Probleme de comunicare SSL/TLS după ce instalați KB 931125

ID articol: 2801679 - Vizualizați produsele pentru care se aplică acest articol.
Traducere automatăFace?i clic aici pentru a vedea declara?ia privind exonerarea de răspundere a Bazei de cuno?tin?e tradusă automat
Măriți totul | Reduceți totul

Simptome

După 11 decembrie 2012, aplicații și operațiuni care sunt dependente de bazate pe TLS autentificările eșua poate brusc nu deși au nici o schimbare evidentă de configurare. Unele dintre aplicații și operațiuni care nu poate include, dar nu sunt limitate la, următoarele:
  • acorda acces la rețea fără fir care utilizează Autentificarea bazată pe certificat
  • acorda acces la rețea prin cablu care utilizează Autentificarea bazată pe certificat
  • Client de conectivitate Lync sau Office Communications Server
  • Poștă poștă vocală care utilizează Exchange Server cu mesagerie unificată
  • Accesul SSL-activat site-ul
  • Conectările la Outlook
  • Întârzieri de cizme OS (lent de încărcare)
  • Întârzieri de logon utilizator (log on lent)
Evenimente care sunt înregistrate în Windows sau în jurnalele de evenimente specifice aplicației și că application scope sau să identifice definitiv simptom care este discutat în acest articol, includ, dar nu sunt limitate la evenimente care sunt listate în următorul tabel.


Reduceți tabelulMăriți tabelul
jurnal de evenimenteSursa de evenimentID evenimentEveniment textul
SistemSchannel36885Atunci când solicită pentru autentificare client, acest server trimite o listă de autorități de certificare de încredere clientului. Clientul folosește această listă pentru a alege un certificat client, care este de încredere de către server. În prezent, acest server trusturi atât de multe autorități de certificare că Listă tabel a crescut prea mult marcă de timp. Această listă astfel s-a trunchiat. Administratorul de această mașină ar trebui autorități de certificare de încredere pentru autentificare client de revizuire și scoateți cele care nu într-adevăr nevoie să fie de încredere.
SistemSchannel36887Următoarele fatale de alertă a fost primit: 47
SistemNapAgent39Agent de protecție acces rețea a fost în imposibilitatea de a determina care HRAs pentru a solicita un certificat de bună funcționare din. O schimbare de rețea sau în cazul în care GP este configurat, o schimbare de configurare va solicita în continuare încearcă să obțină un certificat de bună funcționare. Altfel nu mai va fi încercări.Pentru informații suplimentare, contactați administratorul HRA.
SistemRemoteAccess20225Eroare în modulul de Protocol punct la punct pe portul: VPN2-509, nume de sign-in de utilizator: <username>. Conexiunea a fost împiedicată din cauza unei politici configurat pe serverul de RAS/VPN. În special, metoda de autentificare utilizată de server pentru a verifica nume de sign-in de utilizator și parola să nu se potrivească metoda de autentificare configurat în profilul de conexiune. Vă rugăm să contactați administratorul serverului RAS si anunta-le de aceasta eroare. </username>
SistemRemoteAccess20271Utilizator <username>conectat la <IP address="">, dar nu a reușit o încercare autentificare din următorul motiv: conexiunea a fost împiedicată din cauza unei politici configurat pe serverul de RAS/VPN. În special, metoda de autentificare utilizată de server pentru a verifica nume de sign-in de utilizator și parola să nu se potrivească metoda de autentificare configurat în profilul de conexiune. Vă rugăm să contactați administratorul serverului RAS si anunta-le de aceasta eroare. </IP></username>


Înapoi la început | Trimite?i feedback

Cauză

Aceste probleme pot apărea dacă ați actualizat al tău al treilea-petrecere rădăcină Certication autoritățile utilizând decembrie 2012 KB 931125 actualizare pachet. Pachetul de KB 931125 care a fost postat pe data de 11 decembrie 2012, a fost destinat numai clientul SKUs. Cu toate acestea, a fost, de asemenea, oferit pentru Server SKUs pentru scurt marcă de timp pe Actualizare Windows și WSUS.

Acest pachet instalat peste 330 terțe rădăcină Certication autoritățile. În prezent, dimensiunea maximă a listei autorită?ilor certificat de încredere care acceptă pachetul de securitate Schannel este 16 kiloocteți (KO). Având o cantitate mare de terți rădăcină Certication autoritățile va trece peste 16k limita, și vă va experiență probleme de comunicare TLS/SSL.
Înapoi la început | Trimite?i feedback

Rezoluție

Dacă utilizați WSUS, și nu ați instalat update-decembrie 2012 KB 931125, ar trebui să sincronizeze serverele WSUS, și apoi să aprobe expirări, astfel încât serverele nu instalați actualizarea.

