Problemas de comunicação SSL/TLS, depois que você instalar 931125 KB

Traduções deste artigo Traduções deste artigo
ID do artigo: 2801679 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Depois de 11 de dezembro de 2012, aplicativos e operações que são dependentes de autenticações baseadas em TLS falha repentinamente podem falhar Embora não tenham nenhuma alteração de configuração aparente. Alguns dos aplicativos e operações que não podem incluem, mas não estão limitados a, o seguinte:
  • Acesso à rede sem fio que usa autenticação baseada em certificado
  • Acesso de rede com fio que usa autenticação baseada em certificado
  • Conectividade de cliente para o Lync ou ao Office Communications Server
  • Correio de voz que usa o Exchange Server em conjunto com a Unificação de mensagens
  • Acesso ao site SSL habilitado
  • Logons do Outlook
  • Atrasos de inicialização do sistema operacional (inicialização lenta)
  • Atrasos de logon do usuário (logon lento)
Eventos que são registrados no Windows ou nos logs de eventos específicos de aplicativos e que o escopo ou identificar definitivamente o sintoma que é discutido neste artigo, incluem, mas não estão limitados a eventos que estão listados na tabela a seguir.


Recolher esta tabelaExpandir esta tabela
Log de eventosOrigem do eventoIdentificação do eventoTexto do evento
SistemaSchannel36885Ao solicitar a autenticação do cliente, este servidor envia uma lista de autoridades de certificação confiáveis ao cliente. O cliente usa essa lista para escolher um certificado de cliente é confiável para o servidor. No momento, este servidor confia em tantas autoridades de certificação que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aquelas em que não é realmente necessário para serem confiáveis.
SistemaSchannel36887Foi recebido o seguinte alerta fatal: 47
SistemaNapAgent39O agente de proteção de acesso de rede não pôde determinar quais HRAs para solicitar um certificado de integridade do. Uma alteração na rede ou se a diretiva de grupo for configurada, uma alteração de configuração solicitará mais tentativas de adquirir um certificado de integridade. Caso contrário, não serão feitas tentativas.Para obter mais informações, entre em contato com o administrador da HRA.
SistemaAcesso remoto20225Erro no módulo protocolo ponto a ponto na porta: VPN2-509, nome de usuário: <username>. A conexão foi estabelecida devido a uma diretiva configurada no servidor RAS/VPN. Especificamente, o método de autenticação usado pelo servidor para verificar seu nome de usuário e a senha não pode coincidir com o método de autenticação configurado no perfil de conexão. Entre em contato com o administrador do servidor RAS e notifique-este erro. </username>
SistemaAcesso remoto20271O usuário <username>conectado a partir de <IP address="">, mas falha na tentativa de autenticação pelo seguinte motivo: A conexão foi estabelecida devido a uma diretiva configurada no servidor RAS/VPN. Especificamente, o método de autenticação usado pelo servidor para verificar seu nome de usuário e a senha não pode coincidir com o método de autenticação configurado no perfil de conexão. Entre em contato com o administrador do servidor RAS e notifique-este erro. </IP></username>


Causa

Esses problemas podem ocorrer que se você atualizou seu terceiro autoridades de Certication de raiz por meio de dezembro de 2012 KB 931125 pacote de atualização. O pacote de 931125 KB foi lançado em 11 de dezembro de 2012 foi projetado apenas para SKUs de clientes. No entanto, ele foi também oferecido para SKUs do servidor por um curto tempo no Windows Update e WSUS.

Este pacote instalado mais de 330 autoridades de Certication raiz de terceiros. Atualmente, o tamanho máximo da lista de autoridades de certificação confiáveis que ofereça suporte a pacote de segurança Schannel é 16 kilobytes (KB). Ter uma grande quantidade de autoridades de Certication de raiz de terceiros será ultrapasse 16k limite e você terá problemas de comunicação TLS/SSL.

Resolução

Se você usa o WSUS e você não o instalou de dezembro de 2012 KB 931125 atualizar, você deve sincronizar os servidores WSUS e aprove as expirações para que os servidores não instalar a atualização.

