ปัญหาการสื่อสารของ SSL/TLS หลังจากที่คุณติดตั้ง KB 931125

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 2801679 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

หลังจาก 11 ธันวาคม 2012 แอพลิเคชันและการดำเนินการที่ขึ้นอยู่กับความล้มเหลวในการรับรองความถูกต้องที่ใช้ TLS อย่างฉับพลันไม่ถึงแม้ว่าจะมีการเปลี่ยนแปลงการตั้งค่าคอนฟิกที่มองไม่ บางโปรแกรมประยุกต์และการดำเนินการอาจล้มเหลวรวม แต่ไม่ได้จำกัดเพียง ต่อไปนี้:
  • การเข้าถึงเครือข่ายไร้สายที่ใช้ใบรับรองการรับรองความถูกต้อง
  • การเข้าถึงเครือข่ายแบบมีสายที่ใช้ใบรับรองการรับรองความถูกต้อง
  • เชื่อมต่อไคลเอ็นต์ Lync หรือ เซิร์ฟเวอร์การติดต่อสื่อสารของ Office
  • จดหมายเสียงที่ใช้ Exchange Server พร้อมกับการส่งข้อความที่รวม
  • การเข้าถึงเว็บไซต์ที่เปิดใช้งาน SSL
  • เข้าสู่ระบบ outlook
  • ระบบปฏิบัติการเริ่มต้นระบบ (การเริ่มต้นระบบช้า) ของความล่าช้า
  • ความล่าช้าการเข้าสู่ระบบของผู้ใช้ (การเข้าสู่ระบบช้า)
เหตุการณ์ที่เข้าสู่ระบบ ใน Windows หรือ ในแฟ้มบันทึกเหตุการณ์ของโปรแกรมประยุกต์เฉพาะ และที่กำหนดขอบเขต หรือ definitively ระบุอาการที่ถูกกล่าวถึงในบทความนี้ รวม แต่ไม่ได้จำกัดเพียง เหตุการณ์ที่แสดงไว้ในตารางต่อไปนี้


ยุบตารางนี้ขยายตารางนี้
แฟ้มบันทึกเหตุการณ์แหล่งของเหตุการณ์รหัสเหตุการณ์ข้อความเหตุการณ์
ระบบSchannel36885เมื่อมีการขอการรับรองความถูกต้องของไคลเอ็นต์ เซิร์ฟเวอร์นี้ส่งรายชื่อของหน่วยงานจัดเก็บใบรับรองที่เชื่อถือได้ไปยังไคลเอนต์ ไคลเอนต์ใช้รายการนี้เพื่อเลือกใบรับรองไคลเอ็นต์ที่ไม่น่าเชื่อถือ โดยเซิร์ฟเวอร์ ในปัจจุบัน เซิร์ฟเวอร์นี้เชื่อถือหน่วยงานใบรับรองมากว่า รายการขยายจนยาวเกินไป ดังนั้นรายการนี้ได้ถูกตัดทอน ผู้ดูแลของเครื่องนี้ควรตรวจดูหน่วยงานจัดเก็บใบรับรองเชื่อถือได้สำหรับการรับรองความถูกต้องของไคลเอ็นต์ และเอาที่ไม่จำเป็นต้องสามารถเชื่อถือได้
ระบบSchannel36887ได้รับการแจ้งเตือนที่ร้ายแรงต่อไปนี้: 47
ระบบNapAgent39ตัวแทนการป้องกันการเข้าถึงเครือข่ายไม่สามารถกำหนดที่ HRAs การร้องขอใบรับรองสถานภาพจาก การเปลี่ยนเครือข่าย หรือถ้ามีการกำหนดค่า GP การเปลี่ยนแปลงการตั้งค่าคอนฟิกจะแสดงพร้อมท์เพิ่มเติมความพยายามในการขอรับใบรับรองสถานภาพ มิฉะนั้น ไม่เติมความพยายามที่จะทำติดต่อผู้ดูแล HRA สำหรับข้อมูลเพิ่มเติม
ระบบRemoteAccess20225เกิดข้อผิดพลาดต่อไปนี้ในโมดูลโพรโทคอลจุดกับจุดบนพอร์ต: VPN2 509 ชื่อผู้ใช้: <username> การเชื่อมต่อถูกป้องกันได้เนื่องจากนโยบายการตั้งค่าคอนฟิกบนเซิร์ฟเวอร์ RAS/VPN โดยเฉพาะอย่างยิ่งวิธีการรับรองความถูกต้องที่ใช้ โดยเซิร์ฟเวอร์เพื่อตรวจสอบชื่อผู้ใช้และรหัสผ่านของคุณอาจไม่ตรงกับวิธีการรับรองความถูกต้องที่กำหนดค่าไว้ในโปรไฟล์การเชื่อมต่อของคุณ โปรดติดต่อผู้ดูแลเซิร์ฟเวอร์ RAS และแจ้งเตือนหากเกิดข้อผิดพลาดนี้ </username>
ระบบRemoteAccess20271<username>ผู้ใช้เชื่อมต่อจาก<IP address="">แต่ความพยายามรับรองความถูกต้องเนื่องจากสาเหตุต่อไปนี้ล้มเหลว: การเชื่อมต่อที่ถูกป้องกันได้เนื่องจากนโยบายการตั้งค่าคอนฟิกบนเซิร์ฟเวอร์ RAS/VPN โดยเฉพาะอย่างยิ่งวิธีการรับรองความถูกต้องที่ใช้ โดยเซิร์ฟเวอร์เพื่อตรวจสอบชื่อผู้ใช้และรหัสผ่านของคุณอาจไม่ตรงกับวิธีการรับรองความถูกต้องที่กำหนดค่าไว้ในโปรไฟล์การเชื่อมต่อของคุณ โปรดติดต่อผู้ดูแลเซิร์ฟเวอร์ RAS และแจ้งเตือนหากเกิดข้อผิดพลาดนี้ </IP></username>


