KB 931125 をインストールした後に、SSL や TLS 通信の問題

文書翻訳 文書翻訳
文書番号: 2801679 - 対象製品
すべて展開する | すべて折りたたむ

現象

2012 年 12 月 11 日の後にアプリケーションとオペレーションの失敗の TLS ベース認証に依存している突然障害明らかな構成の変更がありません。一部のアプリケーションと操作が失敗するは、次に限定されません。
  • 証明書ベースの認証を使用するワイヤレス ネットワーク アクセス
  • 証明書ベースの認証を使用してワイヤード (有線) ネットワーク アクセス
  • Lync または Office 通信サーバーへのクライアント接続
  • ボイス メールとユニファイド メッセージングを Exchange Server を使用します。
  • Web サイトの SSL が有効なアクセス
  • Outlook がログオン
  • OS ブート遅延 (起動時)
  • ユーザー ログオンの遅延 (低速のログオン)
イベントは Windows またはアプリケーション固有のイベント ログに記録して、スコープまたはこの資料に記載されている現象を明確に特定するは、次の表に記載されているイベントに限定されません。


元に戻す全体を表示する
イベント ログイベント ソースイベント IDイベント テキスト
システムSchannel36885クライアント認証を要求するときにこのサーバー信頼された証明機関の一覧をクライアントに送信します。クライアントは、サーバーによって信頼されているクライアント証明書を選択するにはこの一覧を使用します。現在、このサーバーの一覧が大きくなりすぎて多くの証明機関を信頼します。このリストは、そのため切り捨てられました。このコンピューターの管理者する必要がありますクライアント認証用の信頼された証明機関を確認し、本当に信頼する必要はありませんを削除します。
システムSchannel36887次の重大な通知を受信しました: 47
システムNapAgent39ネットワーク アクセス保護エージェントを決定する Hra から正常性証明書を要求するにできませんでした。ネットワークの変更や、GP が構成されている場合、構成を変更するようになりますさらに正常性証明書を取得しよう。それ以外の場合は実行されます。詳細については、HRA の管理者を問い合わせてください。
システムリモート アクセス20225ポイント ツー ポイント プロトコル モジュール ポートで、次のエラーが発生しました: VPN2 509、ユーザー名: <username>。RAS または VPN サーバーで構成されたポリシーにより、接続ができませんでした。具体的には、サーバー、ユーザー名とパスワードを確認するために使用する認証方法は、接続プロファイルで構成されている認証方法とは一致しません。RAS サーバーの管理者に連絡してこのエラーを通知してください。 </username>
システムリモート アクセス20271ユーザー<username><IP address="">からの接続は、次の理由のため認証に失敗: RAS または VPN サーバーで構成されたポリシーにより、接続ができませんでした。具体的には、サーバー、ユーザー名とパスワードを確認するために使用する認証方法は、接続プロファイルで構成されている認証方法とは一致しません。RAS サーバーの管理者に連絡してこのエラーを通知してください。 </IP></username>


原因

これらの問題は、サード ・ パーティ製の更新を使用してルートの Certication 機関 KB 931125 を 2012 年 12 月更新パッケージが発生します。2012 年 12 月 11 日に投稿された KB 931125 パッケージはクライアント Sku でのみ設計されて。ただし、それも提供されたサーバー sku Windows Update および WSUS では、短時間。

330 を超えるサード パーティ ルート Certication の機関をインストールします。現時点では、Schannel セキュリティ パッケージをサポートする信頼された証明書機関リストの最大サイズは、16 kb (キロバイト) です。多くのサード パーティのルートの Certication 機関は、16 k を超えることの制限とは TLS と SSL 通信問題が発生します。

解決方法

WSUS を使用して、インストールしていない場合は、KB 931125 を 2012 年 12 月更新、WSUS サーバーを同期し、サーバーが更新プログラムをインストールしないようにし、有効期限の設定を承認します。

