整合的通訊的對等之間的 TLS 連線失敗會產生 Schannel 警告

文章翻譯 文章翻譯
文章編號: 2464556 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

每個下列的應用程式無法建立傳輸層安全性 (TLS) 連線,與該應用程式的整合的通訊 (UC) 對等個體:
  • Microsoft Exchange Server
  • Microsoft Office 通訊伺服器
  • Microsoft Communicator 用戶端
  • Microsoft? Office Live Meeting 2007 用戶端
  • Microsoft Lync 伺服器
  • Microsoft Lync 用戶端
此外,您可以在 Windows 伺服器事件日誌中收到下列 Schannel 警告和問題描述:

事件類型: 警告
事件來源: Schannel
事件類別:無
事件識別碼: 36885
日期: 日期
時間: 時間
使用者:
電腦: 電腦名稱

描述: 當要求用戶端驗證時,此伺服器傳送受信任的憑證授權單位清單給用戶端。用戶端會使用這個清單來選擇伺服器所信任的用戶端憑證。目前,這台伺服器信任許多憑證授權單位清單變得太長。這份清單因此被截斷。這台電腦的系統管理員應該檢閱受信任的用戶端驗證的憑證授權單位,並移除那些並非真正需要信任。

發生的原因

UC 伺服器未通過正確的憑證授權單位資訊回 UC 用戶端的 TLS 連線交涉期間,就會發生這個問題。相反地,發生下列情況:

  • UC 伺服器會將其憑證信任清單 (CTL) 的已安裝的憑證授權單位資訊傳遞到 UC 用戶端要求安全的 TLS 連線。
  • CTL 是根據 Windows 伺服器 Schannel 元件的設計限制被截斷。
  • 要求安全的 TLS 連線的相關 UC 用戶端沒有收到符合的項目,其已安裝的憑證授權單位清單中所包含的憑證授權單位資訊。
  • 「 徵狀 〉 一節所述的錯誤而 TLS 連線嘗試失敗。

之所以發生這個問題,是因為裝載 (host) 的相關 UC 應用程式的 Windows 伺服器作業系統 Schannel 元件的設計。

附註:如需有關 Windows 伺服器作業系統的 Schannel 元件和其 CTL 限制的詳細資訊,請參閱 「 Windows Server 2003 」,「 Windows Server 2008 R2 和 Windows Server 2008,」 和 「 Windows Server 2012 」 小節的 〈 其他資訊 〉 一節。

其他可行方案

下列方法解決 「 徵狀 〉 一節所述的問題。

方法 1:移除部分受信任的根憑證


警告當您移除信任的根授權憑證時,您應謹慎小心。移除協力廠商信任的根授權憑證可能會中斷安全的用戶端存取 windows 伺服器上裝載的應用程式。

如果部分受信任的根憑證不會使用您的環境中,您應該從裝載 (host) UC 應用程式的伺服器將它們移除。若要這樣做,請依照下列步驟執行:

Windows Server 2008 R2、 Windows Server 2008 和Windows Server 2003
  1. 按一下 [開始],按一下 [執行] 型別 mmc然後按一下[確定]
  2. 檔案 ] 功能表中,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增
  3. 新增獨立嵌入式管理單元 對話方塊中,按一下 [憑證],然後按一下 [新增]。
  4. 按一下 [電腦帳戶,按一下 [下一步,,然後按一下 [完成]
  5. 按一下 [關閉],然後按一下[確定]
  6. 主控台根目錄 在 Microsoft 管理主控台 (MMC) 嵌入式管理單元中,展開 [憑證 (本機電腦),展開 [信任的根憑證授權單位],然後按一下憑證
  7. 移除您不需要有受信任的根憑證。若要執行這項操作,以滑鼠右鍵按一下憑證,按一下 [刪除],然後按一下,確認您想要移除的憑證。
資訊若要了解其他有關如何自動化移除與安裝在 Windows 伺服器作業系統上安裝的協力廠商信任的根授權憑證,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

2801679 在您安裝 KB 931125 之後的 SSL/TLS 通訊問題

資訊有某些由 Windows 所需的根憑證。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

293781 信任的根憑證所需的 Windows Server 2008 R2、 Windows 7,Windows Server 2008,Windows Vista,Windows Server 2003、 Windows XP 和 Windows 2000

方法 2:設定群組原則 」 來略過的清單信任主控 UC 用戶端電腦上的憑證授權單位

如果裝載 UC 應用程式的伺服器是網域的成員,您可以建立原則,使要略過的電腦上的受信任的憑證授權單位清單伺服器裝載 UC 用戶端。當您套用此原則時,受影響的伺服器和用戶端會信任在企業根憑證授權單位存放區中的憑證。因此,您不需要變更個別電腦。

WindowsServer 2008 R2 或Windows Server 2008

使用原則發佈憑證

Windows伺服器 2003

加入群組原則] 物件中的受信任的根憑證授權單位


附註有某些由 Windows 所需的根憑證。您必須將這些憑證新增至您所建立的原則。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

293781 信任的根憑證所需的 Windows Server 2008 R2、 Windows 7,Windows Server 2008,Windows Vista,Windows Server 2003、 Windows XP 和 Windows 2000

方法 3:設定 Schannel 不再傳送 TLS/SSL 信號交換程序期間的 [受信任的根憑證授權單位清單

您可以依照這些步驟,在 Windows Server 2008 R2、 Windows Server 2008 和 Windows Server 2003。

警告如果您不當修改登錄使用登錄編輯程式,或使用另一種方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 不保證可以解決這些問題。修改登錄,自行承擔風險。

