Klienty nelze ověřit se server po získat nový certifikát pro nahrazení neplatných certifikátů na serveru

Překlady článku Překlady článku
ID článku: 822406 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Po vypršení certifikát nahradit nový certifikát na serveru je spuštěna Internetová Authentication Service (IAS) nebo směrování a vzdálený přístup, klienti, kteří mají Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) nakonfigurován ověřit certifikát serveru již ověřovat se serverem. Při zobrazení systémového protokolu v prohlížeči událostí v klientském počítači je zobrazen následující událost:

Typ události: Chyba
Zdroj události: Schannel
Kategorie události: žádný
ID události: 36876
Date: date
Time: time
User: N/A
Počítač: computername
Popis: Tento certifikát přijatý ze vzdáleného serveru nebyl správně ověřen. Kód chyby je 0x80090328.

Pokud povolení podrobného protokolování na serveru se službou IAS nebo směrování a vzdálený přístup (například spuštěním netsh ras set tracing * povolit příkaz), zobrazí se informace podobná následující v souboru Rastls.log generovaných při klient se pokusí o ověření.

Poznámka: Pokud používáte IAS jako RADIUS server pro ověřování, viz toto chování na serveru IAS. Pokud používáte směrování a vzdálený přístup a směrování a vzdálený přístup je nakonfigurována ověřování systému Windows (nikoli ověřování RADIUS), viz toto chování na serveru pro směrování a vzdálený přístup.
1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK will not be ignored

[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE will not be ignored

[1072] 15:47:57:280: The root cert will not be checked for revocation

[1072] 15:47:57:280: The cert will be checked for revocation

[1072] 15:47:57:280: 

[1072] 15:47:57:280: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:280: >> Received Response (Code: 2) packet: Id: 11, Length: 25, Type: 0, TLS blob length: 0. Flags: 

[1072] 15:47:57:280: EapTlsSMakeMessage

[1072] 15:47:57:280: EapTlsReset

[1072] 15:47:57:280: State change to Initial

[1072] 15:47:57:280: GetCredentials

[1072] 15:47:57:280: The name in the certificate is: server.example.com

[1072] 15:47:57:312: BuildPacket

[1072] 15:47:57:312: << Sending Request (Code: 1) packet: Id: 12, Length: 6, Type: 13, TLS blob length: 0. Flags: S

[1072] 15:47:57:312: State change to SentStart

[1072] 15:47:57:312: 

[1072] 15:47:57:312: EapTlsEnd(Example\client)

[1072] 15:47:57:312: 

[1072] 15:47:57:312: EapTlsEnd(Example\client)

[1072] 15:47:57:452: 

[1072] 15:47:57:452: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:452: >> Received Response (Code: 2) packet: Id: 12, Length: 80, Type: 13, TLS blob length: 70. Flags: L

[1072] 15:47:57:452: EapTlsSMakeMessage

[1072] 15:47:57:452: MakeReplyMessage

[1072] 15:47:57:452: Reallocating input TLS blob buffer

[1072] 15:47:57:452: SecurityContextFunction

[1072] 15:47:57:671: State change to SentHello

[1072] 15:47:57:671: BuildPacket

[1072] 15:47:57:671: << Sending Request (Code: 1) packet: Id: 13, Length: 1498, Type: 13, TLS blob length: 3874. Flags: LM

[1072] 15:47:57:702: 

[1072] 15:47:57:702: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:702: >> Received Response (Code: 2) packet: Id: 13, Length: 6, Type: 13, TLS blob length: 0. Flags: 

[1072] 15:47:57:702: EapTlsSMakeMessage

[1072] 15:47:57:702: BuildPacket

[1072] 15:47:57:702: << Sending Request (Code: 1) packet: Id: 14, Length: 1498, Type: 13, TLS blob length: 0. Flags: M

[1072] 15:47:57:718: 

[1072] 15:47:57:718: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:718: >> Received Response (Code: 2) packet: Id: 14, Length: 6, Type: 13, TLS blob length: 0. Flags: 

