Klienti nemůže navázat připojení, pokud požadujete certifikáty klientů na webovém serveru, nebo pokud používáte služby IAS v systému Windows Server 2003

Překlady článku Překlady článku
ID článku: 933430 - Produkty, které se vztahují k tomuto článku.
Důležité Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem obnovení registru v případě, že nastane problém. Další informace o zálohování, obnovení a úpravě registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Zvažte následující scénáře.

Situace 1

  • Máte-li Internetová informační služba (IIS) 6.0 webový server používající protokol protokol SSL (Secure Sockets Layer) (SSL) k zašifrování připojení klientů.
  • V dialogovém okně Zabezpečená komunikace v dialogovém okně vlastnosti WebSiteName je vybrána možnost Vyžadovat klientské certifikáty.
V tomto scénáři můžete zaznamenat následující příznaky:
  • Klienti se nemohou připojit k webu úspěšně.
  • Je zaznamenána následující událost upozornění počítači se systémem Microsoft Windows Server 2003, který je hostitelem webového serveru:

    Typ události: upozornění
    Zdroj události: Schannel
    Kategorie události: žádný
    ID události: 36885
    Date: date
    Time: time
    UŽIVATEL:
    Počítač: COMPUTERNAME
    Popis: Pokud se žádá o ověření klienta, tento server odešle seznam důvěryhodných certifikačních úřadů klientovi. Klient používá pro tento seznam zvolte klientským certifikátem, který je důvěryhodný server. Tento server v současnosti důvěřuje tolik certifikačních úřadů seznamu vzrostla příliš dlouhý. Tento seznam byla proto zkrácena. Správce tohoto počítače by měl zkontrolovat certifikační úřady důvěryhodné pro ověřování klientů a odeberte ty, které skutečně nemusí být důvěryhodný.

Poznámka: Ve výchozím nastavení nejsou protokolována varování Secure Channel (Schannel). Další informace o tom, jak konfigurovat protokolování pro události Schannel, naleznete v části "Další informace".

Scénář 2

Je-li použít počítač systémem Microsoft Windows Server 2003, ve kterém běží Microsoft služby ověřování v Internetu) tak, aby podporoval ověřování pro bezdrátovou síť. V tomto scénáři můžete zaznamenat následující příznaky:
  • IAS server nelze úspěšně ověřovat klienty. Tedy klientských počítačů bezdrátové sítě nelze připojit k bezdrátové síti úspěšně.
  • Na serveru IAS zaznamenána událost typu upozornění, která se podobá následující:

    Typ události: upozornění
    Zdroj události: služby IAS
    Kategorie události: žádný
    ID události: 2
    Date: date
    Time: time
    UŽIVATEL:
    Počítač: COMPUTERNAME
    Popis: Jsmith@contoso.com uživateli byl odepřen přístup.
    Plně kvalifikované User-Name = CONTOSOS\jsmith NAS-IP-address = 10.20.30.40
    NAS-Identifier = WL1234 1
    Názvem Station-Identifier = 0016.462c.1650
    Volací stanice identifikátor = 0012.f05b.a795
    Klient Friendly-Name = WL1234 1
    Adresa IP klienta = 10.20.30.40
    NAS-Port-Type = Wireless - IEEE 802.11
    NAS-Port = 10037 proxy--název zásady = použít ověřování systému Windows pro všechny uživatele
    Zprostředkovatel ověřování = Windows
    Server ověřování = <undetermined>
    Název zásady = Access zásada bezdrátové sítě
    Typ ověřování = EAP
    Typ EAP Karta Smart Card nebo jiný certifikát =
    Kód příčiny = 266
    Z důvodu = byla zprávě přijaté neočekávané nebo chybně formátované.
    Další informace získáte v Centru pro nápovědu a podporu na webu http://go.microsoft.com/fwlink/events.asp.
    Data: 0000: 26 03 09 80 &..?

