801679 V?n đ? giao ti?p SSL/TLS sau khi b?n cài đ?t chuyên bi?t KB 931125

Thông tin Có là m?t s? ch?ng ch? g?c đư?c yêu c?u đ? Windows. Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:

293781 Đáng tin c?y ch?ng ch? g?c đư?c yêu c?u c?a Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP, và Windows 2000

Phương pháp 2:Đ?t c?u h?nh chính sách nhóm đ? b? qua danh sách đáng tin c?y ch?ng nh?n cơ quan trên máy tính mà t? ch?c khách hàng UC

N?u máy ch? lưu tr? các ?ng d?ng UC là m?t thành viên c?a m?t tên mi?n, b?n có th? t?o m?t chính sách gây ra máy ch? đ? b? qua danh sách các cơ quan ch?c ch?ng nh?n tin c?y v? máy tính máy ch? đó khách hàng UC. Khi b?n áp d?ng chính sách này, máy ch? b? ?nh hư?ng và khách hàng tin tư?ng ch? là gi?y ch?ng nh?n có trong c?a hàng doanh nghi?p nhà ch?c trách ch?ng ch? g?c. V? v?y, b?n không ph?i thay đ?i máy tính cá nhân.

WindowsSErver 2008 R2 ho?c Windows Server 2008

S? d?ng chính sách đ? phân ph?i các gi?y ch?ng nh?n

WindowsH? ph?c v? 2003

Thêm m?t t? ch?c ch?ng ch? g?c tin c?y vào m?t đ?i tư?ng chính sách nhóm


Lưu ? Có là m?t s? ch?ng ch? g?c đư?c yêu c?u đ? Windows. B?n ph?i thêm các ch?ng ch? chính sách mà b?n đ? t?o. Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:

293781 Đáng tin c?y ch?ng ch? g?c đư?c yêu c?u c?a Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP, và Windows 2000

Phương pháp 3:C?u h?nh Schannel không c?n g?i danh sách các nhà ch?c trách ch?ng ch? g?c tin c?y trong quá tr?nh b?t tay TLS/SSL

B?n có th? làm theo các bư?c sau trong Windows Server 2008 R2, Windows Server 2008 và Windows Server 2003.

C?nh báo V?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác b?ng cách s? d?ng k? biên so?n ho?c b?ng cách s? d?ng m?t phương pháp. Nh?ng v?n đ? này có th? yêu c?u b?n ph?i cài đ?t chuyên bi?t l?i hệ điều hành. Microsoft không th? đ?m b?o r?ng nh?ng v?n đ? này có th? đư?c gi?i quy?t. S?a đ?i registry nguy cơ c?a riêng b?n.

Trên máy ch? đang ch?y ?ng d?ng UC mà trên đó b?n g?p v?n đ? này, thi?t l?p các m?c ki?m nh?p sau đây đ? sai:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Giá tr? tên: SendTrustedIssuerList
Giá tr? lo?i: REG_DWORD
Giá tr? d? li?u: 0 (sai)


theo m?c đ?nh, c?m t? này không đư?c li?t kê trong s? ki?m nh?p. theo m?c đ?nh, giá tr? này là 1 (đúng). M?c ki?m nh?p này ki?m soát các lá c? ki?m soát cho dù máy ch? g?i m?t danh sách các cơ quan ch?ng nh?n tin c?y cho khách hàng. Khi b?n thi?t l?p này m?c ki?m nh?p đ? sai, máy ch? không g?i m?t danh sách các cơ quan ch?ng nh?n tin c?y cho khách hàng. Hành vi này có th? ?nh hư?ng như th? nào khách hàng đáp ?ng m?t yêu c?u cho m?t gi?y ch?ng nh?n. Ví d?, n?u Internet Explorer s? nh?n đư?c m?t yêu c?u cho xác th?c máy tính khách, Internet Explorer Hi?n th? ch? các ch?ng ch? khách hàng xu?t hi?n trong chu?i c?a m?t trong các nhà ch?c trách ch?ng nh?n trong danh sách t? h? ph?c v?. Tuy nhiên, n?u máy ch? không g?i m?t danh sách đáng tin c?y ch?ng nh?n cơ quan, Internet Explorer s? hi?n th? t?t c? các ch?ng ch? khách hàng đư?c cài đ?t chuyên bi?t trên máy.