[1072] 15:47:57:718: EapTlsSMakeMessage

[1072] 15:47:57:718: BuildPacket

[1072] 15:47:57:718: << Sending Request (Code: 1) packet: Id: 15, Length: 900, Type: 13, TLS blob length: 0. Flags: 

[1072] 15:48:12:905: 

[1072] 15:48:12:905: EapTlsMakeMessage(Example\client)

[1072] 15:48:12:905: >> Received Response (Code: 2) packet: Id: 15, Length: 6, Type: 13, TLS blob length: 0. Flags: 

[1072] 15:48:12:905: EapTlsSMakeMessage

[1072] 15:48:12:905: MakeReplyMessage

[1072] 15:48:12:905: SecurityContextFunction

[1072] 15:48:12:905: State change to SentFinished. Error: 0x80090318

[1072] 15:48:12:905: Negotiation unsuccessful

[1072] 15:48:12:905: BuildPacket

[1072] 15:48:12:905: << Sending Failure (Code: 4) packet: Id: 15, Length: 4, Type: 0, TLS blob le

Příčina

Tomuto problému může dojít, pokud jsou splněny následující podmínky:
  • Server IAS nebo směrování a vzdálený přístup je členem domény, ale funkce požadavky automatických certifikátů (automatický zápis) není nakonfigurován v doméně. Nebo server IAS nebo směrování a vzdálený přístup není členem domény.
  • Ručně vyžádat a přijímat nový certifikát serveru IAS nebo směrování a vzdálený přístup.
  • Neodebírejte platností certifikát ze serveru IAS nebo směrování a vzdálený přístup.
Pokud existuje prošlé certifikát na serveru IAS nebo směrování a vzdálený přístup společně s nový platný certifikát ověření klienta neproběhne úspěšně. "Chyba 0x80090328" výsledek, který je zobrazen v protokolu událostí v počítači klienta odpovídá "Certifikát neplatné"

Jak potíže obejít

Tento problém vyřešit, odeberte platností (archivovaných) certifikátu. Postupujte takto:
  1. Otevřete modul snap-in konzola Microsoft Management Console (MMC) kde spravovat úložiště certifikátů na serveru IAS. Pokud již nemáte modulu snap-in konzoly MMC zobrazit úložiště certifikátů z, vytvořit. Postup:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz mmc a potom klepněte na tlačítko OK.
    2. V nabídce Konzola (nabídka soubor v systému Windows Server 2003) klepněte na tlačítko grafem.@je snap-in a potom klepněte na tlačítko Přidat.
    3. V seznamu Dostupné samostatné moduly snap in klepněte na tlačítko certifikáty, klepněte na tlačítko Přidat, klepněte na účet počítače, klepněte na tlačítko Další a potom klepněte na tlačítko Dokončit.

      Poznámka: Můžete také přidat modul snap-in Certifikáty pro uživatelský účet a účet služby tento snap-in.
    4. Klepněte na tlačítko Zavřít a potom klepněte na tlačítko OK.
  2. Ve skupinovém rámečku Kořen konzoly klepněte na tlačítko certifikáty (místní).
  3. V nabídce Zobrazit klepněte na tlačítko Možnosti.
  4. Zaškrtněte políčko archivované certifikáty a potom klepněte na tlačítko OK.
  5. Rozbalte osobní a pak klepněte na položku certifikáty.
  6. Klepněte pravým tlačítkem myši platností (archivovaných) digitální certifikát, klepněte na tlačítko Odstranit a klepněte na tlačítko Ano potvrďte odebrání platností certifikát.
  7. Ukončete modul snap-in. Muset restartovat počítač nebo žádné služby k dokončení tohoto postupu.

Další informace

Společnost Microsoft doporučuje konfigurovat automatické žádosti o obnovení digitálních certifikátů v organizaci certifikát. Další informace o automatický zápis certifikátů v systému Windows XP naleznete na následujícím webu:
http://technet.microsoft.com/en-us/library/bb456981.aspx

Vlastnosti

ID článku: 822406 - Poslední aktualizace: 2. listopadu 2007 - Revize: 7.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
Klíčová slova: 
kbmt kbprb kbpending kbbug KB822406 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:822406

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com