Ssl-/TLS-Kommunikationsprobleme nach der Installation von KB-931125
Dieser Artikel bietet eine Lösung für SSL-/TLS-Kommunikationsprobleme, die nach der Installation von KB-931125 auftreten.
Gilt für: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2801679
Symptome
Nach dem 11. Dezember 2012 können Anwendungen und Vorgänge, die von TLS-basierten Authentifizierungen abhängig sind, plötzlich fehlschlagen, obwohl sie keine offensichtlichen Konfigurationsänderungen aufweisen. Einige der Anwendungen und Vorgänge, die möglicherweise fehlschlagen, umfassen, sind jedoch nicht beschränkt auf die folgenden:
- Drahtlosnetzwerkzugriff mit zertifikatbasierter Authentifizierung
- Kabelgebundener Netzwerkzugriff mit zertifikatbasierter Authentifizierung
- Clientkonnektivität mit Lync oder Office Communications Server
- Voicemail, die Exchange Server zusammen mit Unified Messaging verwendet
- SSL-fähiger Websitezugriff
- Outlook-Anmeldungen
- Verzögerungen beim Starten des Betriebssystems (langsamer Start)
- Verzögerungen bei Der Benutzeranmeldung (langsame Anmeldung)
Ereignisse, die in Windows oder in anwendungsspezifischen Ereignisprotokollen protokolliert werden und die das in diesem Artikel behandelte Symptom entweder umfassen oder definitiv identifizieren, enthalten ereignisse, die in der folgenden Tabelle aufgeführt sind, aber nicht beschränkt auf.
| Ereignisprotokoll | Ereignisquelle | Ereignis-ID | Ereignistext |
|---|---|---|---|
| System | Schannel | 36885 | Wenn Sie die Clientauthentifizierung anfordern, sendet dieser Server eine Liste der vertrauenswürdigen Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das vom Server als vertrauenswürdig eingestuft wird. Derzeit vertraut dieser Server so vielen Zertifizierungsstellen, dass die Liste zu lang geworden ist. Diese Liste wurde daher abgeschnitten. Der Administrator dieses Computers sollte die für die Clientauthentifizierung vertrauenswürdigen Zertifizierungsstellen überprüfen und diejenigen entfernen, die nicht wirklich vertrauenswürdig sein müssen. |
| System | Schannel | 36887 | Die folgende schwerwiegende Warnung wurde empfangen: 47 |
| System | NapAgent | 39 | Der Netzwerkzugriffsschutz-Agent konnte nicht ermitteln, von welchen HRAs ein Integritätszertifikat angefordert werden soll. Eine Netzwerkänderung oder wenn GP konfiguriert ist, fordert eine Konfigurationsänderung weitere Versuche auf, ein Integritätszertifikat zu erhalten. Andernfalls werden keine weiteren Versuche unternommen. Wenden Sie sich an den HRA-Administrator, um weitere Informationen zu erfahren. |
| System | RemoteAccess | 20225 | Der folgende Fehler ist im Modul Point-to-Point-Protokoll am Port aufgetreten: VPN2-509, UserName: <username>. Die Verbindung wurde aufgrund einer auf Ihrem RAS-/VPN-Server konfigurierten Richtlinie verhindert. Insbesondere die Authentifizierungsmethode, die vom Server zum Überprüfen Ihres Benutzernamens und Kennworts verwendet wird, entspricht möglicherweise nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie diesen über diesen Fehler. |
| System | RemoteAccess | 20271 | Der Benutzerbenutzername<>, der über <die IP-Adresse> verbunden ist, aber ein Authentifizierungsversuch ist aus folgendem Grund fehlgeschlagen: Die Verbindung wurde aufgrund einer richtlinie verhindert, die auf Ihrem RAS-/VPN-Server konfiguriert wurde. Insbesondere die Authentifizierungsmethode, die vom Server zum Überprüfen Ihres Benutzernamens und Kennworts verwendet wird, entspricht möglicherweise nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie diesen über diesen Fehler. |
Ursache
Diese Probleme können auftreten, wenn Sie Ihre Stammzertifizierungsstellen von Drittanbietern mithilfe des Updatepakets vom Dezember 2012 kb 931125 aktualisiert haben. Das KB-931125 Paket, das am 11. Dezember 2012 veröffentlicht wurde, war nur für Client-SKUs vorgesehen. Es wurde jedoch für kurze Zeit auch für Server-SKUs auf Windows Update und WSUS angeboten.
