KB 931125 설치 후 SSL/TLS 통신 문제

기술 자료 번역 기술 자료 번역
기술 자료: 2801679 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

현상

2012 년 12 월 11 일 이후에 장애 TLS 기반 인증에 의존 하는 작업과 응용 프로그램 갑자기 실패할 수 있습니다 명백한 구성을 변경 하지 않고 있지만. 응용 프로그램 및 오류가 발생할 수 있는 작업 중 일부는 포함 되지만 다음에 국한 되지는 않습니다.
  • 인증서 기반 인증을 사용 하는 무선 네트워크 액세스
  • 인증서 기반 인증을 사용 하 여 유선된 네트워크 액세스
  • Office Communications Server 또는 Lync 클라이언트 연결
  • Exchange Server 통합 메시징을 함께 사용 하는 음성 메일
  • SSL 사용 웹 사이트 액세스
  • Outlook 로그온
  • 운영 체제 부팅 지연 (느린 부팅)
  • 사용자 로그온 지연 (느린 로그온)
범위 또는이 문서에서 설명 하는 증상을 확실히 확인 하 고 Windows 또는 특정 응용 프로그램 이벤트 로그에 기록 되는 이벤트 등이 있지만 다음 표에 나열 된 이벤트에 국한 되지 않습니다.


표 축소표 확대
이벤트 로그이벤트 소스이벤트 ID이벤트 텍스트
시스템샤넬36885클라이언트 인증을 요구할 때이 서버의 신뢰할 수 있는 인증 기관의 목록을 클라이언트로 보냅니다. 클라이언트 서버에서 신뢰할 수 있는 클라이언트 인증서를 선택 하려면이 목록을 사용 합니다. 현재이 서버는 목록이 너무 긴 커졌습니다 많은 인증 기관을 신뢰 합니다. 이 목록은 잘려졌습니다. 이 컴퓨터의 관리자는 클라이언트 인증을 위해 신뢰 된 인증 기관을 검토 하 고 신뢰할 수 실제로 필요 하지 않은 제거 해야 합니다.
시스템샤넬36887다음과 같은 심각한 경고를 받았습니다: 47
시스템NapAgent39네트워크 액세스 보호 에이전트는 Hra에서 상태 인증서 요청을 확인 하지 못했습니다. 네트워크 변경 또는 GP를 구성한 경우 구성 변경 내용을 더 이상 표시 됩니다 상태 인증서를 획득 하려고 합니다. 그렇지 않으면 더 이상 시도 됩니다.자세한 내용은 HRA 관리자에 게 문의 합니다.
시스템원격 액세스20225지점간 프로토콜 모듈 포트 다음 오류 발생: VPN2 509, 사용자 이름: <username>. RAS/VPN 서버에 구성 된 정책 때문에 연결 하지 못했습니다. 특히 사용자 이름 및 암호를 확인 하기 위해 서버에서 사용 하는 인증 방법이 연결 프로필에 구성 된 인증 방법을 일치 하지. RAS 서버의 관리자에 게 문의 하 고이 오류를 알리십시오. </username>
시스템원격 액세스20271사용자 <username> <IP address="">에서 연결 되어 있지만 다음과 같은 이유로 인해 인증 시도가 실패 했습니다: RAS/VPN 서버에 구성 된 정책 때문에 연결 하지 못했습니다. 특히 사용자 이름 및 암호를 확인 하기 위해 서버에서 사용 하는 인증 방법이 연결 프로필에 구성 된 인증 방법을 일치 하지. RAS 서버의 관리자에 게 문의 하 고이 오류를 알리십시오. </IP></username>


원인

이러한 문제를 사용 하 여 루트 Certication 기관 KB 931125 2012 년 12 월 업데이트 패키지 공급 업체를 업데이트 한 경우 발생할 수 있습니다. 2012 년 12 월 11 일에 게시 된 KB 931125 패키지 클라이언트 Sku만 되어있습니다. 그러나 또한 제공한 서버 Sku에 대 한 Windows 업데이트 및 WSUS에서 짧은 시간 동안.

이 패키지에는 330 개 이상의 타사 루트 Certication 기관 설치. 현재 샤넬 보안 패키지를 지 원하는 신뢰할 수 있는 인증 기관 목록에 최대 크기는 16 킬로바이트 (KB)입니다. 많은 타사 루트 Certication 기관이 16 k 초과 하지도 하 고 문제가 있을 TLS/SSL 통신.

해결 방법

WSUS를 사용 하 고 설치 하지 않은 경우 KB 931125 2012 년 12 월 업데이트에서 WSUS 서버를 동기화 하 고 서버에 업데이트를 설치 하지 마십시오 있도록 만료 된 후 승인 해야 합니다.

