Проблеми зі зв'язком SSL/TLS після інсталяції 931125 КБ

Переклади статей Переклади статей
Номер статті: 2801679 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

Ознаки

Після 11 грудня 2012 заявок і операцій, які є залежними від TLS-базований authentications fail може раптом не хоча вони мають жодних змін очевидною конфігурації. Деякі застосунки та операцій, які можуть не включають, але не обмежуючись, наступні:
  • Безпроводова глобальна мережа доступу, який використовує автентифікацію на основі сертифіката
  • Проводові мережі доступу, який використовує автентифікацію на основі сертифіката
  • Підключення клієнта Lync або Office сервер зв'язок "один-до-одного"
  • голосова пошта, який використовує сервер Exchange разом з уніфікованого обміну повідомленнями
  • SSL-включений веб-сайту доступ
  • Outlook входів
  • Завантаження ОС затримок (повільне завантаження)
  • До системи затримки (повільний входу до системи)
Подій, які реєструються в Windows або в журналах подій конкретного додатка, і що або об'єм, або остаточно визначити симптом, які описані в цій статті, включають, але не обмежуючись події, які перелічено в нижченаведеній таблиці.


Згорнути цю таблицюРозгорнути цю таблицю
запис А подійДжерело подіїКод подіїПодія тексту
СистемаSchannel36885When просять for автентифікація клієнта, цей сервер надсилає список довіри сертифіката влади до клієнта. Клієнт використовує цей список вибрати сертифікат клієнта, який є надійним на сервері. В даний Вільний час цей сервер довіряє так багато служби сертифікації, що список виріс занадто довге. Цей список таким чином було скорочено. Адміністратора цього комп'ютера слід ознайомитися служби сертифікації, надійні для перевірки автентичності клієнта і видалити ті, які дійсно не потрібно бути надійною.
СистемаSchannel36887Такі фатальні оповіщення було отримано: 47
СистемаNapAgent39Агент захисту доступу до мережі не вдалося визначити які HRAs робити запит сертифіката здоров'я від. Зміна мережі або якщо настроєно GP, зміна налаштувань буде пропонувати подальшого спроби отримати сертифікат здоров'я. В іншому випадку ніякі подальші спроби буде зроблено.Для отримання додаткової інформації, зв'яжіться з адміністратором HRA.
Системавіддалений доступ20225Сталася така помилка в модулі протокол точка-точка на порт: VPN2-509, ім'я користувача: <username>. Підключення зупинено через вимоги політики на сервері RAS/VPN. Зокрема, метод автентифікації, який використовується сервером для перевірки імені користувача та пароля може не відповідати методу автентифікації, настроєному в профілі підключення. Будь ласка, зверніться до адміністратора сервера віддалене з'єднання та повідомити їх про цю помилку. </username>
Системавіддалений доступ20271Користувач <username>пов'язаних з <IP address="">, але не вдалося виконати автентифікацію спроби через наступні причини: підключення зупинено через вимоги політики на сервері RAS/VPN. Зокрема, метод автентифікації, який використовується сервером для перевірки імені користувача та пароля може не відповідати методу автентифікації, настроєному в профілі підключення. Будь ласка, зверніться до адміністратора сервера віддалене з'єднання та повідомити їх про цю помилку. </IP></username>


причина

Ці проблеми можуть виникнути, якщо ваш стороннього кореневого Certication влади за допомогою грудень 2012 KB 931125 оновлень пакета. KB 931125 пакет, що була розміщена на 11 грудня 2012, був призначений лише для клієнта найменувань товарів. Тим не менш, було також запропоновано для сервера рішенню щодо короткий Вільний час на Windows Update і WSUS.

Цей пакет встановлений 330 стороннього кореневого Certication влади. В даний Вільний час максимальний розмір списку довірених сертифікатів влади, що Schannel безпеки пакет підтримує – 16 кілобайт (КБ). Маючи велику кількість стороннього кореневого Certication влада буде йти над 16k межа і ви будете відчувати проблеми комунікації TLS/SSL.

Розв'язанн

Якщо ви використовуєте службу WSUS, і ви її не інсталювали грудень 2012 KB 931125 оновлення, слід синхронізувати ваші сервера WSUS а потім затвердити до закінчення терміну інтерактивні елементи, щоб ваші сервери не інсталювати оновлення.

