Pengguna tidak dapat mendapatkan akses ke fungsi sertifikat setelah perubahan sandi atau ketika menggunakan profil roaming

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 331333 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

GEJALA

Ketika pengguna mencoba untuk menggunakan fungsi sertifikat setelah mereka mengubah sandi atau ketika mereka menggunakan profil roaming, mereka mungkin kehilangan akses ke fungsi sertifikat ini. Fungsi sertifikat yang mungkin tidak bekerja seperti sebelumnya termasuk berikut:
  • Mengakses file yang dienkripsi dengan enkripsi File Sistem (EFS)
  • Mengakses halaman Web aman yang memerlukan sertifikat otentikasi
  • Penandatanganan e-mail dengan aman/serbaguna Internet Mail Ekstensi (S/MIME)
Ketika mereka mencoba untuk mengakses situs Web aman, galat berikut pesan log:
Schannel acara: 36870
Fatal terjadi kesalahan saat Anda mencoba untuk mengakses kunci privat kredensial klien SSL. Kode kesalahan yang dikembalikan dari modul kriptografi adalah 0x80090016.

PENYEBAB

Masalah ini terjadi hanya jika klien account pengguna di Microsoft Windows NT 4.0 domain dan jika mereka masuk ke Microsoft Windows XP Professional workstation. Versi Windows XP Data Perlindungan API (DPAPI) fungsi membantu untuk melindungi kunci privat EFS dan lain data yang Anda ingin tetap aman. Fungsi pemulihan DPAPI bukanlah didukung untuk pengguna yang anggota domain yang menjalankan Microsoft Windows NT 4.0 dan sebelumnya.

PEMECAHAN MASALAH

Untuk mempertahankan klien akses ke fungsionalitas sertifikat Setelah pengguna mengubah sandi atau ketika mereka menggunakan profil roaming, upgrade domain ke layanan direktori Active Directory. Domain direktori aktif menyediakan mekanisme yang membantu untuk melindungi DPAPI master kunci dengan Pasangan utama publik/swasta. (Tombol master DPAPI digunakan untuk membantu melindungi EFS kunci privat dan fungsi lainnya berbasis sertifikat.)

Pada Windows NT 4.0 domain, kemampuan untuk mengembalikan akses ke data dan sertifikat kunci adalah terletak di workstation. Hal ini tidak terjadi di Microsoft Windows 2000 domain. Karena mekanisme pemulihan tidak terletak pada workstation, Domain Windows 2000 memberikan tingkat tambahan signifikan perlindungan sertifikat jika workstation fisik terganggu.

Meskipun Anda hanya perlu meng-upgrade satu domain controller untuk mengambil keuntungan dari Mekanisme pemulihan DPAPI domain, mempertimbangkan untuk mengupgrade setidaknya dua domain controller untuk toleransi kesalahan tujuan.

Sangat dianjurkan Anda merencanakan direktori aktif sebelum Anda menerapkan itu. Untuk lebih informasi tentang desain Active Directory, kunjungi Website Microsoft berikut situs:
http://technet.Microsoft.com/en-us/library/bb727085.aspx

TEKNIK PEMECAHAN MASALAH

Untuk mengatasi masalah ini, instal Windows XP Paket Layanan 1 (SP1) atau nanti pada klien workstation, dan kemudian membuat berikut entri registri untuk meniru perilaku Windows 2000.

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows
Ikuti langkah-langkah ini, kemudian tutup Penyunting Registri:
  1. Klik Mulai, klik Menjalankan, jenis regedit, lalu klik Oke.
  2. Temukan kemudian klik kunci berikut dalam registri:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11 d 1-8c7a-00c04fc297eb
  3. Pada Mengedit menu, titik Baru, lalu klik Nilai DWORD.
  4. Jenis MasterKeyLegacyNt4Domain, dan kemudian tekan ENTER.
  5. Pada Mengedit menu, klik Memodifikasi.
  6. Jenis 1, lalu klik Oke.
Setelah Anda membuat catatan ini, klien akan menentukan apakah pengguna adalah anggota domain Windows NT 4.0. Apakah anggota, klien Windows XP akan meniru perilaku Windows 2000, dan DPAPI akan memberikan pengguna dengan akses Password berubah untuk kunci mereka.

Catatan Jika Anda bekerja di sekitar masalah ini dengan mengedit registri, Anda hanya mengubah perilaku yang dijelaskan pada bagian gejala dari waktu bahwa Anda membuat perubahan registri. Perubahan sandi yang dibuat sebelum perubahan ke registri tidak dapat dibatalkan dan Anda masih akan menerima "akses ditolak" pesan galat ketika Anda membuka berkas EFS.

Implikasi penting

Menggunakan entri registri ini secara substansial menurun keamanan komputer secara fisik dikompromikan. Seorang penyerang dengan akses fisik ke komputer dapat mengakses beberapa atau semua berkas dienkripsi EFS dan sertifikat kunci privat di atasnya.

Memulihkan akses ke file setelah perubahan sandi

Untuk mendapatkan kembali akses ke fungsionalitas sertifikat pada individu workstation setelah perubahan sandi, mengubah sandi kembali ke password yang digunakan ketika file terakhir dienkripsi.

Catatan Langkah ini hanya mengubah sandi yang Anda gunakan untuk masuk ke komputer Anda. Mereka tidak mengubah sandi domain.
  1. Logon ke komputer sebagai pengguna dengan saat ini sandi.
  2. Klik Mulai, lalu klikControl Panel.
  3. Klik dua kali Account pengguna.
  4. Klik untuk memilih nama pengguna Anda.
  5. Klik Membuat ulang sandi.
  6. Ketik sandi asli di Baru sandi teks kotak, dan kemudian ketik sandi di Konfirmasi kata sandi baru kotak teks. Klik Oke.
  7. Mulai ulang komputer Anda.

STATUS

Ini adalah aktivitas.

INFORMASI LEBIH LANJUT

Perilaku yang dijelaskan di bagian "Gejala" Artikel ini hanya berlaku untuk pengguna yang merupakan anggota dari domain Windows NT 4.0 dan yang logon ke komputer yang menjalankan Windows XP. Perilaku Windows XP Klien yang profesional yang adalah anggota dari kelompok kerja atau Windows 2000 Domain direktori aktif berbeda secara signifikan dari deskripsi ini artikel.

Untuk informasi lebih lanjut tentang DPAPI pada Windows XP, kunjungi Web site Microsoft berikut:
http://msdn2.Microsoft.com/en-us/library/ms995355.aspx
Untuk informasi lebih lanjut mengenai pemecahan masalah DPAPI masalah, termasuk hilangnya akses ke kunci pribadi atau EFS file, klik sejumlah artikel berikut untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
309408Troubleshooting Data Perlindungan API (DPAPI)

Properti

ID Artikel: 331333 - Kajian Terakhir: 03 Oktober 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows XP Professional
Kata kunci: 
kbprb kbmt KB331333 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:331333

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com