Đ? đ?t m?c nh?p ki?m nh?p này, làm theo các bư?c sau:
  1. Nh?p vào B?t đ?u, b?m ch?y, lo?i regedit, và sau đó nh?p vào OK.
  2. Xác đ?nh v? trí và sau đó nh?p vào registry subkey sau đây:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Trên các ch?nh s?a tr?nh đơn, đi?m đ?n m?i, và sau đó b?m Giá tr? DWORD.
  4. Lo?i SendTrustedIssuerList, và sau đó nh?n Enter đ? đ?t tên các m?c nh?p registry.
  5. B?m chu?t ph?i vào SendTrustedIssuerList, và sau đó b?m s?a đ?i.
  6. Trong các giá tr? d? li?u h?p, g?0 N?u giá tr? là không đ? đư?c hi?n th?, và sau đó nh?p vào OK.
  7. Thoát kh?i Registry Editor.
Lưu ? Có là m?t s? ch?ng ch? g?c đư?c yêu c?u đ? Windows. B?n ph?i thêm các ch?ng ch? chính sách mà b?n đ? t?o. Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:

293781 Đáng tin c?y ch?ng ch? g?c đư?c yêu c?u c?a Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP, và Windows 2000

Thông tin thêm

M?c dù đi?u này không đư?c ghi nh?n trong ph?n "Tri?u ch?ng", v?n đ? này có th? x?y ra trên t?t c? các máy tính đang ch?y Windows Server 2003 ho?c Windows Server 2008 và lưu tr? Microsoft Exchange Unified Communications thành ph?n như các vai tr? sau:
  • Máy ch? truy c?p khách hàng
  • H?p thư
  • Máy ch? truy?n thông h?p nh?t

Các h? th?ng đi?u hành Windows Server có th? s? d?ng cơ ch? C?p nh?t t? đ?ng g?c đ? t?i v? b?n C?p Nh?t cơ quan c?p gi?y ch?ng nh?n t? các web site Microsoft Windows C?p Nh?t khi m?t khách hàng yêu c?u m?t k?t n?i b?o m?t TLS. Quá tr?nh c?p nh?t t? đ?ng ch?ng ch? này gây ra các máy ch? đ? tích l?y thông tin th?m c?p đ? quy?n gi?y ch?ng nh?n b? sung c?n thi?t đ? đ?m b?o an toàn UC khách hàng TLS yêu c?u k?t n?i. Thành ph?n Windows Server Schannel marshals g?c ch?ng nh?n cơ quan thông tin cho khách hàng UC đ?i h?i k?t n?i b?o m?t TLS. Khách hàng UC s? so sánh n?i dung c?a Schannel CTL v?i riêng c?a m?nh danh sách ch?ng nh?n cơ quan thông tin. Quá tr?nh này làm cho ch?c ch?n r?ng k?t h?p thông tin ch?ng ch? g?c có m?t t?i c? hai đi?m cu?i c?a k?t n?i Giao th?c Ki?m soát Truy?n cho ti?p t?c quá tr?nh b?t tay TLS. Tuy nhiên, các thành ph?n Windows Server Schannel có th? c?nh sát trư?ng ch? có m?t s? lư?ng h?n ch? thông tin cơ quan ch?ng nh?n Windows Server cài đ?t chuyên bi?t trong CTL tr? l?i cho khách hàng UC yêu c?u k?t n?i b?o m?t TLS. Trong m?t s? t?nh hu?ng, đi?u này làm khách hàng UC b?o m?t TLS k?t n?i yêu c?u th?t b?i.