Dacă ați instalat decembrie 2012 KB 931125 update pachet, trebuie utilizată următoarea rezoluție pentru a elimina suplimentare terț rădăcină Certication autoritățile pe toate serverele care au acum o cantitate mare de terți rădăcină Certication autoritățile.

NotăAceastă soluție elimină toate terțe rădăcină Certication autoritățile. Dacă serverul are conectivitate la Actualizare Windows, se va adăuga automat spate terțe rădăcină Certication autoritățile după cum este necesar, ca, de asemenea, discutate în KB 931125. În cazul în care un server afectate este izolat sau disonnected de pe Internet, trebuie să adăugați manual necesare al treilea-petrecere rădăcină Certication autoritățile înapoi ca tine ar fi făcut în trecut. (Sau le puteți instala utilizând politica de grup).

Pentru ca ne rezolva această problemă pentru tine, du-te la "repara" pentru mine secțiune. Dacă tu prefer la spre fix this problemă-te, du-te la secțiunea "Lasă-mă să rezolv singur".

Fix it pentru mine

Pentru a remedia această problemă automat, faceți clic pe Repara buton sau link-ul, faceți clic pe A alerga în Descărca fișierul casetă de dialog, și apoi urmați pașii din Repara Expertul.


Remedia această problemă
Microsoft Fix it 50974
Note

  • Asigurați-vă că face o copiere de rezervă a registry și de toate cheile afectate înainte de a face orice modificări la sistemul dvs.
  • Acest expert poate fi doar în limba engleză. Cu toate acestea, fix automat, de asemenea, funcționează pentru alte versiuni lingvistice ale Windows.
  • Dacă nu sunteți pe computerul care are problema, salvați Fix o soluție pentru o unitate flash sau un CD, și apoi atunci a alerga soluția pe computerul care are problema.

Să-mi rezolv singur

Ștergeți următoarea cheie de registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Pentru aceasta, urmați acești pași:
  1. Porni Registry Editor
  2. Identificați următoarea subcheie de registry:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Faceți clic dreapta și apoi ștergeți cheia care se numește "Certificate"
NotăAsigurați-vă că face o copiere de rezervă a registry și chei afectate înainte de a face orice modificări la sistemul dvs.
Înapoi la început | Trimite?i feedback

Informații suplimentare

Aceste probleme pot apărea în cazul în care un server TLS/SSL conține mai multe intrări în Listă tabel de certificare rădăcină de încredere. Serverul trimite o listă de autorități de certificare de încredere clientului în cazul în care următoarele condiții sunt adevărate:
  • Serverul foloseste protocol TLS (TLS) / protocolul SSL pentru criptarea traficului de rețea.
  • Certificatele client sunt necesare pentru autentificare în timpul procesului de strângere de mână de autentificare.

Această listă de autorități de certificare de încredere reprezintă autoritățile la care server poate accepta un certificat client. Pentru a fi autentificate de la server, clientul trebuie să aibă un certificat care este prezent în lanțul de certificate la un certificat rădăcină din Listă tabel de fermă de servere. Aceasta este că certificat client este întotdeauna certificat de entitate finală la capătul lan?ului. Certificat client nu este parte din lantul.

În prezent, dimensiunea maximă a listei autorită?ilor certificat de încredere care acceptă pachetul de securitate Schannel este 16 KB în Windows Server 2008, Windows Server 2008 R2 și Windows Server 2012.

Schannel creează Listă tabel autorită?ilor de certificat de încredere de căutare magazin încredere autorită?i de certificare rădăcină pe computer local. Fiecare certificat este de încredere în scopuri de autentificare clientul este adăugat la Listă tabel. În cazul în care dimensiunea de această listă depășește 16 KB, Schannel jurnalele de avertizare eveniment ID 36855. Apoi, Schannel trunchiază Listă tabel de certificate de încredere rădăcină și transmite această listă trunchiate pe computer client.

Când computer client primește trunchiate Listă tabel de certificate de încredere rădăcină, computer client nu poate avea un certificat care există în lanțul de un emitent certificat de încredere. De exemplu, computer client poate avea un certificat care corespunde cu un certificat de încredere rădăcină Schannel trunchiate din Listă tabel de autorități de certificare de încredere. Prin urmare, server nu pot autentifica clientul.
Înapoi la început | Trimite?i feedback

Proprietă?i

ID articol: 2801679 - Ultima examinare: 1 mai 2013 - Revizie: 2.0
Se aplică la:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
Cuvinte cheie: 
kbmt KB2801679 KbMtro
Traducere automată
IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât și articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuși, un articol tradus automat nu este întotdeauna perfect. Acesta poate conține greșeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greșeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conținutului sau de utilizarea traducerii necorespunzătoare de către clienții nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2801679
(http://support.microsoft.com/kb/2801679/en-us/ )
Înapoi la început | Trimite?i feedback

Trimite?i feedback

 
Înapoi la începutÎnapoi la început