2012 년 12 월 KB 931125 업데이트 패키지를 설치한 경우 추가 타사 루트 Certication 기관 많은 타사 루트 Certication 기관 지금 있는 모든 서버에서 제거 하려면 다음 해결 사용 해야.

참고이 솔루션에는 모든 타사 루트 Certication 기관 제거합니다. 서버에 연결 하려면 Windows Update를 하는 경우 KB 931125 설명도 같이 필요할 때 다시 제 루트 Certication 기관 자동으로 추가 됩니다. 서버 격리 되어 있거나 인터넷에서 disonnected를 해야 수동으로 필요한 타사 루트 Certication 기관에서 과거 수행 했던 것 처럼 다시 추가 합니다. 또는, 그룹 정책을 사용 하 여 설치할 수 있습니다.

저희가이 문제를 해결 하려면 섹션의 "Fix it for me"으로 이동 합니다. 이 문제를 직접 해결 하려면 "직접 해결" 섹션으로 이동 합니다.

해결 지원

자동으로이 문제를 해결 하려면 해당 수정 단추 또는 링크 파일 다운로드 대화 상자에서 실행 을 클릭 한 다음 Fix it 마법사의 단계를 따릅니다.


이 문제를 해결합니다.
Microsoft 자동 문제 해결 50974
노트

  • 시스템에 어떤 변경 하기 전에 백업 하 고 영향을 받는 모든 키의 레지스트리를 확인 해야 합니다.
  • 이 마법사는 영어로만 제공 될 수 있습니다. 그러나, 자동 수정은 또한 다른 언어 버전의 Windows 에서도 작동합니다.
  • 없는 경우 수정 프로그램 저장 문제가 있는 컴퓨터에서이 솔루션을 플래시 드라이브 또는 CD, 및 다음 실행 솔루션을 현재 문제가 있는 컴퓨터에서.

내가 직접 해결

다음 레지스트리 키를 삭제 합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

이렇게 하려면, 다음과 같이 하십시오.
  1. 레지스트리 편집기를 시작 합니다.
  2. 다음 레지스트리 하위 키를 찾습니다.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. 마우스 오른쪽 단추로 클릭 한 다음 "인증서" 라고 하는 키를 삭제
참고시스템에 어떤 변경 하기 전에 레지스트리 백업 영향을 받는 키를 확인 해야 합니다.

추가 정보

TLS/SSL 서버에 신뢰할 수 있는 루트 인증 목록에 많은 항목이 포함 된 경우 이러한 문제가 발생할 수 있습니다. 서버는 다음 조건에 해당할 경우 신뢰할 수 있는 인증 기관의 목록을 클라이언트로 보냅니다.
  • 서버 (TLS (전송 계층 보안)를 사용 하 여 SSL 프로토콜 네트워크 트래픽을 암호화 합니다.
  • 클라이언트 인증서 인증 핸드셰이크 인증 프로세스 동안 지정 해야 합니다.

신뢰할 수 있는 인증 기관의이 목록을 나타냅니다 서버가 클라이언트 인증서를 받아들일 수 있는 기관을. 서버에서 인증에 클라이언트 인증서를 인증서 체인에 있는 루트 인증서 서버의 목록에서 있어야 합니다. 클라이언트 인증서는 최종-엔터티 인증서 체인의 끝에 항상 때문입니다. 클라이언트 인증서 체인의 일부가 아닙니다.

현재 샤넬 보안 패키지를 지 원하는 신뢰할 수 있는 인증 기관 목록에 최대 크기는 Windows Server 2008, Windows Server 2008 R2 및 Windows Server 2012 16KB입니다.

샤넬 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관 저장소에 검색 하 여 신뢰할 수 있는 인증 기관의 목록을 만듭니다. 클라이언트 인증을 위해 신뢰할 수 있는 모든 인증서 목록에 추가 됩니다. 이 목록의 크기가 16 KB를 초과 하면 샤넬 36855 경고 이벤트 ID를 기록 합니다. 그런 다음, 샤넬 신뢰할 수 있는 루트 인증서 목록을 자릅니다 및 클라이언트 컴퓨터에이 잘린된 된 목록을 보냅니다.

클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증서 목록이 잘린된 받으면 클라이언트 컴퓨터가 신뢰할 수 있는 인증서 발급자 체인에 있는 인증서를 없을 수 있습니다. 예를 들어, 클라이언트 컴퓨터의 신뢰할 수 있는 인증 기관 목록에서 Schannel 잘린 신뢰할 수 있는 루트 인증서에 해당 인증서를 있을 수 있습니다. 따라서 서버가 클라이언트를 인증할 수 없습니다.

속성

기술 자료: 2801679 - 마지막 검토: 2013년 10월 18일 금요일 - 수정: 3.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
키워드:?
kbmt KB2801679 KbMtko
기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:2801679

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com