统一的通信的对等方之间的 TLS 连接失败生成 Schannel 警告

文章翻译 文章翻译
文章编号: 2464556 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

每个以下应用程序无法创建该应用程序的统一的通信 (UC) 等传输层安全 (TLS) 连接:
  • Microsoft Exchange Server
  • Microsoft Office 通信服务器
  • Microsoft Communicator 客户端
  • Microsoft? Office Live 会议 2007年客户端
  • Microsoft Lync Server
  • Microsoft Lync 客户端
此外,您收到以下 Schannel 警告和问题描述 Windows 服务器事件日志中:

事件类型: 警告
事件源: Schannel
事件类别: 无
事件 ID: 36885
日期: 日期
时间: 时间
用户:
计算机: 计算机名称

说明: 在要求客户端身份验证,此服务器发送的受信任的证书颁发机构的列表到客户端。客户端使用此列表可以选择受信任的服务器的客户端证书。目前,此服务器信任如此之多的证书颁发机构列表已变得太长。此列表已因此被截断。此计算机的管理员应检查受信任的客户端身份验证的证书颁发机构,并删除那些实际上不需要受信任。

原因

因为 UC 服务器没有通过正确的证书颁发机构信息回发到统一通信客户端 TLS 连接协商期间,就会出现此问题。相反,将出现下列情况:

  • UC 服务器到统一通信客户端请求安全的 TLS 连接,已安装的证书颁发机构信息的传递其证书信任列表 (CTL)。
  • CTL 被截断根据 Windows 服务器 Schannel 组件的设计限制。
  • 统一通信客户端请求安全的 TLS 连接不接收其已安装的证书颁发机构列表中包含的条目匹配的证书颁发机构信息。
  • TLS 连接尝试失败与"症状"一节中描述的错误。

之所以会出现此问题,因为 Windows 服务器操作系统的统一通信应用程序承载的 Schannel 组件的设计。

注意有关 Windows Server 操作系统的 Schannel 组件和其 CTL 的限制的详细信息,请参阅"Windows Server 2003","Windows 服务器 2008 R2 和 Windows Server 2008 中,"和"详细信息"部分的"Windows Server 2012"小节。

替代方法

下面的方法来解决"症状"一节中描述的问题。

方法 1:删除某些受信任的根证书


警告当您删除受信任的根证书颁发机构的证书时应十分小心。删除第三方受信任的根证书颁发机构证书到基于 Windows 的服务器承载的应用程序都可能破坏安全的客户端访问。

如果某些受信任的根证书不在您的环境中使用,请从服务器承载的统一通信的应用程序将其删除。若要执行此操作,请执行以下步骤:

Windows Server 2008 R2, Windows Server 2008 中, Windows Server 2003
  1. 单击开始,然后单击运行,类型 mmc然后单击确定
  2. 文件 菜单上,单击添加/删除管理单元中,然后单击添加
  3. 添加独立管理单元中 对话框中,单击证书,然后单击添加
  4. 单击计算机帐户,请单击下一步,然后单击完成
  5. 单击关闭,然后单击确定
  6. 在下控制台根 在 Microsoft 管理控制台 (MMC) 管理单元中,展开证书 (本地计算机),展开受信任的根证书颁发机构,然后单击证书
  7. 删除您不需要具有的受信任的根证书。若要执行此操作,请右键单击证书,单击删除,然后单击以确认您要删除的证书。
信息若要了解如何自动拆卸和安装的 Windows 服务器操作系统安装第三方受信任的根证书颁发机构证书的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

2801679 设置 KB 931125 后的 SSL/TLS 通信问题

信息有一些所需的 Windows 的根证书。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

293781 受信任的根证书所需的 Windows Server 2008 R2、 Windows 7,Windows Server 2008,Windows Vista、 Windows Server 2003,Windows XP 和 Windows 2000

方法 2:将组策略配置为忽略列表中的受信任的它承载的统一通信客户端计算机上的证书颁发机构

统一通信应用程序宿主的服务器是域的成员,如果统一通信客户端可以创建该主机将导致服务器忽略列表中的计算机上的受信任的证书颁发机构的策略。应用此策略时,受影响的服务器和客户端信任企业根证书颁发机构存储区中的证书。因此,您不需要更改单个计算机。

WindowsSe进行 2008 R2 或Windows Server 2008 的服务器

使用策略分发证书

Windows服务器 2003

将受信任的根证书颁发机构添加到组策略对象


注意有一些所需的 Windows 的根证书。您必须将这些证书添加到您创建的策略。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

293781 受信任的根证书所需的 Windows Server 2008 R2、 Windows 7,Windows Server 2008,Windows Vista、 Windows Server 2003,Windows XP 和 Windows 2000

方法 3:配置 Schannel,不能再发送的 TLS/SSL 握手过程中受信任的根证书颁发机构列表

您可以按照在 Windows Server 2008 R2,Windows Server 2003 和 Windows Server 2008 中,这些步骤。

警告如果您通过使用注册表编辑器或使用另一种方法对注册表修改不当,则可能会出现严重的问题。这些问题可能要求您重新安装操作系统。Microsoft 不能保证这些问题能够得到解决。修改注册表的风险由您自己承担。

