Kullanıcı sertifikası işlevselliği sonra Parola Değiştir veya gezici bir profil kullanırken erişim sağlayamaz

Makale çevirileri Makale çevirileri
Makale numarası: 331333 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Kullanıcı kullanıcılar parolalarını değiştirdikten sonra sertifikayı işlevleri kullanmaya çalıştığında veya gezici profili kullandıklarında, erişim için bu sertifikayı işlevsellik kaybedebilirsiniz. Önceki gibi çalışmayabilir sertifika işlevler aşağıdakileri içerir:
  • Şifreleme dosya ile şifrelenmiş dosyalara erişim Sistemi'ni (EFS)
  • Sertifika kimlik doğrulaması gerektiren güvenli bir Web sayfası erişimi
  • E-posta ile güvenli/çok amaçlı ınternet posta imzalama Uzantıları (S/MıME)
Güvenli bir Web sitesine erişmeye çalıştıklarında aşağıdaki hata iletisini günlüğe kaydedilir:
Schannel olay: 36870
SSL istemci kimlik bilgisi özel anahtara erişmeye çalıştığınızda BIR hata oluştu. Şifreleme modülünden döndürülen hata kodu 0x80090016 ' dir.

Neden

Istemci kullanıcı hesabının bir Microsoft Windows NT 4.0 etki alanında ise ve bunlar için bir Microsoft Windows XP Professional iş istasyonunda oturum açtıysanız, bu sorun oluşur. Veri koruma API (DPAPI) işlevi Windows XP sürümü, EFS özel anahtarları ve diğer güvenli olarak saklamak istediğiniz verileri korumanıza yardımcı olur. DPAPI kurtarma işlevselliğini, desteklenen Microsoft Windows NT 4.0 çalıştıran etki alanı üyesi olan kullanıcıların ve önceki değil.

Çözüm

Kullanıcıların parolalarını veya gezici profilleri kullandığınızda değiştirdikten sonra istemci sertifikası işlevine erişimi korumak için <a0></a0>, Active Directory dizin hizmeti için etki alanı yükseltme. Active Directory etki alanları, ortak/özel anahtar çifti ile DPAPI ana anahtar korunmasına yardımcı olan bir düzenek sağlar. (DPAPI ana anahtar EFS korumak için kullanılan özel anahtarları ve sertifika tabanlı levler.)

Bir Windows NT 4.0 etki alanında, iş istasyonunda erişim bir sertifika anahtarları ve verileri bir geri yükleme yeteneği bulunur. Bu durumda Microsoft Windows 2000 etki alanında değil. Kurtarma mekanizması iş istasyonunda bulunmadığından, iş istasyonu fiziksel tehlikeye atıldığında, Windows 2000 etki alanı bir önemli ek sertifikalar için bir koruma düzeyi sağlar.

DPAPI etki alanına kurtarma mekanizması olanaklarından yararlanacak şekilde tek bir etki alanı denetleyicisi yükseltme yeterlidir, ancak hataya dayanıklılık amacıyla en az iki etki alanı denetleyicilerini yükseltme göz önünde bulundurun.

Bu uygulamadan önce Active Directory planlamanız önerilir. Active Directory tasarımı hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Pratik Çözüm

Bu soruna geçici bir çözüm bulmak için <a0></a0>, Windows XP Service Pack 1 (SP1) veya daha sonra istemci iş istasyonunun yükleyin ve sonra da Windows 2000 davranış öykünmek için aşağıdaki kayıt defteri girdisini oluşturun.

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defterini yedekleme ve geri yükleme
Aşağıdaki adımları izleyin ve sonra da Kayıt Defteri Düzenleyicisi'nden çıkın:
  1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, regedit yazın ve Tamam ' ı tıklatın.
  2. Kayıt defterinde, aşağıdaki anahtarı bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. Düzen menüsünden Yeni ' nin üzerine gidin ve DWORD değeri ' ni tıklatın.
  4. MasterKeyLegacyNt4Domain yazın ve ENTER tuşuna basın.
  5. Düzen menüsünden Değiştir ' i tıklatın.
  6. 1 Yazın ve Tamam ' ı tıklatın.
Bu girdi oluşturduktan sonra istemci kullanıcı, bir Windows NT 4.0 etki alanının üyesi olup olmadığını belirler. Üye iseniz, Windows XP istemcisi Windows 2000 davranışı öykünmesine ve DPAPI değiştirilen parolaları erişimi olan kullanıcılar kendi anahtarlarını verin.

Not Kayıt defterini düzenleyerek bu soruna geçici çözüm, yalnızca kayıt defteri değişikliğini yapın zamandan Belirtiler bölümünde açıklanan davranışla değiştirin. Önce kayıt defterinde değişiklik yapılan parola değişiklikleri geri ve yine de, EFS dosyayı açtığınızda "erişim engellendi" hata iletisi alırsınız.

Önemli güvenlik üzerinde etkileri

Bu kayıt defteri girdisi önemli ölçüde kullanarak fiziksel olarak güvenliği aşılmış bir bilgisayarın güvenliğini azaltır. Bazı veya tüm EFS şifreli dosyaları ve herhangi bir saldırgan bilgisayara fiziksel erişimi olan erişemediğinden özel tuşlar Certificate.

Dosyalara parola değişikliği sonra Kurtarma

Sonra bir parola değişikliği tek bir iş istasyonunda <a1>sertifika</a1> işlevine erişimi yeniden elde etmek için <a0></a0>, dosyaları son şifrelenmiş nakledilirken kullanılan geri için parolayı parolayı değiştirin.

Not Bu adımları, yalnızca bilgisayarınıza oturum açmak için kullandığınız parolayı değiştirin. Etki alanı parolanızı değiştirmeyin.
  1. Geçerli parolalı kullanıcı olarak bilgisayarda oturum açın.
  2. Başlat ' ı tıklatın ve sonra Denetim Masası ' nı tıklatın.
  3. Kullanıcı hesapları ' nı çift tıklatın.
  4. Kullanıcı adı seçmek için tıklatın.
  5. Parola sıfırla ' yı tıklatın.
  6. Yeni parola</a1> metin kutusuna özgün parolanızı yazın ve sonra da Yeni Parolayı Onayla metin kutusuna parolayı yazın. Tamam ' ı tıklatın.
  7. Bilgisayarınızı yeniden başlatın.

Durum

Bu davranış tasarım yüzündendir.

Daha fazla bilgi

Bir Windows NT 4.0 etki alanının üyesi olan ve Windows XP çalıştıran bilgisayarlara oturum açan kullanıcılar bu makalenin "Belirtiler" bölümünde anlatılan davranışı uygulanır. Bir çalışma grubu veya bir Windows 2000 Active Directory etki alanının üyesi olan Windows XP Professional istemcilerine davranışını açıklaması bu makalede anlatılan önemli ölçüde farklıdır.

Windows XP'deki DPAPI hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Özel bir anahtarı veya EFS dosyalarını, erişim kaybı dahil olmak üzere, DPAPI sorunlarını giderme hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
309408Verileri sorun giderme koruma API (DPAPI)

Özellikler

Makale numarası: 331333 - Last Review: 14 Eylül 2007 Cuma - Gözden geçirme: 4.6
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows XP Professional Edition
Anahtar Kelimeler: 
kbmt kbprb KB331333 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:331333

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com