Klien tidak dapat mengotentikasi dengan Server setelah Anda mendapatkan sertifikat baru untuk menggantikan sertifikat kadaluarsa pada Server

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 822406 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

GEJALA

Setelah Anda mengganti sertifikat kadaluarsa dengan sertifikat baru pada server yang menjalankan Microsoft Internet Authentication Service (IAS) atau Routing dan akses jauh, klien yang memiliki Extensible otentikasi protokol-Transport Layer Security (EAP TLS) dikonfigurasi untuk verifikasi sertifikat server tidak lagi dapat mengotentikasi dengan server. Ketika Anda melihat log sistem di Peraga Peristiwa pada komputer klien, acara berikut akan ditampilkan:

Jenis peristiwa: kesalahan
Sumber peristiwa: Schannel
Kategori peristiwa: tidak ada
Event ID: 36876
Tanggal: tanggal
Waktu: waktu
User: N/A
Komputer: ComputerName
Keterangan: Sertifikat yang diterima dari server jauh telah tidak divalidasi dengan benar. Kode kesalahan adalah 0x80090328.

Jika Anda mengaktifkan verbose logging pada server yang menjalankan IAS atau Routing dan akses jauh (sebagai contoh, dengan menjalankan netsh ras mengatur kalkir * mengaktifkan perintah), informasi yang mirip dengan berikut ini ditampilkan dalam berkas Rastls.log yang dihasilkan ketika seorang klien mencoba untuk melakukan otentikasi.

Catatan Jika Anda menggunakan IAS sebagai Radius server untuk otentikasi, Anda melihat perilaku ini di IAS server. Jika Anda menggunakan Routing dan akses jauh, dan Routing dan akses jauh dikonfigurasi untuk Windows otentikasi (tidak Radius otentikasi), Anda melihat perilaku ini pada server Routing dan akses jauh.
1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK will not be ignored

[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE will not be ignored

[1072] 15:47:57:280: The root cert will not be checked for revocation

[1072] 15:47:57:280: The cert will be checked for revocation

[1072] 15:47:57:280: 

[1072] 15:47:57:280: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:280: >> Received Response (Code: 2) packet: Id: 11, Length: 25, Type: 0, TLS blob length: 0. Flags: 

[1072] 15:47:57:280: EapTlsSMakeMessage

[1072] 15:47:57:280: EapTlsReset

[1072] 15:47:57:280: State change to Initial

[1072] 15:47:57:280: GetCredentials

[1072] 15:47:57:280: The name in the certificate is: server.example.com

[1072] 15:47:57:312: BuildPacket

[1072] 15:47:57:312: << Sending Request (Code: 1) packet: Id: 12, Length: 6, Type: 13, TLS blob length: 0. Flags: S

[1072] 15:47:57:312: State change to SentStart

[1072] 15:47:57:312: 

[1072] 15:47:57:312: EapTlsEnd(Example\client)

[1072] 15:47:57:312: 

[1072] 15:47:57:312: EapTlsEnd(Example\client)

[1072] 15:47:57:452: 

[1072] 15:47:57:452: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:452: >> Received Response (Code: 2) packet: Id: 12, Length: 80, Type: 13, TLS blob length: 70. Flags: L

[1072] 15:47:57:452: EapTlsSMakeMessage

[1072] 15:47:57:452: MakeReplyMessage

[1072] 15:47:57:452: Reallocating input TLS blob buffer

[1072] 15:47:57:452: SecurityContextFunction

[1072] 15:47:57:671: State change to SentHello

[1072] 15:47:57:671: BuildPacket

[1072] 15:47:57:671: << Sending Request (Code: 1) packet: Id: 13, Length: 1498, Type: 13, TLS blob length: 3874. Flags: LM

[1072] 15:47:57:702: 

[1072] 15:47:57:702: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:702: >> Received Response (Code: 2) packet: Id: 13, Length: 6, Type: 13, TLS blob length: 0. Flags: 

[1072] 15:47:57:702: EapTlsSMakeMessage

[1072] 15:47:57:702: BuildPacket

[1072] 15:47:57:702: << Sending Request (Code: 1) packet: Id: 14, Length: 1498, Type: 13, TLS blob length: 0. Flags: M

[1072] 15:47:57:718: 

[1072] 15:47:57:718: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:718: >> Received Response (Code: 2) packet: Id: 14, Length: 6, Type: 13, TLS blob length: 0. Flags: 