Dieses Paket hat mehr als 330 Stammzertifizierungsstellen von Drittanbietern installiert. Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket unterstützt, 16 KB. Wenn Sie eine große Anzahl von Stammzertifizierungsstellen von Drittanbietern haben, wird der Grenzwert von 16.000 überschritten, und Es treten Probleme mit der TLS-/SSL-Kommunikation auf.
Lösung
Wenn Sie WSUS verwenden und das Update vom Dezember 2012 KB 931125 nicht installiert haben, sollten Sie Ihre WSUS-Server synchronisieren und dann die Ablaufvorgänge genehmigen, damit ihre Server das Update nicht installieren.
Wenn Sie das Updatepaket vom Dezember 2012 KB 931125 installiert haben, sollten Sie die folgende Lösung verwenden, um zusätzliche Stammzertifizierungsstellen von Drittanbietern auf allen Servern zu entfernen, die jetzt über eine große Anzahl von Stammzertifizierungsstellen von Drittanbietern verfügen.
Hinweis
Diese Lösung entfernt alle Stammzertifizierungsstellen von Drittanbietern. Wenn Ihr Server mit Windows Update verbunden ist, werden bei Bedarf automatisch Stammzertifizierungsstellen von Drittanbietern hinzugefügt, wie auch in KB-931125 erläutert. Wenn ein betroffener Server isoliert oder vom Internet getrennt ist, müssen Sie die erforderlichen Stammzertifizierungsstellen von Drittanbietern wie in der Vergangenheit manuell wieder hinzufügen. (Oder Sie können sie mithilfe von Gruppenrichtlinie installieren.)
Löschen Sie den folgenden Registrierungsschlüssel, um dieses Problem zu beheben:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
Gehen Sie dazu wie folgt vor:
- Registrierungs-Editor starten
- Suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Klicken Sie mit der rechten Maustaste, und löschen Sie dann den Schlüssel mit dem Namen Zertifikate.
Hinweis
Stellen Sie sicher, dass Sie eine Sicherung der Registrierung und der betroffenen Schlüssel erstellen, bevor Sie Änderungen an Ihrem System vornehmen.
Weitere Informationen
Diese Probleme können auftreten, wenn ein TLS/SSL-Server viele Einträge in der Liste der vertrauenswürdigen Stammzertifizierungen enthält. Der Server sendet eine Liste der vertrauenswürdigen Zertifizierungsstellen an den Client, wenn die folgenden Bedingungen erfüllt sind:
- Der Server verwendet das TLS-/SSL-Protokoll (Transport Layer Security) zum Verschlüsseln des Netzwerkdatenverkehrs.
- Clientzertifikate sind für die Authentifizierung während des Authentifizierungshandshakes erforderlich.
Diese Liste der vertrauenswürdigen Zertifizierungsstellen stellt die Autoritäten dar, von denen der Server ein Clientzertifikat akzeptieren kann. Um vom Server authentifiziert zu werden, muss der Client über ein Zertifikat verfügen, das in der Kette von Zertifikaten zu einem Stammzertifikat aus der Liste des Servers vorhanden ist. Dies liegt daran, dass das Clientzertifikat immer das Endentitätszertifikat am Ende der Kette ist. Das Clientzertifikat ist nicht Teil der Kette.
Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket in Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012 unterstützt.
Schannel erstellt die Liste der vertrauenswürdigen Zertifizierungsstellen, indem er den Speicher für vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Computer durchsucht. Jedes Zertifikat, das für Clientauthentifizierungszwecke vertrauenswürdig ist, wird der Liste hinzugefügt. Wenn die Größe dieser Liste 16 KB überschreitet, protokolliert Schannel die Warnungsereignis-ID 36855. Anschließend schneidet Schannel die Liste der vertrauenswürdigen Stammzertifikate ab und sendet diese abgeschnittene Liste an den Clientcomputer.
Wenn der Clientcomputer die gekürzte Liste der vertrauenswürdigen Stammzertifikate empfängt, verfügt der Clientcomputer möglicherweise nicht über ein Zertifikat, das in der Kette eines vertrauenswürdigen Zertifikatausstellers vorhanden ist. Beispielsweise kann der Clientcomputer über ein Zertifikat verfügen, das einem vertrauenswürdigen Stammzertifikat entspricht, das Schannel aus der Liste der vertrauenswürdigen Zertifizierungsstellen abgeschnitten hat. Daher kann der Server den Client nicht authentifizieren.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für