Χρήστης δεν είναι δυνατό να αποκτήσει πρόσβαση στη λειτουργικότητα του πιστοποιητικού μετά την αλλαγή του κωδικού πρόσβασης ή όταν χρησιμοποιείτε προφίλ περιαγωγής

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 331333 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Συμπτώματα

Όταν ένας χρήστης προσπαθεί να χρησιμοποιήσει το πιστοποιητικό λειτουργικότητα, αφού μπορούν να αλλάξουν τον κωδικό πρόσβασης ή όταν χρησιμοποιούν ένα προφίλ περιαγωγής, αυτά ενδέχεται να χάσετε την πρόσβαση σε αυτήν τη λειτουργία πιστοποιητικό. Λειτουργικότητα του πιστοποιητικού που ενδέχεται να μην λειτουργούν όπως πριν περιλαμβάνει τα ακόλουθα:
  • Πρόσβαση σε αρχεία που έχουν κρυπτογραφηθεί με το σύστημα κρυπτογράφησης αρχείων συστήματος (EFS)
  • Πρόσβαση σε μια ασφαλή ιστοσελίδα που απαιτεί έλεγχο ταυτότητας πιστοποιητικού
  • Η υπογραφή ηλεκτρονικού ταχυδρομείου με την ασφάλιση/Multipurpose Internet Mail Extensions (S/MIME)
Κατά την προσπάθειά τους να αποκτήσει πρόσβαση σε μια ασφαλή τοποθεσία Web, καταγράφεται το ακόλουθο μήνυμα λάθους:
Συμβάντος Schannel: 36870
Παρουσιάστηκε ανεπανόρθωτο σφάλμα κατά την πρόσβαση στο ιδιωτικό κλειδί διαπιστευτήρια υπολογιστή-πελάτη SSL. The error code returned from the cryptographic module is 0x80090016.

Αιτία

This problem occurs only if the client user account is in a Microsoft Windows NT 4.0 domain and if they are logged on to a Microsoft Windows XP Professional workstation. The Windows XP version of the Data Protection API (DPAPI) function helps to protect EFS private keys and other data that you want to keep secure. The recovery functionality of DPAPI is not supported for users who are members of domains that are running Microsoft Windows NT 4.0 and earlier.

Προτεινόμενη αντιμετώπιση

To maintain client access to certificate functionality after users change their passwords or when they use roaming profiles, upgrade the domain to Active Directory directory service. Active Directory domains provide a mechanism that helps to protect the DPAPI master key with a public/private key pair. (The DPAPI master key is used to help protect EFS private keys and other certificate-based functions.)

In a Windows NT 4.0 domain, the ability to restore access to the certificate keys and data is located on the workstation. This is not the case in a Microsoft Windows 2000 domain. Because the recovery mechanism is not located on the workstation, Windows 2000 domains provide a significant additional level of protection for certificates if the workstation is physically compromised.

Although you only have to upgrade a single domain controller to take advantage of the DPAPI domain recovery mechanism, consider upgrading at least two domain controllers for fault-tolerance purposes.

It is highly recommended that you plan your Active Directory before you implement it. For more information about Active Directory design, visit the following Microsoft Web site:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Εναλλακτικός τρόπος αντιμετώπισης

To work around this problem, install Windows XP Service Pack 1 (SP1) or later on the client workstation, and then create the following registry entry to emulate Windows 2000 behavior.

ΣημαντικόΑυτή ενότητα, μέθοδο ή εργασία περιέχει βήματα που θα σας πληροφορήσει πώς να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά τα εξής βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου προτού το τροποποιήσετε. Με αυτόν τον τρόπο, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
322756Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows
Ακολουθήστε τα εξής βήματα και κατόπιν κλείστε τον Επεξεργαστή Μητρώου (Registry Editor):
  1. Κάντε κλικStartΚάντε κλικΕκτέλεση, typeRegedit, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  2. Εντοπίστε και κατόπιν κάντε κλικ στο ακόλουθο κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, σημείοΝέα, και στη συνέχεια κάντε κλικ στο κουμπίΤιμή DWORD.
  4. TYPEMasterKeyLegacyNt4Domain, and then press ENTER.
  5. Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, κάντε κλικ στο κουμπίΤροποποίηση (Modify).
  6. TYPE1, και στη συνέχεια κάντε κλικ στο κουμπίOk.
After you create this entry, the client will determine if the user is a member of a Windows NT 4.0 domain. If they are a member, the Windows XP client will emulate the Windows 2000 behavior, and DPAPI will give users with changed passwords access to their keys.

ΣΗΜΕΙΩΣΗIf you work around this problem by editing the registry, you only change the behavior that is described in the Symptoms section from the time that you make the registry change. Any password changes that were made before the change to the registry are not be undone and you will still receive an "access denied" error message when you open the EFS file.

Important security implications

Using this registry entry substantially decreases the security of a physically compromised computer. An attacker with physical access to the computer could access some or all EFS-encrypted files and any Certificate private keys on it.

Recover access to the files after a password change

To regain access to the certificate functionality on an individual workstation after a password change, change the password back to the password that was used when the files were last encrypted.

ΣΗΜΕΙΩΣΗThese steps only change the password that you use to log on to your computer. They do not change your domain password.
  1. Log on to the computer as the user with the current password.
  2. Κάντε κλικStart, και στη συνέχεια κάντε κλικ στο κουμπίΟ πίνακας ελέγχου.
  3. Διπλό κλικΛογαριασμοί χρηστών (User Accounts).
  4. Click to select your user name.
  5. Κάντε κλικReset password.
  6. Type your original password in theNew passwordtext box, and then type the password in theConfirm new passwordText box. Κάντε κλικOk.
  7. Ξεκινήστε πάλι τον υπολογιστή σας.

Κατάσταση

Αυτή η συμπεριφορά οφείλεται στη σχεδίαση.

Περισσότερες πληροφορίες

The behavior that is described in the "Symptoms" section of this article applies only to users who are members of a Windows NT 4.0 domain and who log on to computers that run Windows XP. The behavior of Windows XP Professional clients that are members of a workgroup or of a Windows 2000 Active Directory domain differs significantly from the description in this article.

For more information about DPAPI in Windows XP, visit the following Microsoft Web site:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
For more information about troubleshooting DPAPI issues, including loss of access to a private key or EFS files, click the following article number to view the article in the Microsoft Knowledge Base:
309408Troubleshooting the Data Protection API (DPAPI)

Ιδιότητες

Αναγν. άρθρου: 331333 - Τελευταία αναθεώρηση: Τρίτη, 21 Δεκεμβρίου 2010 - Αναθεώρηση: 4.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows XP Professional
Λέξεις-κλειδιά: 
kbprb kbmt KB331333 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:331333

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com