Cho bi?t thêm thông tin v? s? khác bi?t thi?t k? cho m?c tin thư thoại g?c t? đ?ng, Windows Server 2003 và Windows Server 2008 C?p Nh?t c?u h?nh và v? Schannel ch?ng nh?n cơ quan danh sách h?n ch?, xem ph?n sau đây.

Windows Server 2003


Trong Windows Server 2003, danh sách nhà phát hành không th? l?n hơn 12,288 (ho?c 0x3000) byte. cài đ?t chuyên bi?t Windows Server 2003 SP1 hay Windows Server 2003 SP2 hotfix KB933940 đư?c li?t kê trong ph?n "Thông tin thêm" cung c?p m?t công ty phát hành m? r?ng danh sách các kh? năng c?a 16,384 (ho?c 0x4000) byte.

Cơ ch? C?p nh?t t? đ?ng g?c không đư?c kích ho?t trong Windows Server 2003. Windows Server 2003 h? tr? cơ ch? C?p nh?t t? đ?ng g?c. Đ? bi?t thêm chi ti?t v? b?n c?p nh?t t? đ?ng g?c cho Server 2003, h?y vào web site Microsoft TechNet sau đây:

B?t C?p nh?t t? đ?ng c?a g?c tin c?y ch?ng

Windows Server 2008 R2 và Windows Server 2008


Trong Windows Server 2008, danh sách nhà phát hành không th? l?n hơn 16,384 (ho?c 0x4000) byte.

theo m?c đ?nh, cơ ch? C?p nh?t t? đ?ng g?c đư?c kích ho?t trong Windows Server 2008 và Windows Server 2008 R2. Đ? bi?t thêm chi ti?t v? làm th? nào đ? qu?n l? các cơ ch? C?p nh?t t? đ?ng g?c, h?y vào web site Microsoft TechNet sau đây:

Ch?ng ch? h? tr? và thông tin liên h? Internet k?t qu? trong Windows Server 2008

Windows Server 2012

Windows Server 2012 không h? tr? các ch?c năng Schannel CTL đ? có m?t trong các phiên b?n trư?c c?a hệ điều hành Windows Server. Đ? bi?t thêm chi ti?t v? làm th? nào Windows Server 2012 qu?n l? ch?ng ch? đáng tin c?y, h?y đ?c ti?t đo?n "Qu?n l? c?a công ty phát hành tin c?y cho ch?ng th?c s? d?ng" c?a bài vi?t c?a Microsoft TechNet sau đây:
Bß?ún ph?ón phß?æi c?? TLS/SSL (Schannel SSP)

Đ? bi?t thêm chi ti?t v? v?n đ? đư?c mô t? trong ph?n "Tri?u ch?ng", nh?p vào s? bài vi?t sau đ? xem các bài vi?t trong cơ s? ki?n th?c Microsoft:

933430 Khách hàng không th? th?c hi?n k?t n?i n?u b?n yêu c?u ch?ng ch? khách hàng trên m?t web site ho?c n?u b?n s? d?ng IAS trong Windows Server 2003

931125 Windows g?c gi?y ch?ng nh?n thành viên chương tr?nh

Thu?c tính

ID c?a bài: 2464556 - L?n xem xét sau cùng: 22 Tháng Mười 2013 - Xem xét l?i: 3.0
Áp d?ng
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
T? khóa: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài viết này được d?ch b?ng phần mềm dịch thu?t của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa l?i thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung c?p các bài vi?t đư?c c? biên d?ch viên và ph?n m?m d?ch thu?t th?c hi?n và c?ng đ?ng ch?nh s?a l?i đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng nhi?u ngôn ng? Tuy nhiên, bài vi?t do máy d?ch hoặc thậm chí cộng đồng chỉnh sửa sau không ph?i lúc nào c?ng hoàn h?o. Các bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này: 2464556

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com