KB を 2012 年 12 月 931125 更新プログラム パッケージをインストールした場合は、以下の解決方法を多くのサード パーティのルートの Certication 機関をすべてのサーバーで追加のサード パーティ ルート Certication 機関を削除するのにしてください。

注: このソリューションは、すべてのサード パーティ ルート Certication 機関を削除します。場合は、サーバーには、Windows Update への接続がある、サード パーティ製のバックアップ ルート Certication 機関、必要に応じて KB 931125 で説明したもようが自動的に追加されます。場合は、影響を受けるサーバーまたはインターネットから入らない、する必要があります手動で、過去に作業すると必要に応じて、サード パーティのルート Certication 機関を追加します。(または、グループ ポリシーを使用してインストールすることができます)。

この問題を修正するに進んで、"修正を依頼」のセクション。自分でこの問題を解決する場合は、自分自分で解決する」セクションに移動します。

Fix it で解決する

この問題を自動的に解決] をクリックして、修正 ボタンまたはリンクや、[ファイルのダウンロード] ダイアログ ボックスでの実行] をクリックし、それを修正するウィザードの手順に従います。


この問題を解決する
マイクロソフト修正 50974
注:

  • システムを変更する前に、影響を受けるすべてのキーのレジストリのバックアップを作成することを確認します。
  • このウィザードは英語版のみである場合があります。しかし、自動的な解決は英語版以外の Windows でも機能します。
  • いない場合問題を修正保存がコンピューター上で、ソリューションをフラッシュ ドライブまたは CD、および問題のあるコンピューターにし、実行、ソリューションにします。

自分で解決する

次のレジストリ キーを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

これを行うには、次の手順を実行します。
  1. レジストリ エディターを起動します。
  2. 次のレジストリ サブキーを見つけます。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. 右クリックし、del キーは、「証明書」と呼ばれますが
注: システムを変更する前に、レジストリ キーのバックアップを作成することを確認します。

詳細

TLS と SSL サーバーの信頼されたルート証明書のリストに多数のエントリが含まれている場合は、これらの問題を発生可能性があります。サーバーは、次の条件に該当する場合、クライアントに信頼された証明機関の一覧を送信します。
  • サーバーは、トランスポート層セキュリティ (TLS) を使用して SSL プロトコルのネットワーク トラフィックを暗号化するとします。
  • クライアント証明書は、認証ハンドシェイク処理中に認証に必要です。

この信頼された証明機関の一覧は、サーバーをクライアント証明書を受け入れることができます機関を表します。サーバーによって認証が、クライアントが存在するチェーンの証明書のルート証明書をサーバーの一覧から証明書が必要です。これは、クライアント証明書はエンド エンティティ証明書のチェーンの最後に、常にです。クライアント証明書にはチェーンの一部ではありません。

現時点では、Schannel セキュリティ パッケージをサポートする信頼された証明書機関リストの最大サイズは、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 で 16 KB です。

Schannel は、ローカル コンピューター上の信頼されたルート証明機関ストアを検索して、信頼された証明機関の一覧を作成します。クライアント認証の目的で信頼されているすべての証明書が一覧に追加されます。このリストのサイズが 16 KB を超える場合は、警告イベント ID 36855 Schannel にログ出力します。Schannel 信頼されたルート証明書の一覧を切り捨て、この切り捨てられたリストをクライアント コンピューターに送信

クライアント コンピューターの信頼されたルート証明書の切り捨てられたリストを受け取ると、クライアント コンピューター証明書を信頼された証明書の発行者のチェーンに存在する必要はありません。たとえば、クライアント コンピューターに証明書を信頼された証明機関の一覧から Schannel を切り捨て信頼されたルート証明書に対応するがあります。このため、サーバーはクライアントを認証できません。

プロパティ

文書番号: 2801679 - 最終更新日: 2013年10月18日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
キーワード:?
kbmt KB2801679 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:2801679
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com