Komunikasi SSL/TLS masalah setelah menginstal KB 931125

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2801679 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Gejala

Setelah 11 Desember 2012, aplikasi dan operasi yang bergantung pada otentifikasi berbasis TLS gagal mungkin tiba-tiba gagal meskipun mereka memiliki tidak ada perubahan konfigurasi yang jelas. Beberapa aplikasi dan operasi yang mungkin gagal termasuk, tetapi tidak terbatas pada, berikut:
  • Akses jaringan nirkabel yang menggunakan otentikasi berbasis sertifikat
  • Akses jaringan kabel yang menggunakan otentikasi berbasis sertifikat
  • Konektivitas klien untuk Lync atau untuk Office Communications Server
  • pesan suara yang menggunakan Exchange Server bersama dengan Unified Messaging
  • Akses situs dukungan SSL
  • Outlook login
  • Penundaan boot OS (lambat boot)
  • Pengguna login penundaan (lambat logon)
Peristiwa-peristiwa yang dicatat di Windows atau di log peristiwa khusus aplikasi, dan bahwa lingkup atau definitif mengidentifikasi gejala yang dibahas dalam artikel ini, termasuk, tetapi tidak terbatas pada, peristiwa yang tercantum dalam Daftar Tabel berikut.


Perkecil tabel iniPerbesar tabel ini
Event logSumber peristiwaID peristiwaAcara teks
SistemSchannel36885Ketika meminta klien otentikasi, server ini mengirimkan daftar otoritas sertifikat terpercaya ke klien. Klien menggunakan daftar ini untuk memilih sertifikat klien yang dipercaya oleh server. Saat ini, server ini percaya begitu banyak otoritas sertifikat bahwa daftar telah tumbuh terlalu lama. Daftar ini dengan demikian terpotong. Administrator dari mesin ini harus meninjau otoritas sertifikat terpercaya untuk klien otentikasi dan menghapus orang-orang yang tidak benar-benar perlu untuk dapat dipercaya.
SistemSchannel36887Alert fatal berikut yang diterima: 47
SistemNapAgent39Jaringan akses perlindungan agen tidak mampu untuk menentukan mana HRAs untuk meminta sertifikat kesehatan dari. Perubahan jaringan atau jika GP dikonfigurasi, perubahan konfigurasi akan meminta lebih lanjut upaya untuk memperoleh sertifikat kesehatan. Jika tidak lagi upaya akan dilakukan.Hubungi HRA administrator untuk informasi lebih lanjut.
SistemRemoteAccess20225Terjadi galat berikut dalam modul protokol Point to Point pada port: VPN2-509, UserName: <username>. Sambungan dicegah karena kebijakan yang dikonfigurasikan pada server RAS VPN Anda. Secara khusus, metode autentikasi yang digunakan oleh server untuk memverifikasi username dan password Anda mungkin tidak cocok metode autentikasi yang dikonfigurasi di profil sambungan. Silakan hubungi Administrator server RAS dan memberitahu mereka tentang kesalahan ini. </username>
SistemRemoteAccess20271Pengguna <username>terhubung dari <IP address="">tetapi gagal upaya otentikasi karena alasan berikut: sambungan dicegah karena kebijakan yang dikonfigurasikan pada server RAS VPN Anda. Secara khusus, metode autentikasi yang digunakan oleh server untuk memverifikasi username dan password Anda mungkin tidak cocok metode autentikasi yang dikonfigurasi di profil sambungan. Silakan hubungi Administrator server RAS dan memberitahu mereka tentang kesalahan ini. </IP></username>


Penyebab

Masalah ini dapat terjadi jika Anda memperbarui Anda pihak berwenang Certication akar dengan menggunakan Desember 2012 KB 931125 paket pembaruan. Paket KB 931125 yang telah diposting pada Desember 11, 2012, ditujukan hanya untuk klien SKU. Namun, itu juga ditawarkan untuk Server SKU untuk waktu yang singkat pada Windows Update dan WSUS.

Paket ini diinstal lebih dari 330 pihak ketiga akar Certication otoritas. Saat ini, jumlah maksimum daftar otoritas sertifikat terpercaya yang mendukung paket keamanan Schannel adalah 16 kilobyte (KB). Memiliki sejumlah besar pihak ketiga akar Certication berwenang akan pergi ke 16k batas, dan Anda akan mengalami masalah komunikasi TLS/SSL.

Pemecahan masalah

Jika Anda menggunakan WSUS, dan Anda tidak menginstal pembaruan Desember 2012 KB 931125, Anda harus melakukan sinkronisasi server WSUS Anda, dan kemudian menyetujui penutupan sehingga server Anda tidak menginstal pembaruan.