สาเหตุ

ปัญหาเหล่านี้อาจเกิดขึ้นหากคุณปรับปรุงของบริษัทอื่น รากสารบัญผู้เขียนของ Certication โดยใช้ประจำเดือน 2012 ธันวาคม KB 931125 เดแพคเกจ แพคเกจ 931125 กิโลไบต์ที่ถูกลงรายการบัญชีบน 11 ธันวาคม 2012 สร้างขึ้นเฉพาะสำหรับไคลเอ็นต์ Sku อย่างไรก็ตาม จะถูกยังเสนอสำหรับ Sku เซิร์ฟเวอร์เป็นเวลาสั้น ๆ บน Windows Update และ WSUS

หน่วยงาน Certication รากอื่นมากกว่า 330 การติดตั้งแพคเกจนี้ ในปัจจุบัน ขนาดสูงสุดของหน่วยงานจัดเก็บรายการใบรับรองที่เชื่อถือได้ที่สนับสนุนแพคเกจความปลอดภัย Schannel คือ 16 กิโลไบต์ (KB) มีจำนวนมากจะเก็บ Certication รากอื่นคุม k แบบ 16 จำกัด และคุณจะพบปัญหาการติดต่อสื่อสารของ TLS/SSL

การแก้ไข

ถ้าคุณใช้ WSUS และคุณไม่ได้ติดตั้ง การปรับปรุงประจำเดือน 2012 ธันวาคม KB 931125 คุณควรซิงค์เซิร์ฟเวอร์ WSUS ของคุณ และอนุมัติแล้ว วันที่เพื่อให้เซิร์ฟเวอร์ของคุณติดตั้งการปรับปรุง

ถ้าคุณติดตั้งประจำเดือน 2012 ธันวาคม KB แพ็คเกจการปรับปรุง 931125 คุณควรใช้การแก้ปัญหาต่อไปนี้เพื่อลบหน่วยเพิ่มเติมอื่น ๆ ราก Certication งานบนเซิร์ฟเวอร์ทั้งหมดที่มีหน่วยจัดเก็บภาษีของ Certication ในรากของบริษัทอื่นเป็นจำนวนมากในขณะนี้

หมายเหตุโซลูชันนี้เอาหน่วยงาน Certication รากของบริษัทอื่นทั้งหมด ถ้าเซิร์ฟเวอร์ของคุณมีการเชื่อมต่อไปที่ Windows Update นั้นโดยอัตโนมัติจะเพิ่มหลังอื่น ๆ ราก Certication เก็บเมื่อจำเป็น นอกจากนี้ยังเป็น ที่กล่าวถึงใน KB 931125 ถ้าเซิร์ฟเวอร์ที่ได้รับผลกระทบคือแบบแยก หรือ disonnected จากอินเทอร์เน็ต คุณต้องด้วยตนเอง เพิ่มหน่วย Certication รากของบริษัทอื่นจำเป็นกลับเป็นคุณจะได้ทำงานในอดีต (หรือ คุณสามารถติดตั้ง โดยใช้'นโยบายกลุ่ม')

เมื่อต้องการให้เราแก้ไขปัญหานี้ให้กับคุณ ไป "แก้ไขปัญหาให้ฉัน" ส่วน ถ้าคุณต้องการแก้ปัญหานี้ด้วยตนเอง ไปส่วน "ให้ฉันแก้ไขด้วยตนเอง"

แก้ไขให้ฉัน

เมื่อต้องการแก้ไขปัญหานี้โดยอัตโนมัติ การFix it ปุ่ม หรือการเชื่อมโยง คลิกเรียกใช้ในกล่องโต้ตอบดาวน์โหลดแฟ้มและจากนั้น ทำตามขั้นตอนในตัวช่วยสร้างการแก้ไขปัญหา


แก้ไขปัญหานี้
Microsoft แก้ไข 50974
หมายเหตุ

  • ตรวจสอบให้แน่ใจว่า คุณทำสำเนาสำรอง ของรีจิสทรี และคีย์ที่ได้รับผลกระทบทั้งหมดก่อนที่จะทำการเปลี่ยนแปลงใด ๆ กับระบบของคุณ
  • ตัวช่วยสร้างนี้อาจเป็นภาษาอังกฤษเท่านั้น อย่างไรก็ตาม การแก้ไขอัตโนมัติยังสามารถใช้ได้กับ Windows รุ่นภาษาอื่น
  • ถ้าคุณไม่ใช้คอมพิวเตอร์ที่มีปัญหา บันทึกวิธีแก้นั้นโซลูชันไปยังแฟลชไดรฟ์ หรือแผ่นซีดี และเรียกใช้โซลูชันแล้วบนคอมพิวเตอร์ที่มีปัญหา

