Probleme de comunicare SSL/TLS după ce instalați KB 931125

Traduceri articole Traduceri articole
ID articol: 2801679 - View products that this article applies to.
Măriți totul | Reduceți totul

Simptome

După 11 decembrie 2012, aplicații și operațiuni care sunt dependente de bazate pe TLS autentificările fail poate brusc nu deși au nici o schimbare evidentă de configurare. Unele dintre aplicații și operațiuni care nu poate include, dar nu sunt limitate la, următoarele:
  • acorda acces la rețea fără fir care utilizează Autentificarea bazată pe certificat
  • acorda acces la rețea prin cablu care utilizează Autentificarea bazată pe certificat
  • Conectivitate client Lync sau Office Communications Server
  • Poștă poștă vocală care utilizează Exchange Server cu mesagerie unificată
  • Accesul SSL-activat site-ul
  • Conectările la Outlook
  • Întârzieri de cizme OS (lent de încărcare)
  • Conectările la utilizator întârzieri (lent logon)
Evenimente care sunt logat în Windows sau în jurnalele de evenimente specifice aplicației, și că application scope sau să identifice definitiv simptom care este discutat în acest articol, includ, dar nu sunt limitate la, evenimente care sunt listate în următorul tabel.


Reduceți tabelulMăriți tabelul
jurnal de evenimenteSursa evenimentuluiID evenimentEveniment text
SistemSchannel36885Atunci când solicită pentru autentificare client, acest server trimite o listă de autorități de certificare de încredere clientului. Clientul folosește această listă pentru a alege un certificat client, care este de încredere de către server. În prezent, acest server trusturi certificatoare atât de multe că Listă tabel a crescut prea mult marcă de timp. Această listă astfel s-a trunchiat. Administratorul de această mașină ar trebui autorități de certificare de încredere pentru autentificare client de revizuire și scoateți cele care nu într-adevăr nevoie să fie de încredere.
SistemSchannel36887Următoarele fatale de alertă a fost primit: 47
SistemNapAgent39Agentul de protecție acces rețea a fost în imposibilitatea de a determina care HRAs pentru a solicita un certificat de bună funcționare din. O schimbare de rețea sau în cazul în care GP este configurat, o schimbare de configurare va solicita în continuare încearcă să obțină un certificat de bună funcționare. Altfel nu mai va fi încercări.Pentru informații suplimentare, contactați administratorul HRA.
SistemRemoteAccess20225Eroare în modulul de Protocol punct la punct pe portul: VPN2-509, nume de sign-in de utilizator: <username>. Conexiunea a fost împiedicată din cauza unei politici configurat pe serverul de RAS/VPN. În special, metoda de autentificare utilizată de server pentru a verifica nume de sign-in de utilizator și parola să nu se potrivească metoda de autentificare configurat în profilul de conexiune. Vă rugăm să contactați administratorul serverului RAS si anunta-le de aceasta eroare. </username>
SistemRemoteAccess20271Utilizator <username>conectat la <IP address="">dar nu a reușit o încercare autentificare din următorul motiv: conexiunea a fost împiedicată din cauza unei politici configurat pe serverul de RAS/VPN. În special, metoda de autentificare utilizată de server pentru a verifica nume de sign-in de utilizator și parola să nu se potrivească metoda de autentificare configurat în profilul de conexiune. Vă rugăm să contactați administratorul serverului RAS si anunta-le de aceasta eroare. </IP></username>


Cauză

Aceste probleme pot apărea dacă ați actualizat al tău al treilea-petrecere rădăcină Certication autoritățile utilizând decembrie 2012 KB 931125 update pachet. Pachetul de KB 931125 care a fost postat pe data de 11 decembrie 2012, a fost destinat numai clientul SKUs. Cu toate acestea, ea a fost, de asemenea, oferite pentru Server SKUs pentru scurt marcă de timp pe Actualizare Windows și WSUS.

Acest pachet instalat peste 330 terțe rădăcină Certication autoritățile. În prezent, dimensiunea maximă a listei autorită?ilor certificat de încredere care acceptă pachetul de securitate Schannel este 16 kiloocteți (KO). Având o cantitate mare de terți rădăcină Certication autoritățile va trece peste 16k limita, și vă va experiență probleme de comunicare TLS/SSL.

Rezoluție

Dacă utilizați WSUS, și nu ați instalat update-decembrie 2012 KB 931125, ar trebui să sincronizeze serverele WSUS, și apoi să aprobe expirări, astfel încât serverele nu instalați actualizarea.