  • Na serveru IAS může být zaznamenána událost podobná následující událost upozornění:

    Typ události: upozornění
    Zdroj události: Schannel
    Kategorie události: žádný
    ID události: 36885
    Date: date
    Time: time
    UŽIVATEL:
    Počítač: COMPUTERNAME
    Popis: Pokud se žádá o ověření klienta, tento server odešle seznam důvěryhodných certifikačních úřadů klientovi. Klient používá pro tento seznam zvolte klientským certifikátem, který je důvěryhodný server. Tento server v současnosti důvěřuje tolik certifikačních úřadů seznamu vzrostla příliš dlouhý. Tento seznam byla proto zkrácena. Správce tohoto počítače by měl zkontrolovat certifikační úřady důvěryhodné pro ověřování klientů a odeberte ty, které skutečně nemusí být důvěryhodný.

Poznámka: Ve výchozím nastavení nejsou protokolována varování Secure Channel (Schannel). Další informace o tom, jak konfigurovat protokolování pro události Schannel, naleznete v části "Další informace".

Příčina

K těmto potížím dochází, pokud webový server nebo IAS server obsahuje mnoho položek v seznamu důvěryhodných kořenových certifikačních. Server odešle klientovi seznam důvěryhodných certifikačních úřadů, pokud jsou splněny následující podmínky:
  • Server používá Transport Layer Security (TLS) / protokol SSL k zašifrování provoz v síti.
  • Klientské certifikáty jsou požadovány pro ověřování během procesu ověřování handshake.
Tento seznam důvěryhodných certifikačních úřadů představuje orgány, ze kterého může server přijmout klientský certifikát. Ověření na server, klient musí mít certifikát, který se nachází v řetězu certifikátů kořenového certifikátu ze seznamu serveru.

V současné době maximální velikost seznamu Důvěryhodné certifikační orgány, který podporuje balíček zabezpečení Schannel je 12,228 (0x3000) bajtů.

Schannel vytvoří seznam důvěryhodných certifikačních úřadů hledáním v úložišti důvěryhodných kořenových certifikačních úřadů v místním počítači. Každý certifikát, který je důvěryhodný pro účely ověření klienta je přidán do seznamu. Pokud velikost tohoto seznamu přesáhne 12,228 bajtů, protokoluje Schannel upozornění ID události 36855. Potom Schannel zkrátí seznam důvěryhodných kořenových certifikátů a odešle tento zkrácený seznam do klientského počítače.

Klientský počítač obdrží zkrácený seznam důvěryhodných kořenových certifikátů, nesmí mít klientský počítač certifikát, který existuje v řetězci důvěryhodným certifikátem vystavitele. Klientský počítač může například obsahovat certifikát, který odpovídá důvěryhodného kořenového certifikátu, který Schannel zkrácen ze seznamu důvěryhodných certifikačních úřadů. Proto IAS server nemůže ověřit klienta.

Řešení

Informace o opravě hotfix

Společnost Microsoft nyní nabízí podporovanou opravu hotfix. Ta je však určena pouze k odstranění problému popsaného v tomto článku. Tuto opravu použijte pouze u systémů, ve kterých dochází k popsanému problému. Tato oprava hotfix může být dále testována. Pokud vás tedy uvedený problém příliš neobtěžuje, doporučujeme, abyste počkali na další aktualizaci Windows Server 2003 Service Pack, která bude tuto opravu hotfix obsahovat.

Potřebujete-li odstranit tento problém okamžitě, obraťte se na technickou podporu společnosti Microsoft, kde můžete tuto opravu hotfix získat. Úplný seznam telefonních čísel služeb technické podpory společnosti Microsoft a informace o cenách podpory naleznete na následujícím webu společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support
Poznámka: Poplatky, které je třeba obvykle zaplatit za telefonní hovory, mohou být stornovány, jestliže pracovník technické podpory společnosti Microsoft zjistí, že oznámený problém lze vyřešit konkrétní aktualizací. Další dotazy a žádosti o odbornou pomoc, které se netýkají této zvláštní opravy, podléhají běžným sazbám za poskytnutí odborné pomoci.