ให้ฉันแก้ไขด้วยตนเอง

ลบรีจิสทรีคีย์ต่อไปนี้:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

ในการดำเนินการดังกล่าว ให้ทำตามขั้นตอนต่อไปนี้
  1. เริ่มตัวแก้ไขรีจิสทรี
  2. ค้นหาคีย์ย่อยของรีจิสทรีต่อไปนี้:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. คลิกขวา จากนั้น ลบคีย์ที่เรียกว่า "ใบรับรอง"
หมายเหตุตรวจสอบให้แน่ใจว่า คุณทำสำเนาสำรองของรีจิสทรีคีย์ที่ได้รับผลกระทบก่อนที่จะทำการเปลี่ยนแปลงใด ๆ กับระบบของคุณ

ข้อมูลเพิ่มเติม

ปัญหาเหล่านี้อาจเกิดขึ้นหากเซิร์ฟเวอร์ TLS/SSL ประกอบด้วยรายการจำนวนมากในรายการใบรับรองหลักที่เชื่อถือได้ เซิร์ฟเวอร์จะส่งรายชื่อของหน่วยงานจัดเก็บใบรับรองที่เชื่อถือได้ไปยังไคลเอ็นต์ถ้าเงื่อนไขต่อไปนี้เป็นจริง:
  • เซิร์ฟเวอร์ใช้การขนส่งเลเยอร์ความปลอดภัย (TLS) / โพรโทคอล SSL ในการเข้ารหัสเครือข่าย
  • ใบรับรองของไคลเอนต์จำเป็นต้องใช้สำหรับการรับรองความถูกต้องในระหว่างกระบวนการ handshake การรับรองความถูกต้อง

รายการนี้ของหน่วยงานจัดเก็บใบรับรองที่เชื่อถือได้แทนหน่วยที่เซิร์ฟเวอร์สามารถรับใบรับรองไคลเอ็นต์ เพื่อให้สามารถทำการตรวจสอบ โดยเซิร์ฟเวอร์ ไคลเอนต์ต้องมีใบรับรองที่มีอยู่ในสายของใบรับรองใบรับรองหลักจากรายการของเซิร์ฟเวอร์ นี่คือเนื่องจากใบรับรองไคลเอ็นต์เป็นใบรับรองแบบ end-entity ที่ส่วนท้ายของกลุ่มเสมอ ใบรับรองไคลเอ็นต์ไม่ใช่ส่วนหนึ่งของกลุ่มบริษัท

ในปัจจุบัน ขนาดสูงสุดของหน่วยงานจัดเก็บรายการใบรับรองที่เชื่อถือได้ที่สนับสนุนแพคเกจความปลอดภัย Schannel มีขนาด 16 กิโลไบต์ใน Windows Server 2008, Windows Server 2008 R2 และ Windows Server 2012

Schannel สร้างรายชื่อของหน่วยงานจัดเก็บใบรับรองที่เชื่อถือได้ ด้วยการค้นหาร้านค้ารับรองรากที่เชื่อถือได้บนคอมพิวเตอร์เครื่องนี้ ทุกใบรับรองที่เชื่อถือได้สำหรับวัตถุประสงค์ในการรับรองความถูกต้องของไคลเอ็นต์ถูกเพิ่มลงในรายการ ถ้าขนาดของรายการนี้เกินขนาด 16 กิโลไบต์ Schannel ล็อกคำเตือนเหตุการณ์ ID 36855 จากนั้น Schannel ตัดทอนรายการของใบรับรองหลักที่เชื่อถือได้ และส่งรายการนี้ถูกตัดทอนไปยังคอมพิวเตอร์ไคลเอนต์

เมื่อมีคอมพิวเตอร์ไคลเอนต์ได้รับรายการของใบรับรองหลักที่เชื่อถือได้ถูกตัดทอน คอมพิวเตอร์ไคลเอนต์อาจไม่มีใบรับรองที่มีอยู่ในสายเป็นผู้ออกใบรับรองที่เชื่อถือได้ ตัวอย่างเช่น คอมพิวเตอร์ไคลเอนต์อาจมีใบรับรองที่เกี่ยวข้องกับใบรับรองหลักที่เชื่อถือได้ที่ Schannel ตัดออกจากรายชื่อของหน่วยงานจัดเก็บใบรับรองที่เชื่อถือได้ ดังนั้น เซิร์ฟเวอร์ไม่สามารถรับรองไคลเอนต์

คุณสมบัติ

หมายเลขบทความ (Article ID): 2801679 - รีวิวครั้งสุดท้าย: 18 ตุลาคม 2556 - Revision: 3.0
ใช้กับ
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Keywords: 
kbmt KB2801679 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:2801679

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com