Après avoir installé 931125 de la base de connaissances des problèmes de communication SSL/TLS

Traductions disponibles Traductions disponibles
Numéro d'article: 2801679 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Après le 11 décembre 2012, les applications et les opérations qui sont dépendantes de l'échec des authentifications TLS peuvent échouer subitement bien qu'ils n'aient aucune modification de configuration apparaît. Certaines opérations peuvent échouer et applications incluent, mais ne sont pas limitées à, les éléments suivants :
  • Accès réseau sans fil qui utilise l'authentification basée sur certificat
  • Accès réseau sans fil qui utilise l'authentification basée sur certificat
  • Connectivité client Lync et Office Communications Server
  • Messagerie vocale qui utilise Exchange Server ainsi que la messagerie unifiée
  • Accéder au site Web de SSL activé
  • Ouvertures de session Outlook
  • Délais de démarrage du système d'exploitation (Initialisation lente)
  • Délai d'ouverture de session utilisateur (connexion lente)
Les événements qui sont consignés dans Windows ou dans les journaux des événements spécifiques à l'application, et qui soit portée soit identifier définitivement le problème qui est décrit dans cet article, incluent, mais ne sont pas limitées à, les événements qui sont répertoriés dans le tableau suivant.


Réduire ce tableauAgrandir ce tableau
Journal des événementsSource de l'événementID d'événementTexte de l'événement
SystèmeSchannel36885Lorsque vous demandez de l'authentification du client, ce serveur envoie une liste d'autorités de certification approuvées au client. Le client utilise cette liste pour choisir un certificat client qui est approuvé par le serveur. Actuellement ce serveur approuve les nombreuses autorités de certification que la liste est devenue trop longue. Cette liste a donc été tronquée. L'administrateur de cet ordinateur devrait revoir les autorités de certification approuvées pour l'authentification du client et supprimez ceux que vous n'avez pas vraiment besoin d'être approuvés.
SystèmeSchannel36887L'alerte d'erreur fatale suivant a été reçu : 47
SystèmeNapAgent39L'Agent de Protection d'accès réseau n'a pas pu déterminer quelles HRAs pour demander un certificat d'intégrité à partir de. Une modification du réseau ou si GP est configuré, un changement de configuration invite supplémentaire tente d'obtenir un certificat d'intégrité. Sinon aucune autre tentative sera effectuée.Pour plus d'informations, contactez l'administrateur de l'autorité HRA.
SystèmeService d'accès distant20225L'erreur suivante s'est produite dans le module du protocole Point à Point sur le port : VPN2-509, UserName : <username>. La connexion a été empêchée par une stratégie configurée sur votre serveur RAS/VPN. Plus précisément, la méthode d'authentification utilisée par le serveur pour vérifier votre nom d'utilisateur et le mot de passe ne correspondent ne peut-être pas la méthode d'authentification configurée dans votre profil de connexion. Contactez l'administrateur du serveur RAS et signalez-lui cette erreur. </username>
SystèmeService d'accès distant20271Le <username>de l'utilisateur connecté à partir de <IP address="">a échoué une tentative d'authentification la raison suivante : la connexion a été empêchée par une stratégie configurée sur votre serveur RAS/VPN. Plus précisément, la méthode d'authentification utilisée par le serveur pour vérifier votre nom d'utilisateur et le mot de passe ne correspondent ne peut-être pas la méthode d'authentification configurée dans votre profil de connexion. Contactez l'administrateur du serveur RAS et signalez-lui cette erreur. </IP></username>


Cause

Ces problèmes peuvent se produire que si la mise à jour de vos tiers autorités racines de Certication à l'aide de la base de connaissances 931125 de décembre 2012 jour package. Le package 931125 de la base de connaissances qui a été publié le 11 décembre 2012, a été conçu uniquement pour les SKU du client. Toutefois, il est également proposé pour les éditions serveur pendant une courte période sur Windows Update et de WSUS.

Ce package installé plus de 330 autorités de Certication racine tierce. Actuellement, la taille maximale de la liste d'autorités de certification de confiance prenant en charge le package de sécurité Schannel est 16 kilo-octets (Ko). Ayant une grande quantité d'autorités de Certication racine tierce va dépasser les 16k et que vous rencontrerez des problèmes de communication TLS/SSL.

Résolution

Si vous utilisez WSUS, et vous n'avez pas installé la mise à jour de la base de connaissances 931125 de décembre 2012, vous devez synchroniser vos serveurs WSUS et ensuite approuver les délais d'expiration afin que vos serveurs n'installez pas la mise à jour.