Požadavky

Chcete-li nainstalovat tuto opravu hotfix, musíte mít systém Windows Server 2003 Service Pack 1 (SP1) nebo Windows Server 2003 Service Pack 2 (SP2) v počítači nainstalována.Další informace o získání nejnovější aktualizace Service Pack pro systém Windows Server 2003 naleznete v následujícím článku databáze Microsoft Knowledge Base:
889100Jak získat nejnovější aktualizaci Service Pack pro systém Windows Server 2003

Požadavek na restartování

Bude nutné po instalaci této opravy hotfix restartovat počítač.

Informace o nahrazení opravy hotfix

Tato oprava Hotfix nenahrazuje žádné další opravy Hotfix.

INFORMACE O SOUBORECH

Anglická verze této opravy hotfix má následující (nebo pozdější) atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Pokud zobrazíte informace o souboru, bude převedena na místní čas. Rozdíl mezi místním časem a UTC časem kartě časové pásmo v položce datum a čas v Ovládacích panelech.
Windows Server 2003 x 86 s aktualizací SP1
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatforma
Schannel.dll5.2.3790.2971144,89610. Července 200717: 27X86
Windows Server 2003 x 86 s aktualizací SP2
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatforma
Schannel.dll5.2.3790.4115147,45610. Července 200717: 51X86
Windows Server 2003 x 64 s aktualizací SP1
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatformaSložka služby
Schannel.dll5.2.3790.2971254,46410. Července 200703: 15X64Nelze použít
Wschannel.dll5.2.3790.2971144,89610. Července 200703: 15X86WOW
Windows Server 2003 x 64 s aktualizací SP2
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatformaSložka služby
Schannel.dll5.2.3790.2971254,46410. Července 200703: 15X64Nelze použít
Wschannel.dll5.2.3790.2971144,89610. Července 200703: 15X86WOW
Windows Server 2003 s aktualizací SP1 pro počítače s procesory Itanium
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatformaSložka služby
Schannel.dll5.2.3790.2971466,43210. Července 200703: 16IA-64Nelze použít
Wschannel.dll5.2.3790.2971144,89610. Července 200703: 16X86WOW
Windows Server 2003 s aktualizací SP2 pro počítače s procesory Itanium
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název souboruVerze souboruVelikost souboruDatumČasPlatformaSložka služby
Schannel.dll5.2.3790.4115466,43210. Července 200703: 24IA-64Nelze použít
Wschannel.dll5.2.3790.4115147,45610. Července 200703: 24X86WOW

Jak potíže obejít

Problém můžete vyřešit pomocí některé z následujících metod (podle konkrétní situace).

Metoda 1: Odebrat některé důvěryhodné kořenové certifikáty

Pokud některé z důvěryhodných kořenových certifikátů se nepoužívají ve vašem prostředí, odeberte je ze serveru WWW nebo ze serveru IAS. Postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmc a klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na příkaz Přidat nebo odebrat modul snap-in a klepněte na příkaz Přidat.
  3. V dialogovém okně Přidat samostatný modul snap-in klepněte na tlačítko certifikáty a potom klepněte na tlačítko Přidat.
  4. Klepněte na účet počítače, klepněte na tlačítko Další a potom klepněte na tlačítko Dokončit.
  5. Klepněte na tlačítko Zavřít a pak klepněte na tlačítko OK.
  6. Pod Kořen konzoly v modulu snap-in konzola Microsoft Management Console (MMC) rozbalte certifikáty (místní), rozbalte Důvěryhodné kořenové certifikační úřady a potom klepněte na tlačítko certifikáty.
  7. Odebrat důvěryhodné kořenové certifikáty, které nemají mít. Chcete-li to provést, klepněte pravým tlačítkem myši na certifikát, klepněte na tlačítko Odstranit a klepnutím na tlačítko Ano potvrďte odebrání osvědčení.
Poznámka: Existují některé kořenové certifikáty vyžadované v systému Windows. Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
293781Důvěryhodné kořenové certifikáty vyžadované v systému Windows Server 2003, Windows XP a Windows 2000

Metoda 2: Konfigurace Zásady skupiny ignorovat seznam důvěryhodných certifikačních úřadů v místním počítači

Pokud IAS server nebo server WWW je členem domény, můžete vytvořit zásadu způsobit ignorovat serveru seznam důvěryhodných certifikačních úřadů v místním počítači. Ovlivněné servery a klienty jsou důvěřovat pouze certifikáty v úložišti certifikačním úřadům rozsáhlé sítě, použijete-li tato zásada. Proto nemáte upravit jednotlivé počítače.

