SSL/TLS komunikačné problémy po nainštalovaní KB 931125

Preklady článku Preklady článku
ID článku: 2801679 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Príznaky

Po 11 decembra 2012, aplikácií a operácií, ktoré sú závislé na zlyhanie overenia TLS-založené môže náhle zlyhať aj keď nemajú žiadne zjavné Konfigurácia zmeniť. Niektoré z aplikácií a operácií, ktoré môžu zlyhať zahŕňajú, ale nie sú obmedzené na, nasledujúce:
  • Bezdrôtový prístup k sieti používajúce overovanie pomocou certifikátu
  • Káblové siete prístup, ktorý používa overovanie na základe certifikátu
  • Pripojiteľnosť klientov Lync alebo Office Communications Server
  • Hlasovej pošty programu Exchange Server spolu s Unified Messaging
  • Podporou SSL webovej stránky prístup
  • Program Outlook prihlásenia
  • OS štarte oneskorenia (pomalé spúšťanie)
  • Užívateľ Prihlásenie oneskorenia (pomalé prihlasovanie)
Udalosti, ktoré ste prihlásení v systéme Windows alebo v denníku udalostí aplikácie-špecifické, a že rozsah alebo s konečnou platnosťou určiť príznak, že je popisované v tomto článku, zahŕňajú, ale nie sú obmedzené na udalosti, ktoré sú uvedené v nasledujúcej tabuľke.


Zbaliť túto tabuľkuRozbaliť túto tabuľku
Denník udalostíZdroj udalostiID udalostiTextu udalosti
SystémSCHANNEL36885Keď žiadajú o overenie klienta, server odošle zoznam dôveryhodných certifikačných úradov klienta. Klient používa tento zoznam vybrať certifikát klienta, ktorý je dôveryhodný server. V súčasnosti tento server verí toľko certifikačné úrady zoznam rozrástol príliš dlho. Tento zoznam teda bol skrátený. Správca tohto stroja skontrolujte certifikačných autorít dôveryhodný pre overenie klienta a odstrániť tie, ktoré naozaj nemusia byť dôveryhodné.
SystémSCHANNEL36887Tieto fatálne upozornenie dostala: 47
SystémNapAgent39Agenta ochrany prístupu na sieť sa nepodarilo určiť ktoré HRAs požiadať zdravotné osvedčenie od. Zmena siete alebo ak GP je nakonfigurovaný, zmene konfigurácie vyzve ďalšie pokusy získať zdravotné osvedčenie. Inak žiadne ďalšie pokusy budú.Ďalšie informácie vám poskytne správca HRA.
SystémVzdialeného prístupu20225V module protokolu k bodu na porte sa vyskytla nasledujúca chyba: VPN2-509, užívateľské meno: <username>. Spojenie bolo zabránené z dôvodu politiky nakonfigurované na server RAS a VPN. Konkrétne, spôsob overenia používaný serverom overiť svoje užívateľské meno a heslo nemusia zodpovedať metódu overovania nakonfigurovaný v profile spojenie. Prosím obráťte sa na správcu servera RAS a informovať ich o tejto chybe. </username>
SystémVzdialeného prístupu20271Používateľ <username>z <IP address="">, ale nebol overený z nasledovného dôvodu: spojenie bolo zabránené z dôvodu politiky nakonfigurované na server RAS a VPN. Konkrétne, spôsob overenia používaný serverom overiť svoje užívateľské meno a heslo nemusia zodpovedať metódu overovania nakonfigurovaný v profile spojenie. Prosím obráťte sa na správcu servera RAS a informovať ich o tejto chybe. </IP></username>


Príčina

Tieto problémy sa môžu vyskytnúť, ak ste aktualizovali svoje tretej-party koreň Certication orgány pomocou decembra 2012 KB 931125 aktualizácia balíka. KB 931125 balíku, ktorý bol zaslaný December 11, 2012, bola určená iba pre klienta SKU. Však to bola tiež ponúknutá pre Server SKU na krátku dobu na Windows Update a služby WSUS.

Tento balík inštalovaný viac ako 330 tretej-party koreň Certication orgánmi. V súčasnosti je maximálna veľkosť zoznamu orgánov dôveryhodným certifikátom, ktorý balík zabezpečenia Schannel podporuje 16 kilobajtov (KB). Majú veľké množstvo tretej-party koreň Certication orgánov bude ísť cez 16k limitu, a budete skúsenosti problémy komunikácia TLS/SSL.

Riešenie

Ak používate služby WSUS a ste nenainštalovali decembra 2012 KB 931125 update, WSUS servery synchronizovať a potom schváliť vyprchávání tak, aby vaše servery inštalovať aktualizácie.

