在您安裝 KB 931125 之後的 SSL/TLS 通訊問題

文章翻譯 文章翻譯
文章編號: 2801679 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

後 2012 年 12 月 11,應用程式與依存於基於 EAP-TLS 驗證失敗的作業可能會突然失敗雖然沒有明顯的設定變更。某些應用程式及可能會失敗的作業包括,但不是限於:
  • 使用憑證型驗證的無線網路存取
  • 使用憑證型驗證的有線的網路存取
  • 用戶端連線到 Lync 或 Office 通訊伺服器
  • 使用 Exchange Server 與整合通訊的語音信箱
  • 啟用 SSL 的網站存取
  • Outlook 登入
  • 作業系統開機延遲 (慢速開機)
  • 使用者登入延遲 (慢速登入)
事件的登入 Windows,或特定應用程式事件日誌中與該範圍或肯定地識別在本文中所討論的徵狀包括,但不是限於下列表格中所列的事件。


摺疊此表格展開此表格
事件記錄檔事件來源事件識別碼事件文字
系統Schannel36885當要求用戶端驗證時,這台伺服器會傳送至用戶端的受信任的憑證授權單位清單。用戶端會使用這個清單來選擇伺服器所信任的用戶端憑證。目前,這台伺服器信任許多憑證授權單位清單變得太長。這份清單因此被截斷。這台電腦的系統管理員應該檢閱受信任的用戶端驗證的憑證授權單位,並移除那些並非真正需要信任。
系統Schannel36887接收到下列的嚴重警示: 47
系統NapAgent39網路存取保護代理程式無法判斷哪些 Hra 要求從健康情況憑證。網路變更或 GP 設定時,如果設定變更將會提示進一步嘗試取得健康情況憑證。否則不再嘗試將會進行。如需詳細資訊,請連絡 HRA 管理員。
系統遠端存取20225在 [連接埠上的點對點通訊協定模組發生下列錯誤: VPN2 509、 使用者名稱: <username>。因為在 RAS/VPN 伺服器上設定原則,所以無法連線。具體來說,伺服器用來確認您的使用者名稱和密碼的驗證方法可能不符合您的連線設定檔中設定的驗證方法。請連絡 RAS 伺服器的系統管理員,並通知他們這個錯誤。 </username>
系統遠端存取20271使用者<username>從<IP address="">連線,但因為下列原因嘗試驗證失敗: 因為 RAS/VPN 伺服器上設定原則,所以無法連線。具體來說,伺服器用來確認您的使用者名稱和密碼的驗證方法可能不符合您的連線設定檔中設定的驗證方法。請連絡 RAS 伺服器的系統管理員,並通知他們這個錯誤。 </IP></username>


發生的原因

如果您更新您的第三方所使用的根 Certication 授權年 12 月 2012 KB 931125 更新套件可能會發生這些問題。最初 2012 年 12 月 11,於發佈的 KB 931125 套件是只適用於用戶端 Sku。不過,它是也提供伺服器 sku Windows 更新及 WSUS 一小段時間。

這個封裝安裝多個 330 協力廠商根 Certication 授權。目前 Schannel 安全性套件支援受信任的憑證授權單位清單的最大大小為 16 位元組 (KB)。有大量的協力廠商根 Certication 授權會超過 16k 限制,而且您會遇到 TLS/SSL 通訊問題。

解決方案

如果您使用 WSUS,而且您未安裝年 12 月 2012 KB 931125 更新,您應該同步您的 WSUS 伺服器,並使您的伺服器不會安裝更新程式,然後核准期限。

如果您安裝年 12 月 2012 KB 931125 的更新套件,您應該移除其他協力廠商根 Certication 授權,現在有大量的協力廠商根 Certication 授權單位的所有伺服器上使用下面的解決方案。

附註:本解決方案中移除所有的協力廠商根 Certication 授權。如果您的伺服器有連線到 Windows Update,它會自動加入後協力廠商根 Certication 授權視需要,一樣也討論在 KB 931125。如果受影響的伺服器是獨立的或從網際網路的 disonnected,您必須以手動方式新增所需的協力廠商根 Certication 授權,回復為您所做過。(或者,您可以使用群組原則安裝)。

如果要我們為您修正這個問題,請移至 「 為我修正它 」 一節。如果您想要自行修正此問題,請移至 「 請讓我自行修正此問題的項目 」 一節。

為我修正它

若要自動修正此問題,請按一下 [修正 按鈕或連結,按一下 [在檔案下載] 對話方塊中,[執行],然後依照Fix it精靈中的步驟。


修正這個問題
Microsoft 修正此問題 50974
注意

  • 請確定您的系統進行任何變更之前,請備份所有受影響的機碼和登錄。
  • fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff不過,自動修正程式也適用於其他語言版本的 Windows。
  • 如果您不在發生問題,請將此修正程式的電腦上它快閃磁碟機或 CD,並在發生問題的電腦上的然後執行方案的方案。

讓我自行修正此問題

刪除下列登錄機碼:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

若要這樣做,請依照下列步驟執行:
  1. 啟動登錄編輯程式
  2. 找出下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. 以滑鼠右鍵按一下,然後刪除的機碼,稱為 「 憑證 」
附註:請確定您的系統進行任何變更之前,請備份登錄和受影響的機碼。

其他相關資訊

如果 TLS/SSL 伺服器包含受信任的根憑證清單中的許多項目,可能會發生這些問題。如果下列情況成立,伺服器會傳送受信任的憑證授權單位的清單給用戶端:
  • 伺服器會使用傳輸層安全性 (TLS) / SSL 通訊協定加密網路流量。
  • 用戶端憑證所需的驗證,驗證信號交換過程。

這份信任的憑證授權單位表示的伺服器可以接受的用戶端憑證授權單位。若要由伺服器進行驗證,用戶端必須是根憑證伺服器的清單中的憑證鏈結中的憑證。這是因為用戶端憑證是永遠終端實體憑證鏈結的結尾。用戶端憑證未鏈結的一部分。

目前,Schannel 安全性套件支援受信任的憑證授權單位清單的最大大小是在 Windows Server 2008,Windows Server 2008 R2 和 Windows Server 2012 16 KB。

Schannel 會藉由搜尋本機電腦的受信任的根憑證授權單位存放區中建立受信任的憑證授權單位的清單。每個受信任的用戶端驗證用途的憑證新增到清單中。如果此清單的大小超過 16 KB,Schannel 記錄警告事件識別碼 36855。然後,Schannel 截斷的受信任的根憑證清單,並將此截斷的清單傳送到用戶端電腦。

當用戶端電腦收到的受信任的根憑證被截斷的清單時,用戶端電腦可能沒有存在於受信任的憑證簽發者的鏈結中的憑證。例如,用戶端電腦可能會有對應至 Schannel 截斷的受信任的憑證授權單位清單從受信任的根憑證的憑證。因此,伺服器無法驗證用戶端。

屬性

文章編號: 2801679 - 上次校閱: 2014年6月14日 - 版次: 6.0
這篇文章中的資訊適用於:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
關鍵字:?
kbmt KB2801679 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2801679
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com