Poznámka: Tato metoda funguje pouze v případě, že všechny klientské počítače jsou ze stejné doméně adresáře služby Active Directory nebo doménové struktuře služby Active Directory. Zásady skupiny není použito u počítačů, které nejsou ve stejné doménové struktuře služby Active Directory.

Chcete-li vytvořit tuto zásadu, postupujte takto.

Krok 1: Vytvoření objektu Zásady skupiny

  1. Přihlaste se k řadiči domény a potom spusťte nástroj Active Directory uživatelé a počítače. Chcete-li to provést, klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte dsa.msc a potom klepněte na tlačítko OK.
  2. Klepněte pravým tlačítkem myši na kontejner, ve kterém chcete nakonfigurovat objekt Zásady skupiny a potom klepněte na příkaz Vlastnosti. Například klepněte pravým tlačítkem myši na kontejner domény, nebo klepněte pravým tlačítkem myši na kontejner organizační jednotky.
  3. Klepněte na kartu Zásady skupiny a poté klepněte na tlačítko Nový.
  4. Zadejte popisný název zásady a stiskněte klávesu ENTER.
  5. Klepněte na tlačítko Upravit spusťte Editor objektu Zásady skupiny.
  6. Rozbalte uzel Konfigurace počítače, rozbalte Nastavení systému Windows, rozbalte položku Nastavení zabezpečení a potom klepněte na položku Zásady veřejných klíčů.
  7. Klepněte pravým tlačítkem myši na položku Důvěryhodné kořenové certifikační úřady a potom klepněte na příkaz Vlastnosti.
  8. Klepněte na tlačítko Certifikačním úřadům rozsáhlé sítě a klepněte na tlačítko OK.
  9. Ukončete program Editor objektu Zásady skupiny.
  10. Klepnutím na tlačítko OK zavřete dialogové okno vlastnosti ObjectName.

Krok 2: Přidání kořenových certifikátů do úložiště "Důvěryhodné kořenové certifikační úřady" certifikát

  1. Exportovat všechny potřebné kořenové certifikáty z úložiště místního počítače odpovídající serveru. To zahrnuje kořenové certifikáty pro interní certifikační úřady (CÚ) a kořenové certifikáty pro veřejné certifikační úřady, které vaše organizace vyžaduje.
  2. Přihlaste se k řadiči domény a potom spusťte nástroj Active Directory uživatelé a počítače.
  3. Klepněte pravým tlačítkem myši na kontejner obsahující objekt Zásady skupiny, který jste vytvořili v "Krok 1: vytvořit objekt Zásady skupiny" části a potom klepněte na příkaz Vlastnosti.
  4. Klepněte na kartu Zásady skupiny, klepněte na objekt Zásady skupiny a potom klepněte na tlačítko Upravit.
  5. Rozbalte uzel Konfigurace počítače, rozbalte Nastavení systému Windows, rozbalte položku Nastavení zabezpečení a potom klepněte na položku Zásady veřejných klíčů.
  6. Důvěryhodné kořenové certifikační úřady ' pravým tlačítkem myši a potom klepněte na tlačítko Importovat.
  7. Postupujte podle pokynů Průvodce importem certifikátů k importu kořenového certifikátu nebo certifikáty, které jste exportovali v kroku 2a.
  8. Ukončete program Editor objektu Zásady skupiny.
  9. Klepnutím na tlačítko OK zavřete dialogové okno vlastnosti ObjectName.
Poznámka: Existují některé kořenové certifikáty vyžadované v systému Windows. Tyto certifikáty musíte přidat zásadu, která jste vytvořili. Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
293781Důvěryhodné kořenové certifikáty vyžadované v systému Windows Server 2003, Windows XP a Windows 2000