Ak ste nainštalovali v decembri roku 2012 KB 931125 balík aktualizácie, používajte nasledovné uznesenie odstrániť ďalšie tretej-party koreň Certication orgánov na všetkých serveroch, ktoré teraz majú veľké množstvo orgánov tretej-party Certication koreň.

PoznámkaTento roztok odstraňuje všetky tretej-party koreň Certication orgánmi. Ak váš server nemá pripojenie k lokalite Windows Update, to bude automaticky pridá späť tretej-party koreň Certication orgány podľa potreby, ako aj diskutovali v KB 931125. Ak postihnutého server je izolovaný alebo disonnected z internetu, musíte ručne pridať potrebné tretej-party koreň Certication orgány späť, ako by ste urobili v minulosti. (Alebo, môžete ich nainštalovať pomocou politiky skupiny.)

Aby sme tento problém vyriešili za vás, prejdite na "Fix pre mňa" časť. Ak chcete tento problém vyriešiť sami, prejdite na "Dovoľte mi spravit sám" časť.

Fix it pomoc

Ak chcete tento problém vyriešiť automaticky, kliknite na tlačidlo spravit tlačidlo alebo prepojenie, kliknite na položku spustiť v dialógovom okne Prevzatie súboru a postupujte podľa krokov v opraviť ho sprievodca.


Opraviť tento problém
Microsoft opraviť 50974
Poznámky

  • Uistite sa, aby ste zálohu databázy Registry a všetky postihnuté kľúčov pred vykonaním akýchkoľvek zmien na váš systém.
  • Tento sprievodca bude len v anglickom jazyku. Avšak, automatické opravy fungujú aj pri iných jazykových verziách systému Windows.
  • Ak nepracujete na počítači, ktorý má problém, uložte opraviť to riešenie flash disk alebo CD, a potom spustiť riešenie na počítači, ktorý má problém.

Chcem si to opraviť sám

Odstráňte nasledujúci kľúč databázy registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Robiť to, postupujte nasledovne:
  1. Spustite Editor databázy Registry
  2. Vyhľadajte nasledovný podkľúč databázy registry:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Kliknite pravým tlačidlom myši a potom odstráňte kľúč, ktorý sa nazýva "Osvedčenia"
PoznámkaUistite sa, aby ste zálohu databázy registry a postihnuté kľúče pred vykonaním akýchkoľvek zmien na váš systém.

Ďalšie informácie

Tieto problémy môžu nastať TLS/SSL servera obsahuje veľa položiek v zozname dôveryhodných hlavných certifikačných. Server odošle zoznam dôveryhodných certifikačných úradov pre klienta ak sú splnené nasledovné podmienky:
  • Server používa Transport Layer Security (TLS) / SSL protokolu šifrovať prenos v sieti.
  • Klientských certifikátov sú potrebné na overenie totožnosti počas procesu overovania handshake.

Tento zoznam dôveryhodných certifikačných autorít predstavuje orgány z ktorého môže server prijať certifikát klienta. Chcete byť overený server, klient musí mať certifikát, ktorý je prítomný v reťazci certifikátov na základe koreňového certifikátu servera zozname. To je, pretože certifikát klienta je vždy certifikát koncovej entity na konci reťazca. Certifikát klienta nie je súčasťou reťazca.

Momentálne maximálnej veľkosti zoznamu orgánov dôveryhodným certifikátom, ktorý podporuje balík zabezpečenia Schannel je 16 KB v systéme Windows Server 2008, Windows Server 2008 R2 a Windows Server 2012.

SCHANNEL vytvorí zoznam dôveryhodných certifikačných úradov pri hľadaní dôveryhodné koreňové certifikačné autority sklade na lokálnom počítači. Každý certifikát, ktorý je dôveryhodný pre účely overenia klienta je pridaný do zoznamu. Ak veľkosť tohto zoznamu prekročí 16 KB, Schannel prihlási varovanie udalosť ID 36855. Potom Schannel skráti zoznam dôveryhodných hlavných certifikátov a vysiela tento skrátený zoznam do klientskeho počítača.

Keď klientsky počítač dostane skrátený zoznam dôveryhodných koreňových certifikátov, v klientskom počítači pravdepodobne nemáte certifikát, ktorý existuje v reťazci dôveryhodný certifikát vydavateľa. Klientsky počítač môže mať napríklad certifikát, ktorý zodpovedá dôveryhodného koreňového certifikátu, ktorý Schannel skrátený zo zoznamu dôveryhodných certifikačných úradov. Teda, server nemôže overiť klienta.

Vlastnosti

ID článku: 2801679 - Posledná kontrola: 18. októbra 2013 - Revízia: 3.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Kľúčové slová: 
kbmt KB2801679 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 2801679

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com