Si vous avez installé la base de connaissances de décembre 2012 931125 package de mise à jour, vous devez utiliser la résolution suivante pour supprimer les autorités Certication de racine tiers supplémentaires sur tous les serveurs qui ont maintenant une grande quantité d'autorités de Certication racine tierce.

Remarque Cette solution supprime toutes les autorités de Certication racine tierce partie. Si votre serveur dispose d'une connectivité à Windows Update, il ajoute automatiquement le fournisseur tiers arrière Certication autorités racines en fonction des besoins, comme également abordé dans 931125 de la base de connaissances. Si un serveur affecté est isolé ou disonnected à partir d'Internet, vous devez manuellement ajouter les autorités de Certication racine tiers nécessaire précédent que vous auriez pu réaliser dans le passé. (Ou, vous pouvez les installer à l'aide de stratégie de groupe).

Afin que nous puissions résoudre le problème pour vous, passez à le « Aidez-moi » section. Si vous préférez résoudre le problème vous-même, consultez la section « Je résous le problème moi-même ».

Résolvez le problème pour moi

Pour résoudre ce problème automatiquement, cliquez sur le Fix it bouton ou lien, cliquez sur exécuter dans la boîte de dialogue Téléchargement de fichier et puis suivez les étapes de l'Assistant de réparation .


Résoudre ce problème
Microsoft Fix it 50974
Remarques

  • Veillez à effectuer une sauvegarde du Registre et de toutes les clés concernés avant d'apporter des modifications à votre système.
  • Il est probable que cet Assistant soit écrit en anglais uniquement. Toutefois, la correction automatique est opérationnelle pour les autres versions linguistiques de Windows.
  • Si vous n'êtes pas l'ordinateur concerné, vous pouvez enregistrer la solution sur un lecteur flash ou un CD-ROM et ensuite l'exécuter sur l'ordinateur qui rencontre le problème.

Je résous le problème moi-même

Supprimez la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Pour ce faire, procédez comme suit :
  1. Démarrez l'Éditeur du Registre
  2. Recherchez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Avec le bouton droit, puis supprimez la clé qui est appelée « Certificats »
Remarque Veillez à effectuer une sauvegarde du Registre et de clés concernés avant d'apporter des modifications à votre système.

Plus d'informations

Ces problèmes peuvent se produire si un serveur TLS/SSL contient de nombreuses entrées dans la liste de certification de racine de confiance. Le serveur envoie une liste d'autorités de certification approuvées au client si les conditions suivantes sont remplies :
  • Le serveur utilise la sécurité TLS (Transport Layer) / le protocole SSL pour crypter le trafic réseau.
  • Les certificats clients sont requis pour l'authentification au cours du processus de négociation de l'authentification.

Cette liste d'autorités de certification approuvées représente les autorités à partir de laquelle le serveur peut accepter un certificat client. Pour être authentifié par le serveur, le client doit avoir un certificat qui est présent dans la chaîne de certificats jusqu'à un certificat racine à partir de la liste du serveur. C'est parce que le certificat client est toujours le certificat d'entité finale à la fin de la chaîne. Le certificat client ne fait pas partie de la chaîne.

Actuellement, la taille maximale de la liste d'autorités de certification de confiance prenant en charge le package de sécurité Schannel est de 16 Ko dans Windows Server 2008, Windows Server 2008 R2 et Windows Server 2012.

Schannel crée la liste des autorités de certification approuvées par recherche dans le magasin d'autorités de Certification racines de confiance sur l'ordinateur local. Chaque certificat est approuvé à des fins d'authentification de client est ajouté à la liste. Si la taille de cette liste dépasse 16 Ko, Schannel enregistre l'ID d'événement avertissement 36855. Ensuite, Schannel tronque la liste des certificats racine de confiance et envoie cette liste tronquée à l'ordinateur client.

Lorsque l'ordinateur client reçoit la liste des certificats racine approuvés tronquée, l'ordinateur client est peut-être pas un certificat qui existe dans la chaîne d'un émetteur de certificat de confiance. Par exemple, l'ordinateur client peut avoir un certificat qui correspond à un certificat racine approuvé que Schannel tronqué à partir de la liste des autorités de certification approuvées. Par conséquent, le serveur ne peut pas authentifier le client.

Propriétés

Numéro d'article: 2801679 - Dernière mise à jour: jeudi 17 octobre 2013 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Mots-clés : 
kbmt KB2801679 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 2801679
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com