Metoda 3: Konfigurace Schannel během procesu ověření typu handshake TLS/SSL již odeslat seznamu důvěryhodných kořenových certifikačních úřadů

Upozornění Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Na serveru se spuštěnou službou IIS, nebo na serveru IAS, kdy k tomuto problému dochází nastavte následující položku registru na hodnotu false:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL


Název hodnoty: SendTrustedIssuerList
Typ hodnoty: REG_DWORD
Hodnota dat: 0 (NEPRAVDA)
Ve výchozím nastavení tato položka není uveden v registru. Ve výchozím nastavení tato hodnota je 1 (PRAVDA). Tato položka registru řídí příznak, který určuje, zda server odešle klientovi seznam důvěryhodných certifikačních úřadů. Nastavíte-li tuto položku registru na hodnotu FALSE, neodešle server klientovi seznam důvěryhodných certifikačních úřadů. Toto chování může ovlivnit jak klient odpovídá na žádosti o certifikát. Například pokud aplikace Internet Explorer obdrží žádost o ověření klienta, zobrazí aplikace Internet Explorer pouze klientské certifikáty, které se zobrazují v řetězci certifikačních úřadů, které jsou v seznamu ze serveru. Pokud server neodesílá seznam důvěryhodných certifikačních úřadů, zobrazí aplikace Internet Explorer všechny klientské certifikáty, které jsou nainstalovány v počítači klienta.

Chcete-li nastavit tuto položku registru, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a pak klepněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. V nabídce Úpravy přejděte na příkaz Nový a potom klepněte na příkaz Hodnota DWORD.
  4. Zadejte SendTrustedIssuerList a potom stisknutím klávesy ENTER potvrďte název položky registru.
  5. Klepněte pravým tlačítkem myši na SendTrustedIssuerList a potom klepněte na příkaz změnit.
  6. Do pole Údaj hodnoty zadejte hodnotu 0, pokud již tato hodnota není zobrazena a klepněte na tlačítko OK.
  7. Ukončete program Editor registru.
Další informace o položce registru SCHANNEL navštivte následující web společnosti Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.

Další informace

Windows Server 2003 je navržena tak, aby při aktualizaci kořenové certifikáty automaticky prohlédněte si seznam důvěryhodných certifikačních úřadů na webu Microsoft Windows Update. Potom instalace systému Windows vhodné kořenový certifikát po ověření tohoto certifikátu je programem uživatele.

Poznámka: V systému Windows Server 2003, seznam certifikačních úřadů nesmí být delší než 12,228 (0x3000) bajtů. Při aktualizaci kořenové certifikáty může výrazně zvětšit seznam důvěryhodných certifikačních úřadů. Proto v seznamu se může stát příliš dlouhý. V tomto případě Windows zkrátí seznamu. Toto chování může způsobit problémy s autorizací. V tomto scénáři může docházet problém popsaný v části "Příznaky".

Konfigurace protokolování pro události Schannel

Upozornění Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Chcete-li nakonfigurovat Schannel Protokolovat upozornění události do systémového protokolu, nastavte následující položku registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


Název hodnoty: EventLogging
Typ hodnoty: REG_DWORD
Hodnota dat: 0x3
Poznámka: Hodnota 0x3 konfiguruje Schannel protokolovat události upozornění a chybové události.

Další informace o konfiguraci protokolování pro události Schannel, naleznete následujících článku znalostní báze Microsoft Knowledge Base:
260729Postup při povolení protokolování ve službě IIS Schannel událostí

Odkazy

Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
931125Členové programu Microsoft kořenových certifikátů (leden 2007)
Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
814394Certifikační požadavky při použití protokolu EAP-TLS nebo PEAP s protokolem EAP-TLS

Vlastnosti

ID článku: 933430 - Poslední aktualizace: 11. října 2007 - Revize: 3.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Klíčová slova: 
kbmt kbautohotfix kbeventlog kbtshoot kberrmsg kbprb KB933430 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:933430

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com