文章編號: 331333 - 上次校閱: 2007年9月14日 - 版次: 4.6

使用者無法存取憑證的功能在密碼變更後,或使用漫遊設定檔時

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

徵狀

當使用者嘗試使用憑證的功能,他們變更其密碼後,或當他們使用漫遊設定檔,他們可能無法存取此憑證的功能。憑證可能無法運作和以前一樣的功能包括下列項目:
  • 存取加密的檔案以加密的檔案系統 (EFS)
  • 存取需要憑證驗證的安全網頁
  • 簽章電子郵件與安全/多用途網際網路郵件延伸 (S/MIME)
當他們嘗試存取安全的 Web 站台時,會記錄下列的錯誤訊息:
Schannel 事件: 36870
當您嘗試存取 SSL 用戶端認證私用金鑰時,就會發生嚴重錯誤。 從密碼編譯模組傳回的錯誤碼為 0x80090016。
回此頁最上方

發生的原因

只有如果用戶端使用者帳戶是在 Microsoft Windows NT 4.0 網域中,且他們登入 Microsoft Windows XP 工作站,就會發生這個問題。Windows XP 版本的資料保護 API (DPAPI) 函式可協助保護 EFS 私密金鑰,以及其他您想要保留安全的資料。DPAPI 的復原功能不支援執行 Microsoft Windows NT 4.0 的網域成員的使用者及較早。
回此頁最上方

解決方案

若要維護用戶端憑證存取功能使用者變更其密碼後,或使用漫遊設定檔時升級網域到 Active Directory 目錄服務。使用中的目錄網域提供可以協助保護公用/私人金鑰組 DPAPI 主要金鑰的機制。(DPAPI 主要金鑰用來幫助保護 EFS 私密金鑰與其他憑證為主的功能)

在 Windows NT 4.0 網域中能夠還原憑證金鑰和資料存取位於工作站上。這不是在 Microsoft Windows 2000 網域中的大小寫。因為復原機制不位於工作站,Windows 2000 網域會提供憑證保護的重大額外層級,如果工作站實際入侵。

雖然只需要升級以利用 DPAPI 網域修復機制的單一網域控制站,請考慮升級至少兩個網域控制站,供容錯之用。

強烈建議您規劃 Active Directory 之前您實作。如需有關 Active Directory 設計的詳細資訊,請造訪下列 Microsoft 網站 (英文):
http://technet.microsoft.com/en-us/library/bb727085.aspx (http://technet.microsoft.com/en-us/library/bb727085.aspx)
回此頁最上方

其他可行方案

如果要解決這個問題,安裝 Windows XP Service Pack 1 (SP1) 或稍後用戶端的工作站,並建立下列登錄項目,若要模擬 Windows 2000 行為。

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄
請遵循這些步驟,然後結束 「 登錄編輯程式 」:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並按一下登錄中的下列機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. 在 [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]。
  4. 鍵入 MasterKeyLegacyNt4Domain,並按下 ENTER。
  5. 編輯] 功能表上按一下 [修改]。
  6. 輸入 1,然後按一下 [確定]
建立此項目之後,用戶端會決定是否使用者是 Windows NT 4.0 網域的成員。如果是成員 Windows XP 用戶端會模擬 Windows 2000 的行為,並 DPAPI 將提供具有已變更的密碼存取權的使用者及其索引鍵。

附註如果您藉由編輯登錄解決這個問題,只會變更您進行變更登錄的時間從 < 徵狀 > 一節中所描述的行為。任何密碼所做的任何變更之前所登錄的變更都無法復原,您仍然會開啟 EFS 檔案時收到 「 拒絕存取 」 錯誤訊息。
回此頁最上方

重要的安全性含意

大幅使用此登錄項目將會減少實體遭入侵的電腦的安全性。具有電腦的實體存取權攻擊者可能存取某些或所有 EFS 加密檔案和任何憑證在其上的私密金鑰。
回此頁最上方

密碼變更之後復原檔案的存取權限

密碼變更後,重新取得存取權憑證的功能在個別工作站上,請回到上一次加密檔案時所使用的密碼變更密碼。

附註這些步驟只會變更您用來登入您的電腦的密碼。它們並不會變更您的網域密碼。
  1. 目前的密碼具有使用者登入電腦。
  2. 按一下 [開始],然後再按一下 [控制台]
  3. 連按兩下 [使用者帳戶]。
  4. 按一下以選取您的使用者名稱。
  5. 按一下 [重設密碼]。
  6. 在 [新密碼] 文字方塊中輸入您的原始密碼,並 確認新密碼] 文字方塊中鍵入密碼。按一下 [確定]
  7. 重新啟動電腦。
回此頁最上方

狀況說明

這種行為是經過設計規劃的。
回此頁最上方

其他相關資訊

本文的 < 徵狀 > 一節所述的行為只適用於的使用者是誰 Windows NT 4.0 網域的成員和誰登入執行 Windows XP 的電腦。Windows 2000 正在使用中目錄網域或工作群組的成員的 Windows XP 用戶端行為明顯不同於本文中描述。

如需有關 Windows XP 中的 DPAPI 的詳細資訊,請造訪下列 Microsoft 網站]:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx (http://msdn2.microsoft.com/en-us/library/ms995355.aspx)
如更多有關疑難排解 DPAPI 問題包括存取私用金鑰或 EFS 檔案遺失按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
309408? (http://support.microsoft.com/kb/309408/ ) 疑難排解資料保護 API (DPAPI)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional
回此頁最上方
關鍵字:?
kbmt kbprb KB331333 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:331333? (http://support.microsoft.com/kb/331333/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。