Se você instalou de dezembro de 2012 KB 931125 pacote de atualização, você deve usar a resolução para remover autoridades do Certication de raiz de terceiros adicionais em todos os servidores que agora tem uma grande quantidade de autoridades de Certication de raiz de terceiros.

ObservaçãoEssa solução elimina todas as autoridades de Certication raiz de terceiros. Se seu servidor tiver conectividade com o Windows Update, ele automaticamente adicionará back terceiros Certication autoridades raiz conforme necessário, como também discutidas no 931125 KB. Se um servidor afetado é isolado ou disonnected da Internet, você deve manualmente adicione as autoridades de Certication de raiz de terceiros necessário como você poderia ter feito no passado. (Ou você pode instalá-los usando a diretiva de grupo.)

Para que possamos corrigir esse problema para você, vá para a "corrigir para mim" seção. Se você preferir corrigir o problema sozinho, vá para a seção "Desejo corrigir sozinho".

Corrigir para mim

Para corrigir esse problema automaticamente, clique no corrigi-lo botão ou link, clique em Executar na caixa de diálogo Download de arquivo e, em seguida, siga as etapas no assistente Fix it .


Corrigir o problema
Microsoft Fix it 50974
Anotações

  • Certifique-se de que você faça um backup do registro e de todas as chaves afetadas antes de fazer qualquer alteração em seu sistema.
  • Este assistente pode estar apenas em inglês. No entanto, a correção automática também funciona para versões do Windows em outros idiomas.
  • Se você não estiver no computador que apresentou o problema, salve a correção-solução para uma unidade flash ou um CD e execute a solução no computador que apresentou o problema.

Deixe-me a corrigir sozinho

Exclua a seguinte chave do registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Para fazer isso, execute as seguintes etapas:
  1. Inicie o Editor do registro
  2. Localize a seguinte subchave do registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Clique com botão direito e, em seguida, exclua a chave que é chamada de "Certificados"
ObservaçãoCertifique-se de que você faça um backup do registro e chaves afetadas antes de fazer qualquer alteração em seu sistema.

Mais Informações

Esses problemas podem ocorrer se um servidor TLS/SSL contém muitas entradas na lista de certificação de raiz confiável. O servidor envia uma lista de autoridades de certificação confiáveis para o cliente se as seguintes condições forem verdadeiras:
  • O servidor usa a segurança de camada de transporte (TLS) / protocolo SSL para criptografar o tráfego de rede.
  • Os certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.

Esta lista de autoridades de certificação confiáveis representa as autoridades do qual o servidor pode aceitar um certificado de cliente. Para ser autenticado pelo servidor, o cliente deve ter um certificado que está presente na cadeia de certificados a um certificado raiz de lista do servidor. Isso ocorre porque o certificado do cliente é sempre o certificado de entidade final no final da cadeia. O certificado de cliente não faz parte da cadeia.

Atualmente, o tamanho máximo da lista de autoridades de certificação confiáveis que ofereça suporte a pacote de segurança Schannel é 16 KB no Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.

Schannel cria a lista de autoridades de certificação confiáveis pesquisando o armazenamento de autoridades de certificação raiz confiáveis no computador local. Cada certificado é confiável para fins de autenticação de cliente é adicionado à lista. Se o tamanho dessa lista exceder 16 KB, o Schannel registra o ID de evento de aviso 36855. Em seguida, o Schannel trunca a lista de certificados raiz confiáveis e envia essa lista truncada no computador cliente.

Quando o computador cliente recebe a lista truncada de certificados raiz confiáveis, o computador cliente não pode ter um certificado que existe na cadeia de um emissor de certificados confiáveis. Por exemplo, o computador cliente pode ter um certificado que corresponde a um certificado raiz confiável que Schannel truncado da lista de autoridades de certificação confiáveis. Portanto, o servidor não pode autenticar o cliente.

Propriedades

ID do artigo: 2801679 - Última revisão: sábado, 3 de maio de 2014 - Revisão: 5.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Palavras-chave: 
kbmt KB2801679 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 2801679

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com