在伺服器上執行遇到這個問題的相關 UC 應用程式,設定下列的登錄項目設為 false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

數值名稱: SendTrustedIssuerList
實值型別: REG_DWORD
數值資料: 0 (假)


根據預設,此項目沒有列在登錄中。根據預設,這個值會是1 (True)。此登錄項目控制控制伺服器是否傳送受信任的憑證授權單位清單給用戶端的旗標。當您將此登錄項目設定為False時,伺服器並不會傳送至用戶端的受信任的憑證授權單位清單。這種行為可能會影響用戶端憑證要求的回應。例如,如果 Internet Explorer 接收用戶端驗證要求時,Internet Explorer 會顯示只有用戶端憑證,會出現其中一個是從伺服器清單中的憑證授權單位的鏈結中。不過,如果伺服器不會傳送一份信任的憑證授權單位 」,Internet Explorer 會顯示安裝在用戶端電腦的所有用戶端憑證。

若要設定這個登錄項目,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行] 型別 regedit然後按一下[確定]
  2. 找出並按一下下列的登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. 編輯 ] 功能表中,指向 [新增],然後按一下 [ DWORD 值
  4. 型別 SendTrustedIssuerList然後按 Enter 來命名的登錄項目。
  5. SendTrustedIssuerList,以滑鼠右鍵按一下,然後按一下 [修改]
  6. 值的資料 方塊中,輸入0 如果值不是已經顯示,,然後按一下[確定]
  7. 結束登錄編輯程式。
附註有某些由 Windows 所需的根憑證。您必須將這些憑證新增至您所建立的原則。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

293781 信任的根憑證所需的 Windows Server 2008 R2、 Windows 7,Windows Server 2008,Windows Vista,Windows Server 2003、 Windows XP 和 Windows 2000

其他相關資訊

雖然這不 「 徵狀 〉 一節中所述,在執行中的 Windows Server 2003 或 Windows Server 2008 裝載 Microsoft Exchange 整合通訊的元件,如下列角色的所有電腦上發生這個問題:
  • 用戶端存取伺服器
  • 信箱
  • 整合的通訊伺服器

這些 Windows 伺服器作業系統可以使用自動根目錄更新機制時,用戶端要求安全的 TLS 連線,從 Microsoft Windows Update 網站下載憑證授權單位更新。此自動化的憑證更新程序會導致累積以確保安全的相關 UC 用戶端 TLS 連線要求所需的其他憑證授權單位資訊到伺服器。Windows 伺服器 Schannel 元件封送處理要求安全的 TLS 連線的相關 UC 用戶端的根憑證授權單位資訊。UC 用戶端會比較 Schannel CTL 與它自己的憑證授權單位資訊清單的內容。此程序可確保符合根憑證資訊會在 TCP 連線的兩個端點的 TLS 信號交換程序持續存在。不過,Windows 伺服器 Schannel 元件可以封送處理只有有限的 Windows 中的伺服器安裝憑證授權單位資訊其 CTL 回 UC 用戶端要求安全的 TLS 連線。在某些情況下,這會導致 UC 用戶端的安全 TLS 連線要求失敗。

如需有關 Windows Server 2003 和 Windows Server 2008 自動根目錄的設計差異更新組態,以及關於 Schannel 憑證授權單位清單限制,請參閱下列各節。

Windows 2003 Server


在 Windows Server 2003,發照者清單不能大於 12,288 (或 0x3000) 個位元組。安裝或 Windows Server 2003 SP2 hotfix KB933940 中的 〈 其他資訊 〉 一節所列的 Windows Server 2003 SP1 提供放大發照者清單容量 16384 (或 0x4000) 的位元組。

自動根目錄更新機制不會啟用 Windows Server 2003 中。Windows Server 2003 支援自動根目錄更新機制。如需有關自動根目錄更新 Server 2003 的詳細資訊,請移至下列 Microsoft TechNet 網站:

開啟自動更新信任的根授權憑證

Windows Server 2008 R2 和 Windows Server 2008


在 Windows Server 2008,發照者清單不能大於 16384 (或 0x4000) 個位元組。

根據預設,自動根目錄更新機制已啟用 Windows Server 2008 和 Windows Server 2008 R2 中。如需有關如何管理自動根目錄更新機制,請前往下列 Microsoft TechNet 網站的詳細資訊:

憑證支援與在 Windows Server 2008 中產生的網際網路通訊

Windows Server 2012

Windows Server 2012 不支援在舊版的 Windows 伺服器作業系統存在 Schannel CTL 功能。如需有關 Windows Server 2012 管理受信任的憑證的方式的詳細資訊,請閱讀下列 「 Microsoft TechNet 文件的 「 管理信任之簽發者的用戶端驗證 」 一節:
什麼是 TLS/SSL (Schannel SSP) 的新功能

如需有關 「 徵狀 〉 一節所述問題的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

933430 用戶端無法進行連線,如果您需要在網站上的用戶端憑證,或如果您在 Windows Server 2003 中使用 IAS

931125 Windows 根憑證程式成員

屬性

文章編號: 2464556 - 上次校閱: 2013年10月22日 - 版次: 4.0
這篇文章中的資訊適用於:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
關鍵字:?
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2464556
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com