Якщо ви встановили гру 2012 KB 931125 пакет оновлення, ви повинні використовувати наступну резолюцію видалити додаткові стороннього кореневого Certication влади на всіх серверах, які зараз є велика кількість сторонні корінь Certication влади.

Примітка. Це рішення усуває всі стороннього кореневого Certication влади. Якщо ваш сервер має підключення до служби Windows Update, вона буде автоматично додати назад стороннього кореневого Certication влади за потреби, а також обговорюється в 931125 КБ. Якщо у відповідному сервері є ізольованим або disonnected з Інтернету, слід вручну додати необхідні стороннього кореневого Certication влади назад, як ви зробили б в минулому. (Або ви можете встановити їх за допомогою групової політики.)

Щоб нам вирішити цю проблему для вас, перейдіть до на "виправити це для мене" розділу. Якщо ви віддаєте перевагу, щоб вирішити цю проблему самостійно, перейдіть до розділу "Дозвольте мені це виправити себе".

Виправити це для мене

Щоб автоматично виправити цю проблему, натисніть на це виправити кнопка або посилання, натисніть кнопку запустити у діалоговому вікні Завантаження файлу і виконайте інтерактивні елементи, зазначені в виправити це майстер.


Вирішити цю проблему
Microsoft Fix it 50974
Примітки

  • Переконайтеся, що ви зробити архівувати реєстру та всі уражені ключів перед внесенням будь-яких змін до вашої системи.
  • Цей майстер може бути англійською мовою, тільки. Проте автоматичне виправлення також працює для інших мовних версій Windows.
  • Якщо ви не на комп'ютері, який має проблеми, зберегти виправити це рішення на флеш-пам'ять або компакт-диск і запускати потім рішення на комп'ютері, який має проблеми.

Дозвольте мені це виправити себе

Видалення розділу реєстру:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Для цього виконайте такі інтерактивні елементи.
  1. Запустіть редактор реєстру
  2. Знайдіть такий підрозділ реєстру:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Клацніть правою кнопкою миші а потім видаліть ключ, який називається "Сертифікати"
Примітка. Переконайтеся, що ви зробити архівувати реєстру і постраждалому ключі перед внесенням будь-яких змін до вашої системи.

Додаткові відомості

Ці проблеми можуть виникнути, якщо TLS/SSL-сервер містить багато записів у списку довірених кореневих сертифікації. Сервер надсилає список довіри сертифіката влади клієнту, якщо виконуються такі умови:
  • На сервері використовується транспорту Layer Security (TLS) / SSL Протокол шифрування мережевого трафіку.
  • Клієнтські сертифікати, необхідні для автентифікації під Вільний час рукостискання процес ідентифікації.

Цей список довіри сертифіката влади представляє влади, з якого сервер може прийняти клієнтського сертифіката. Бути засвiдченi в сервер, клієнт має бути сертифікат, який присутній в ланцюжку сертифікатів до кореневого сертифіката сервера списку. Це тому, що клієнтський сертифікат завжди є кінцевим сертифікатом в кінці ланцюга. Клієнтський сертифікат не належить до мережі.

В даний Вільний час максимальний розмір списку довірених сертифікатів влади, що Schannel безпеки пакет підтримує – 16 Кбайт в Windows Server 2008, Windows Server 2008 R2 і Windows Server 2012.

Schannel створює список довіри сертифіката влади шляхом пошуку сховищі довірених кореневих центрів сертифікації на локальному комп'ютері. Кожен сертифікат, який є довіреним для цілей автентифікація клієнта буде додано до списку. Якщо розмір цього списку перевищує 16 KB, Schannel журнали код події попередження 36855. Потім Schannel обрізає список довірених кореневих сертифікатів і посилає цю усічена список на клієнтському комп'ютері.

Коли на клієнтському комп'ютері отримує усічена список довірених кореневих сертифікатів, клієнтського комп'ютера не можуть мати сертифікат, який існує в ланцюжку сертифікатів емітента. Наприклад, на клієнтському комп'ютері може мати сертифікат, що відповідає довіреним кореневим сертифікатом, що Schannel скорочено зі списку довірених сертифікатів влади. Таким чином, сервер не може автентифікувати клієнта.

Властивості

Номер статті: 2801679 - Востаннє переглянуто: 18 жовтня 2013 р. - Редакція: 3.0
Застосовується до:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Ключові слова: 
kbmt KB2801679 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 2801679

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com