在服务器上运行在其则会出现此问题的统一通信应用程序,设置为 false 将以下注册表项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

值名称: SendTrustedIssuerList
值类型: REG_DWORD
值数据: 0 (假)


默认情况下,在注册表中没有列出此项。默认情况下,此值为1 (True)。此注册表项控制该标志,用于控制是否服务器会发送到客户端的受信任的证书颁发机构的列表。当您将此注册表项设置为False时,服务器不发送到客户端的受信任的证书颁发机构的列表。这种行为可能会影响客户端证书的请求的响应方式。例如,如果 Internet Explorer 收到请求进行客户端身份验证时,Internet Explorer 之一的从服务器列表中的证书颁发机构链中显示出现的客户端证书。但是,如果服务器不发送的受信任的证书颁发机构列表,Internet Explorer 将显示在客户端计算机安装的所有客户端证书。

若要设置该注册表项,请执行以下步骤:
  1. 单击开始,然后单击运行,类型 注册表编辑器然后单击确定
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. 编辑 菜单上,指向新建,然后再单击DWORD 值
  4. 键入 SendTrustedIssuerList然后按 Enter 键名称的注册表项。
  5. 用鼠标右键单击SendTrustedIssuerList,然后单击修改
  6. 值数据 框中,键入0 如果值不是已显示,,然后单击确定
  7. 退出注册表编辑器。
注意有一些所需的 Windows 的根证书。您必须将这些证书添加到您创建的策略。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

293781 受信任的根证书所需的 Windows Server 2008 R2、 Windows 7,Windows Server 2008,Windows Vista、 Windows Server 2003,Windows XP 和 Windows 2000

更多信息

虽然这不"症状"一节中所述,可以在所有运行的 Windows Server 2003 或 Windows Server 2008 和承载 Microsoft Exchange 统一通信组件,如下列角色的计算机上发生此问题:
  • 客户端访问服务器
  • 邮箱
  • 统一的通信服务器

这些 Windows 服务器操作系统的系统可用于自动根更新机制从 Microsoft Windows Update 网站下载证书颁发机构的更新,当客户端需要安全的 TLS 连接。此证书的自动的更新过程会导致积累更多的证书颁发机构信息的需要,以确保安全统一通信客户端 TLS 连接请求的服务器。Windows 服务器 Schannel 组件将封送到统一通信客户端需要安全的 TLS 连接的根证书颁发机构的信息。统一通信客户端将比较 Schannel CTL 的内容与自己的证书颁发机构信息的列表。此过程可确保匹配根证书信息出现在 TCP 连接两个端点用于 TLS 握手过程的连续性。但是,Windows 服务器 Schannel 组件可以封送只有有限的统一通信客户端请求安全的 TLS 连接回其 CTL 中安装的 Windows 服务器证书颁发机构的信息。在某些情况下,这会导致统一通信客户端安全的 TLS 连接请求失败。

有关设计的 Windows Server 2003 和 Windows Server 2008 的自动根上的差异的详细信息更新配置和有关 Schannel 证书颁发机构列表限制,请参见以下各节。

Windows Server 2003


在 Windows Server 2003 中,颁发者不能超过 12,288 (或 0x3000) 字节为单位)。安装 Windows Server 2003 SP1 或 Windows Server 2003 SP2 修补程序 KB933940 的"更多信息"一节中列出的提供扩大的颁发者列表容量 16384 (或 0x4000) 的字节数。

在 Windows Server 2003 中,未启用自动根更新机制。Windows Server 2003 支持自动根更新机制。Server 2003 自动根更新有关的详细信息,请访问以下 Microsoft TechNet 网站:

打开自动更新受信任的根证书颁发机构

Windows Server 2008 R2 和 Windows Server 2008


在 Windows Server 2008 中,发行者列表不能大于 16384 (或 0x4000) 字节为单位)。

默认情况下,Windows Server 2008 和 Windows Server 2008 R2 中启用了自动根更新机制。有关如何管理自动根更新机制,请访问下面的 Microsoft TechNet 网站的详细信息:

证书支持和 Windows Server 2008 中产生的互联网通信

Windows Server 2012

Windows Server 2012 不支持 Schannel CTL 功能在早期版本的 Windows 服务器操作系统的系统存在。有关 Windows Server 2012 如何管理受信任的证书的详细信息,请阅读下面的 Microsoft TechNet 文章"的客户端身份验证的可信颁发者管理"一节:
在 TLS/SSL (Schannel SSP) 中的新增功能

有关"症状"一节中描述的问题的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

933430 如果您需要在网站上的客户端证书,或者如果您在 Windows Server 2003 中使用 IAS,客户端无法建立连接

931125 Windows 根证书程序成员

属性

文章编号: 2464556 - 最后修改: 2013年10月22日 - 修订: 4.0
这篇文章中的信息适用于:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
关键字:?
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2464556
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com