SSL/TLS-Kommunikationsprobleme nach der Installation von KB 931125

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2801679 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Nach dem 11 Dezember 2012 Anwendungen und Prozesse, die TLS-basierte Authentifizierungen fehlschlagen abhängig sind plötzlich möglicherweise zwar offensichtlich Konfiguration wurde nicht geändert. Einige der Anwendungen und Vorgänge, die möglicherweise fehlschlägt enthalten, jedoch nicht beschränkt auf folgende:
  • Drahtlosen Netzwerkzugriff, der zertifikatbasierte Authentifizierung verwendet
  • Netzwerkzugriff, der zertifikatbasierte Authentifizierung verwendet
  • Clientkonnektivität zu Lync oder Office Communications Server
  • Voice-Mail, die Exchange Server zusammen mit Unified Messaging verwendet.
  • Zugriff auf die Website SSL-aktiviert
  • Outlook-Anmeldungen
  • Betriebssystem Booten Verzögerungen (langsamer Start)
  • Benutzeranmeldungen verzögert (Langsame Anmeldung)
Ereignisse, die in Windows oder in den Ereignisprotokollen von anwendungsspezifischen protokolliert werden und entweder Zweck oder endgültig identifizieren Sie das Symptom, das in diesem Artikel beschrieben wird, enthalten, jedoch nicht beschränkt auf Ereignisse, die in der folgenden Tabelle aufgeführt sind.


Tabelle minimierenTabelle vergrößern
EreignisprotokollEreignisquelleEreignis-IDEreignistext
SystemSchannel36885Bei Fragen zur Clientauthentifizierung, sendet dieser Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das der Server vertrauenswürdig ist. Momentan vertraut dieser Server sehr vielen Zertifizierungsstellen, die Liste zu lang ist. Diese Liste wurde abgeschnitten. Der Administrator dieses Computers sollte die für Clientauthentifizierung vertrauenswürdigen Zertifizierungsstellen überprüfen und diejenigen entfernen, die nicht wirklich vertrauenswürdig sein müssen.
SystemSchannel36887Die folgende schwerwiegende Warnung wurde empfangen: 47
SystemNapAgent39Network Access Protection Agent konnte die HRA ein Integritätszertifikat aus anfordern zu bestimmen. Eine Änderung oder wenn GP konfiguriert ist, eine Konfigurationsänderung fordert weitere Versuche, ein Integritätszertifikat abzurufen. Andernfalls werden keine weiteren werden Versuche durchgeführt.Wenden Sie für Weitere Informationen sich an die HRA-Administrator.
SystemRemoteAccess20225Fehler in der Point-to-Point-Protokollmodul am Port: VPN2-509, Benutzername: <username>. Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Überprüfen Sie Ihren Benutzernamen und Ihr Kennwort vom Server verwendete Authentifizierungsmethode kann insbesondere nicht die Authentifizierungsmethode, die in Ihrem Verbindungsprofil konfiguriert übereinstimmen. Wenden Sie sich an den Administrator des RAS-Servers, und teilen sie diesen Fehler. </username>
SystemRemoteAccess20271Der Benutzer <username>von <IP address="">verbunden, aber einen Authentifizierungsversuch aufgrund des folgenden Fehlers fehlgeschlagen: die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Überprüfen Sie Ihren Benutzernamen und Ihr Kennwort vom Server verwendete Authentifizierungsmethode kann insbesondere nicht die Authentifizierungsmethode, die in Ihrem Verbindungsprofil konfiguriert übereinstimmen. Wenden Sie sich an den Administrator des RAS-Servers, und teilen sie diesen Fehler. </IP></username>


Ursache

Diese Probleme können auftreten, wenn Sie Ihre Drittanbieter-aktualisiert Certication Stammzertifizierungsstellen mithilfe von Dezember 2012 KB 931125 Paket zu aktualisieren. Pakets KB 931125 11 Dezember 2012 gebucht wurde, wurde nur für Client SKUs vorgesehen. Allerdings war es auch für Server-SKUs für kurze Zeit auf Windows Update und WSUS angeboten.

Dieses Paket installiert die 330 Drittanbieter-Stammzertifizierungsstellen Certication. Derzeit ist die maximale Größe der Liste der vertrauenswürdigen Zertifikats, die Schannel-Sicherheitspaket unterstützt 16 Kilobyte (KB). Eine große Menge von Drittanbieter-Stammzertifizierungsstellen Certication wird über 16 k gehen mit erleben Limit und Sie Probleme bei der TLS/SSL-Kommunikation.

Lösung

Wenn Sie WSUS verwenden, und Sie nicht Dezember 2012 KB 931125 aktualisieren, sollten Sie WSUS-Server synchronisieren und dann genehmigen die Ablaufdaten für Ihre Server das Update nicht installieren.

