Benutzer kann nicht auf Zertifikat Funktionalität nach Änderung des Kennworts oder zugreifen Wenn Sie ein servergespeichertes Profil verwenden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 331333 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn ein Benutzer versucht, Zertifikat Funktionen verwenden, nachdem Sie Ihr Kennwort ändern oder wenn Sie ein servergespeichertes Profil verwenden, können Sie den Zugriff auf diese Funktionalität Zertifikat verlieren. Zertifikat-Funktionalität, die nicht wie zuvor funktionieren umfasst Folgendes:
  • Zugriff auf Dateien, die mit verschlüsseln verschlüsselt (System, EFS)
  • Zugriff auf eine sichere Webseite, die Zertifikatauthentifizierung erfordert
  • Signierung von E-mail mit Secure/Multipurpose Internet Mail Extensions (S/MIME)
Wenn Sie versuchen, eine sichere Website zuzugreifen, wird die folgende Fehlermeldung protokolliert:
SChannel-Ereignis: 36870
Schwerwiegender Fehler beim Versuch, den SSL-Client Anmeldeinformationen privaten Schlüssel zuzugreifen. Der vom kryptografischen Module zurückgegebene Fehlercode ist 0 x 80090016.

Ursache

Dieses Problem tritt nur, wenn das Client-Benutzerkonto in einer Microsoft Windows NT 4.0-Domäne ist und Sie an einer Microsoft Windows XP Professional-Arbeitsstation angemeldet sind. Die Windows-Version der Data Protection API (DPAPI) Funktion schützt private EFS-Schlüssel und andere Daten, die Sie schützen möchten. Die Wiederherstellung-Funktionalität von DPAPI ist nicht für Benutzer, die Mitglieder von Domänen sind, auf denen Microsoft Windows NT 4.0 ausgeführt wird unterstützt und früher.

Lösung

Zum Verwalten von Clients den Zugriff auf Zertifikat aktualisieren Funktionalität nachdem Benutzer ihre Kennwörter ändern oder wenn Sie servergespeicherte Profile verwenden die Domäne auf Active Directory-Verzeichnisdienst. Active Directory-Domänen bieten einen Mechanismus, mit denen um der DPAPI-Hauptschlüssel mit Schlüsselpaar aus öffentlichem und privatem Schlüssel zu schützen. (Der DPAPI-Hauptschlüssel ist zum Schutz von EFS verwendet private Schlüssel und andere Funktionen zertifikatbasierte.)

In einer Windows NT 4.0-Domäne befindet sich die Möglichkeit, Zugriff auf das Zertifikatsschlüssel und die Daten wiederherstellen, auf der Arbeitsstation. Dies ist nicht der Fall, in einer Microsoft Windows 2000-Domäne. Da die Wiederherstellungsmechanismus nicht auf der Arbeitsstation befindet, bieten Windows 2000-Domänen eine bedeutende zusätzliche Schutz für Zertifikate Wenn die Arbeitsstation physisch kompromittiert ist.

Obwohl Sie nur einen einzigen Domänencontroller Wiederherstellungsmechanismus der DPAPI-Domäne nutzen aktualisieren müssen, sollten Sie mindestens zwei Domänencontroller zwecks Fehlertoleranz aktualisieren.

Es wird dringend empfohlen, dass Sie Ihr Active Directory, Planen bevor Sie es implementieren. Weitere Informationen zu Active Directory-Entwurf der folgenden Microsoft-Website:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Abhilfe

Um dieses Problem zu umgehen, installieren Sie Windows XP Service Pack 1 (SP1) oder höher auf der Clientarbeitsstation und erstellen Sie den folgenden Registrierungseintrag, um Windows 2000-Verhalten emulieren.

wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows
Führen Sie folgende Schritte aus, und beenden Sie anschließend den Registrierungseditor:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie regedit ein und klicken Sie dann auf OK .
  2. Suchen Sie und klicken Sie auf den folgenden Schlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. Klicken Sie im Menü Bearbeiten auf neu , und klicken Sie dann auf DWORD-Wert .
  4. Geben Sie MasterKeyLegacyNt4Domain , und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie im Menü Bearbeiten auf Ändern .
  6. Geben Sie 1 ein, und klicken Sie dann auf OK .
Nachdem Sie diesen Eintrag erstellt haben, kann der Client feststellen, ob der Benutzer Mitglied einer Windows NT 4.0-Domäne ist. Wenn Sie Mitglied sind, Windows XP-Client wird Windows 2000-Verhalten emulieren und DPAPI gewähren Benutzern mit geänderten Kennwörter Zugriff auf Ihre Schlüssel.

Hinweis: Wenn Sie dieses Problem, umgehen indem die Registrierung bearbeiten, ändern Sie nur das Verhalten, das im Abschnitt Problembeschreibung ab dem Zeitpunkt beschrieben wird, die Sie die Registrierung ändern. Alle Kennwort-Änderungen, die bevor die Änderung der Registrierung nicht rückgängig gemacht werden und es eine "Zugriff verweigert" Fehlermeldung weiterhin angezeigt, wird wenn Sie die EFS-Datei öffnen vorgenommen wurden.

Wichtige Sicherheitsaspekte

Verwenden diesen Registrierungseintrag erheblich verringert die Sicherheit einen physisch gefährdeten Computer. Ein Angreifer mit physischem Zugriff auf den Computer kann zugreifen, einige oder alle EFS-verschlüsselten Dateien und alle privaten Schlüssel auf Zertifikat.

Wiederherstellen Sie Zugriff auf die Dateien nach einer Kennwortänderung

Ändern Sie um Zugriff auf die Zertifikat-Funktionalität auf einer einzelnen Arbeitsstation nach einer Kennwortänderung wiederherzustellen, das Kennwort zurück, mit dem Kennwort, das beim letzten die Dateien verschlüsselt wurden verwendet.

Hinweis: Diese Schritte wird nur das Kennwort, mit denen Sie sich an Ihrem Computer Anmelden ändern. Ändern Sie nicht Ihr Domänenkennwort ein.
  1. Melden Sie sich auf dem Computer als Benutzer mit dem aktuellen Kennwort.
  2. Klicken Sie auf Start , und klicken Sie auf Systemsteuerung .
  3. Doppelklicken Sie auf Benutzerkonten .
  4. Klicken Sie auf Ihren Benutzernamen ein.
  5. Klicken Sie auf Kennwort zurücksetzen .
  6. Geben Sie das ursprüngliche Kennwort in das Textfeld Neues Kennwort ein, und geben Sie das Kennwort im Textfeld Neues Kennwort bestätigen . Klicken Sie auf OK .
  7. Starten Sie den Computer neu.

Status

Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Weitere Informationen

Das im Abschnitt "Problembeschreibung" dieses Artikels beschriebene Verhalten gilt nur für Benutzer, die Mitglieder einer Windows NT 4.0-Domäne und wer Computern anmelden, auf denen Windows XP ausgeführt. Das Verhalten von Windows XP Clients, die Mitglieder einer Arbeitsgruppe oder einer Windows 2000 Active Directory-Domäne unterscheidet sich erheblich von der Beschreibung in diesem Artikel.

Weitere Informationen über DPAPI in Windows XP die folgenden Microsoft-Website:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Weitere Informationen zu Problembehandlungsfragen DPAPI, einschließlich Datenverlust Zugriff auf einen privaten Schlüssel oder die EFS-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
309408Problembehandlung bei die Daten Protection API (DPAPI)

Eigenschaften

Artikel-ID: 331333 - Geändert am: Freitag, 14. September 2007 - Version: 4.6
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
Keywords: 
kbmt kbprb KB331333 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 331333
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com