Jika Anda menginstal Desember 2012 KB 931125 paket pembaruan, Anda harus menggunakan resolusi berikut untuk menghapus tambahan pihak ketiga akar Certication otoritas pada semua server yang sekarang memiliki sejumlah besar pihak ketiga akar Certication otoritas.

CatatanSolusi ini akan menghapus semua pihak ketiga akar Certication otoritas. Jika server Anda memiliki konektivitas ke Windows Update, itu akan secara otomatis menambahkan kembali pihak ketiga akar Certication otoritas yang diperlukan, seperti juga dibahas dalam KB 931125. Jika server yang terkena terisolasi atau disonnected dari Internet, Anda harus secara manual menambahkan otoritas Certication akar pihak ketiga perlu kembali seperti Anda akan dilakukan di masa lalu. (Atau, Anda dapat menginstalnya dengan menggunakan Kebijakan Grup.)

Untuk meminta kami memperbaiki masalah ini untuk Anda, pergi ke "Memperbaikinya bagi saya" bagian. Jika Anda memilih untuk memperbaiki sendiri masalah ini, buka bagian "Biarkan saya memperbaiki sendiri".

Perbaiki untuk saya

Untuk memperbaiki masalah ini secara otomatis, klik memperbaikinya tombol tekan atau link, klik Jalankan di kotak dialog Unduh berkas , dan kemudian ikuti langkah-langkah dalam memperbaikinya wizard.


Memperbaiki masalah ini
Microsoft Perbaiki ini 50974
Catatan

  • Pastikan bahwa Anda membuat cadangan registri dan semua terkena bukti kunci sebelum Anda membuat perubahan ke sistem Anda.
  • Wizard ini mungkin hanya dalam bahasa Perserikatan Kerajaan. Namun, perbaikan otomatis juga bekerja untuk windows versi bahasa lainnya.
  • Jika Anda tidak berada di depan komputer yang mengalami masalah, Simpan perbaikan itu solusi untuk sebuah flash drive atau CD dan kemudian jalankan solusi pada komputer yang memiliki masalah.

Biarkan saya memperbaiki sendiri

tombol tekan HAPUS registri berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Untuk melakukannya, ikuti langkah berikut:
  1. Mulai Peninjau suntingan registri
  2. Cari subkunci registri berikut:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Klik kanan-atas dan kemudian tombol tekan HAPUS yang disebut "Sertifikat"
CatatanPastikan bahwa Anda membuat cadangan registri dan terkena bukti kunci sebelum Anda membuat perubahan ke sistem Anda.

Informasi lebih lanjut

Masalah ini dapat terjadi jika server TLS/SSL mengandung banyak entri dalam daftar sertifikasi akar terpercaya. Server mengirimkan daftar otoritas sertifikat terpercaya kepada klien jika kondisi berikut ini benar:
  • Server menggunakan Transport Layer Security (TLS) / protokol SSL untuk mengenkripsi lalu lintas jaringan.
  • Sertifikat klien diperlukan untuk otentikasi selama proses jabat tangan otentikasi.

Daftar otoritas sertifikat terpercaya mewakili otoritas yang server dapat menerima sertifikat klien. Dapat disahkan oleh server, klien harus memiliki sertifikat yang hadir dalam rantai sertifikat untuk sertifikat akar dari daftar server. Hal ini karena sertifikat klien selalu sertifikat akhir-entitas di ujung rantai. Sertifikat klien bukan bagian dari rantai.

Saat ini, jumlah maksimum daftar otoritas sertifikat terpercaya yang mendukung paket keamanan Schannel adalah 16 KB di Windows Server 2008, Windows Server 2008 R2 dan Windows Server 2012.

Schannel menciptakan daftar otoritas sertifikat terpercaya dengan Telisik otoritas sertifikasi akar dipercaya toko pada komputer lokal. Setiap sertifikat yang terpercaya untuk tujuan otentikasi klien akan ditambahkan ke daftar. Jika ukuran daftar ini melebihi 16 KB, Schannel log peringatan peristiwa ID 36855. Kemudian, Schannel memotong daftar terpercaya akar sertifikat dan mengirimkan daftar terpotong ini ke komputer klien.

Ketika komputer klien menerima daftar terpotong terpercaya akar sertifikat, komputer klien mungkin tidak memiliki sertifikat yang ada di jaringan pengeluar sertifikat terpercaya. Sebagai contoh, komputer klien mungkin memiliki sertifikat yang berkaitan dengan sertifikat terpercaya akar yang Schannel dipotong dari daftar otoritas sertifikat terpercaya. Oleh karena itu, server tidak bisa mengotentikasi klien.

Properti

ID Artikel: 2801679 - Kajian Terakhir: 17 Oktober 2013 - Revisi: 3.0
Berlaku bagi:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Kata kunci: 
kbmt KB2801679 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 2801679

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com