Wenn Sie Dezember 2012 KB 931125 Update-Paket installiert haben, sollten Sie folgende Lösung verwenden, zusätzliche Drittanbieter-Certication Stammzertifizierungsstellen auf allen Servern zu entfernen, die jetzt eine große Menge von Drittanbieter-Stammzertifizierungsstellen Certication besitzen.

HinweisDiese Lösung behebt alle Drittanbieter-Stammzertifizierungsstellen Certication. Wenn Ihr Server mit Windows Update verbunden ist, wird automatisch von Drittanbietern Back Certication Stammzertifizierungsstellen bei Bedarf ebenfalls wie in KB 931125 vergrößert. Wenn ein betroffenen Server isoliert oder Disonnected aus dem Internet, Sie manuell müssen Hinzufügen der erforderlichen Drittanbieter-Certication Stammzertifizierungsstellen zurück, wie Sie in der Vergangenheit getan haben. (Oder Sie können sie mithilfe von Gruppenrichtlinien installieren.)

Um dieses Problem für Sie korrigieren lassen möchten, fahren Sie mit dem "Fix it for me" Abschnitt. Wenn Sie diese Problem manuell beheben möchten, lesen Sie den Abschnitt "Problem manuell beheben beseitigt".

Problem automatisch beheben

Um dieses Problem automatisch zu beheben, klicken Sie auf die beheben Schaltfläche oder zu verknüpfen, klicken Sie auf Ausführen klicken Sie im Dialogfeld Dateidownload und befolgen Sie die Schritte im Fix it -Assistenten.


Dieses Problem beheben.
Microsoft Fix it 50974
Hinweise

  • Stellen Sie sicher, dass Sie eine Sicherungskopie der Registrierung und aller betroffenen Schlüssel vornehmen, bevor Sie Änderungen am System vornehmen.
  • Dieser Assistent kann nur auf Englisch verfügbar sein. Die automatische Korrektur funktioniert auch für andere Sprachversionen von Windows.
  • Wenn Sie nicht auf dem Computer, das Problem ist, speichern Sie die Fix ist, diese Lösung auf ein Flashlaufwerk oder eine CD, und führen Sie die Lösung auf dem Computer, das Problem auftritt.

Problem manuell beheben

Löschen Sie den folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Gehen Sie hierzu folgendermaßen vor:
  1. Registrierungs-Editor zu starten
  2. Suchen Sie den folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Mit der rechten Maustaste, und löschen Sie dann die Taste, die "Zertifikate" aufgerufen wird
HinweisVergewissern Sie sich, bevor Sie Änderungen am System vornehmen, erstellen Sie eine Sicherungskopie der Registrierung und der betroffenen Schlüssel.

Weitere Informationen

Diese Probleme können auftreten, wenn TLS/SSL-Server viele Einträge in der Liste der vertrauenswürdigen Zertifizierungsstellen enthält. Der Server sendet eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client, wenn die folgenden Bedingungen erfüllt sind:
  • Der Server verwendet Transport Layer Security (TLS) / SSL-Protokoll zum Verschlüsseln des Netzwerkverkehrs.
  • Client-Zertifikate werden für die Authentifizierung während der Handshake-Authentifizierung erforderlich.

Diese Liste mit vertrauenswürdigen Zertifizierungsstellen stellt die Behörden, die von denen Server ein Client-Zertifikat akzeptieren kann. Um vom Server authentifiziert werden, muss der Client über ein Zertifikat verfügen, das mit einem Root-Zertifikat aus der Liste des Servers in der Kette der Zertifikate vorhanden ist. Dies ist, da das Clientzertifikat immer Endeinheitzertifikat am Ende der Kette ist. Das Clientzertifikat ist nicht Teil der Kette.

Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifikats, die Schannel-Sicherheitspaket unterstützt 16 KB in Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012.

Schannel erstellt die Liste der vertrauenswürdigen Zertifizierungsstellen durch den Speicher für vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Computer gesucht. Jeder vertrauenswürdiges Zertifikat zur Client-Authentifizierung wird der Liste hinzugefügt. Wenn die Größe dieser Liste 16 KB überschreitet, protokolliert Schannel Warnmeldung mit der Ereignis-ID 36855. Dann Schannel kürzt die Liste von vertrauenswürdigen Stammzertifikaten und diese gekürzte Liste an den Client sendet.

Empfängt der Clientcomputer die gekürzte Liste von vertrauenswürdigen Stammzertifikaten, kann der Client-Computer kein Zertifikat verfügen, das in der Kette von einem vertrauenswürdigen Zertifikataussteller vorhanden ist. Beispielsweise kann der Client-Computer über ein Zertifikat verfügen, der mit einem vertrauenswürdigen Stammzertifikat entspricht, die in der Liste der vertrauenswürdigen Zertifizierungsstellen Schannel abgeschnitten. Aus diesem Grund kann nicht der Server den Client authentifizieren.

Eigenschaften

Artikel-ID: 2801679 - Geändert am: Donnerstag, 17. Oktober 2013 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Keywords: 
kbmt KB2801679 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 2801679
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com