[1072] 15:47:57:718: EapTlsSMakeMessage

[1072] 15:47:57:718: BuildPacket

[1072] 15:47:57:718: << Sending Request (Code: 1) packet: Id: 15, Length: 900, Type: 13, TLS blob length: 0. Flags: 

[1072] 15:48:12:905: 

[1072] 15:48:12:905: EapTlsMakeMessage(Example\client)

[1072] 15:48:12:905: >> Received Response (Code: 2) packet: Id: 15, Length: 6, Type: 13, TLS blob length: 0. Flags: 

[1072] 15:48:12:905: EapTlsSMakeMessage

[1072] 15:48:12:905: MakeReplyMessage

[1072] 15:48:12:905: SecurityContextFunction

[1072] 15:48:12:905: State change to SentFinished. Error: 0x80090318

[1072] 15:48:12:905: Negotiation unsuccessful

[1072] 15:48:12:905: BuildPacket

[1072] 15:48:12:905: << Sending Failure (Code: 4) packet: Id: 15, Length: 4, Type: 0, TLS blob le

PENYEBAB

Masalah ini dapat terjadi jika semua kondisi berikut ini benar:
  • IAS atau Routing dan akses jauh server adalah anggota domain, tapi sertifikat otomatis permintaan fungsi (autoenrollment) tidak dikonfigurasi dalam domain. Atau, IAS atau Routing dan akses jauh server yang bukan anggota domain.
  • Anda secara manual meminta dan menerima sertifikat baru untuk server IAS atau Routing dan akses jauh.
  • Anda tidak mengeluarkan sertifikat kadaluarsa dari server IAS atau Routing dan akses jauh.
Jika sertifikat kadaluarsa hadir pada IAS atau Routing dan akses jauh server bersama dengan sertifikat baru yang sah, otentikasi klien tidak berhasil. "Kesalahan 0x80090328" hasil yang ditampilkan dalam Log Peristiwa pada komputer klien sesuai dengan "Sertifikat kadaluarsa."

TEKNIK PEMECAHAN MASALAH

Untuk mengatasi masalah ini, Hapus (arsip) sertifikat kadaluarsa. Untuk melakukannya, ikuti langkah berikut:
  1. Buka konsol manajemen Microsoft (MMC) snap-in di mana Anda mengelola sertifikat toko di IAS server. Jika Anda tidak memiliki snap-in MMC untuk melihat toko sertifikat dari, membuat satu. Untuk melakukannya:
    1. Klik Mulai, klik Menjalankan, jenis MMC dalam Terbuka kotak, dan kemudian klik Oke.
    2. Pada Konsol menu ( File Klik menu pada Windows Server 2003), Tambah/Hapus Snap-in, lalu klik Tambahkan.
    3. Dalam Tersedia Standalone Snap-in Daftar, klik Sertifikat, klik Tambahkan, klik Account komputer, klik Berikutnya, lalu klik Menyelesaikan.

      Catatan Anda juga dapat menambahkan sertifikat snap-in untuk account pengguna dan untuk account layanan untuk MMC snap-in.
    4. Klik Tutup, lalu klik Oke.
  2. Di bawah Konsol Root, klik Sertifikat (komputer lokal).
  3. Pada Lihat menu, klik Pilihan.
  4. Klik untuk memilih Sertifikat Arsip Periksa kotak, dan kemudian klik Oke.
  5. Memperluas Pribadi, lalu klik Sertifikat.
  6. Klik kanan kedaluwarsa sertifikat digital (arsip), klik Hapus, lalu klik Ya untuk mengkonfirmasi penghapusan sertifikat kadaluarsa.
  7. Keluar dari MMC snap-in. Anda tidak harus me-restart komputer atau layanan untuk menyelesaikan prosedur ini.

INFORMASI LEBIH LANJUT

Microsoft menganjurkan bahwa Anda mengkonfigurasi permintaan sertifikat otomatis untuk memperbarui sertifikat digital di organisasi Anda. Untuk informasi tambahan tentang sertifikat autoenrollment di Windows XP, kunjungi Website Microsoft berikut:
http://technet.Microsoft.com/en-us/library/bb456981.aspx

Properti

ID Artikel: 822406 - Kajian Terakhir: 05 Oktober 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Kata kunci: 
kbprb kbpending kbbug kbmt KB822406 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:822406

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com