Dacă ați instalat decembrie 2012 KB 931125 update pachet, ar trebui să utilizați următoarea rezoluție pentru a elimina suplimentare terț Root Certication autoritățile pe toate serverele care au acum o cantitate mare de terți rădăcină Certication autoritățile.

NotăAceastă soluție elimină toate terțe rădăcină Certication autoritățile. Dacă serverul are conectivitate la Actualizare Windows, se va adăuga automat spate terțe rădăcină Certication autoritățile după cum este necesar, ca, de asemenea, discutate în KB 931125. În cazul în care un server afectate este izolat sau disonnected de pe Internet, trebuie să adăugați manual necesare al treilea-petrecere rădăcină Certication autoritățile înapoi ca tine ar fi făcut în trecut. (Sau le puteți instala utilizând politica de grup).

Pentru a ne rezolva această problemă pentru tine, du-te la "pentru mine"repara sec?iunea. Dacă tu prefer la spre fix this problemă-te, du-te la secțiunea "Lasă-mă să rezolv singur".

Fix it pentru mine

Pentru a remedia această problemă automat, faceți clic pe Fix it buton sau link-ul, faceți clic pe alerga în casetă de dialog File Descărcați și apoi urma?i pa?ii din Expertul Fix it .


Remedia această problemă
Microsoft Fix it 50974
Note

  • Asigurați-vă că face o copiere de rezervă a registry și de toate cheile afectate înainte de a face orice modificări la sistemul dvs.
  • Acest expert poate fi doar în limba engleză. Cu toate acestea, fix automat, de asemenea, funcționează pentru alte versiuni lingvistice ale Windows.
  • Dacă nu sunteți pe computerul care are problema, salvați Fix o soluție pentru o unitate flash sau un CD, și apoi atunci a alerga soluția pe computerul care are problema.

Să-mi rezolv singur

Ștergeți următoarea cheie de registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Pentru aceasta, urmați acești pași:
  1. Porni Registry Editor
  2. Identificați următoarea subcheie de registry:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Faceți clic dreapta și apoi ștergeți cheia care se numește "Certificate"
NotăAsigurați-vă că face o copiere de rezervă a registry și chei afectate înainte de a face orice modificări la sistemul dvs.

Informații suplimentare

Aceste probleme pot apărea dacă un TLS/SSL server conține mai multe intrări în Listă tabel de certificare rădăcină de încredere. Serverul trimite o listă de autorități de certificare de încredere clientului dacă următoarele condiții sunt adevărate:
  • Serverul foloseste protocol TLS (TLS) / SSL protocol să criptați traficul de rețea.
  • Certificatele client sunt necesare pentru autentificare în timpul procesului de strângere de mână de autentificare.

Această listă de autorități de certificare de încredere reprezintă autoritățile la care server pot accepta un certificat client. Pentru a fi autentificate de la server, clientul trebuie să aibă un certificat care este prezent în lanțul de certificate la un certificat rădăcină din Listă tabel de fermă de servere. Aceasta este că certificat client este întotdeauna certificat de entitate finală la capătul lan?ului. Certificat client nu este parte din lantul.

În prezent, dimensiunea maximă a listei autorită?ilor certificat de încredere care acceptă pachetul de securitate Schannel este 16 KB în Windows Server 2008, Windows Server 2008 R2 și Windows Server 2012.

Schannel creează Listă tabel autorită?ilor de certificat de încredere de căutare magazin încredere autorită?i de certificare rădăcină pe computer local. Fiecare certificat este de încredere în scopuri de autentificare client este adăugat la Listă tabel. În cazul în care dimensiunea de această listă depășește 16 KB, Schannel jurnalele de avertizare eveniment ID 36855. Apoi, Schannel trunchiază Listă tabel de certificate de încredere rădăcină și transmite această listă trunchiate computer client.

Când computer client primește trunchiate Listă tabel de certificate de încredere rădăcină, computer client nu poate avea un certificat care există în lanțul de un emitent certificat de încredere. De exemplu, computer client poate avea un certificat care corespunde cu un certificat de încredere rădăcină Schannel trunchiate din Listă tabel de autorități de certificare de încredere. Prin urmare, server nu pot autentifica clientului.

Proprietă?i

ID articol: 2801679 - Ultima examinare: 18 octombrie 2013 - Revizie: 3.0
Se aplică la:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Cuvinte cheie: 
kbmt KB2801679 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2801679

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com