クライアントが Web サイトでクライアント証明書が必要な場合、または Windows Server 2003 で IAS を使用する場合に接続を確立できません。

文書翻訳 文書翻訳
文書番号: 933430
重要です レジストリを変更する方法についての情報を掲載しています。これを変更する前にレジストリのバックアップを作成することを確認してください。問題が発生した場合にレジストリを復元する方法を知っていることを確認してください。バックアップ、復元、およびレジストリを変更する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
256986 Microsoft Windows レジストリの説明」
すべて展開する | すべて折りたたむ

目次

現象

次のシナリオを検討してください。

シナリオ 1

  • セキュリティで保護されたソケット レイヤー (SSL) プロトコルを使用して、クライアント接続の暗号化には、Microsoft インターネット インフォメーション サービス (IIS) 6.0 Web サイトがあります。
  • は、 クライアント証明書を必要とします。 オプションを選択したは、 通信のセキュリティ保護します。 ダイアログ ボックスの WebSiteName プロパティ ダイアログ ボックスです。
このシナリオでは、次の現象が発生する可能性があります。
  • クライアントは、Web サイトに正常に接続できません。
  • 次の警告イベントは、Web サイトのホスト、Microsoft Windows Server 2003 ベースのコンピューターに記録されます。

    イベントの種類: 警告
    イベント ソース: Schannel
    イベント カテゴリ: なし
    イベント ID: 36885
    作成日: 日付
    時刻: 時間
    ユーザー:
    コンピューター: コンピューター名
    説明:クライアント認証を要求すると、このサーバーは信頼された証明機関の一覧をクライアントに送信します。クライアントはこの一覧を使用して、サーバーによって信頼されているクライアント証明書を選択します。現時点では、このサーバー一覧が長すぎる成長した非常に多くの証明機関を信頼しています。このリストはこのように切り捨てられました。このコンピューターの管理者する必要がありますクライアント認証用の信頼された証明機関を確認し、本当に信頼を付与する必要はありませんを削除します。

メモ 既定では、セキュリティで保護されたチャネル (Schannel) 警告のイベントは記録されません。Schannel イベント ログを構成する方法の詳細については、「関連情報」セクションを参照してください。

シナリオ 2

Microsoft インターネット認証サービス (ワイヤレス ネットワークの認証をサポートするために IAS) を実行している Microsoft Windows Server 2003 ベースのコンピューターを使用します。このシナリオでは、次の現象が発生する可能性があります。
  • IAS サーバーは、クライアントが正常に認証できません。したがって、ワイヤレス クライアント コンピューターにワイヤレス ネットワークが正常に接続できません。
  • 次のような警告イベントは、IAS サーバー上に記録されます。

    イベントの種類: 警告
    イベント ソース: IAS
    イベント カテゴリ: なし
    イベント ID: 2
    作成日: 日付
    時刻: 時間
    ユーザー:
    コンピューター: コンピューター名
    説明:Jsmith@contoso.com のユーザーは、アクセスが拒否されました。
    完全に修飾された-ユーザー名 CONTOSOS\jsmith =NAS IP アドレス 10.20.30.40 =
    NAS 識別子 = WL1234 1
    呼ばれるステーション Id 0016.462c.1650 =
    通話-ステーションの識別子 0012.f05b.a795 =
    クライアント フレンドリ名 = WL1234 1
    クライアント IP アドレス 10.20.30.40 =
    NAS のポート型ワイヤレス - IEEE 802.11 の =
    NAS ポート 10037 =プロキシ ポリシー名 = Windows 認証をすべてのユーザー
    認証プロバイダー Windows =
    認証サーバー =<undetermined> </undetermined>
    ポリシー名 = のワイヤレス ネットワークのアクセス ポリシー
    認証の種類の EAP =
    [EAP の種類 [スマート カードまたはその他の証明書を =
    理由コード 266 =
    理由 = 受信したメッセージが予期しない、または不適切な形式です。
    詳細については、http://go.microsoft.com/fwlink/events.asp のヘルプとサポート センターを参照してください。
    データ:0000: 26 03 09 80 &... でしょうか。

  • 次の警告イベントのようなイベントは、IAS サーバーに記録されます。

    イベントの種類: 警告
    イベント ソース: Schannel
    イベント カテゴリ: なし
    イベント ID: 36885
    作成日: 日付
    時刻: 時間
    ユーザー:
    コンピューター: コンピューター名
    説明:クライアント認証を要求すると、このサーバーは信頼された証明機関の一覧をクライアントに送信します。クライアントはこの一覧を使用して、サーバーによって信頼されているクライアント証明書を選択します。現時点では、このサーバー一覧が長すぎる成長した非常に多くの証明機関を信頼しています。このリストはこのように切り捨てられました。このコンピューターの管理者する必要がありますクライアント認証用の信頼された証明機関を確認し、本当に信頼を付与する必要はありませんを削除します。

メモ 既定では、セキュリティで保護されたチャネル (Schannel) 警告のイベントは記録されません。Schannel イベント ログを構成する方法の詳細については、「関連情報」セクションを参照してください。

原因

Web サーバーまたは IAS サーバーが信頼されたルート証明書のリスト内の複数のエントリが含まれる場合は、この問題が発生する可能性があります。次の条件に該当する場合は、サーバー信頼された証明機関の一覧をクライアントに送信します。
  • サーバーは、トランスポート層セキュリティ (TLS) を使用して/SSL プロトコル ネットワーク トラフィックを暗号化します。
  • クライアント証明書認証ハンドシェイク処理中に認証が必要です。
この一連の信頼された証明機関からクライアント証明書がサーバーで許可する機関を表します。サーバーが認証を受けるには、クライアントはルート証明書をサーバーの一覧から、証明書のチェーンに存在する証明書が必要です。

Schannel セキュリティ パッケージをサポートしている、信頼された証明書機関リストの最大サイズを中に 12,228 (0x3000) バイト数。

Schannel 信頼された証明機関の一覧をローカル コンピューターの信頼されたルート証明機関ストアを検索することによって作成されます。クライアント認証の目的で信頼されているすべての証明書が一覧に追加されます。このリストのサイズが 12,228 バイトを超えている場合は、警告イベント ID 36855 Schannel ログを記録します。Schannel は、信頼されたルート証明書の一覧が切り捨てられるそして、この切り捨てられたリストをクライアント コンピューターに送信します。

クライアント コンピューターの信頼されたルート証明書の切り捨てられたリストを受信すると、クライアント コンピューターは、信頼できる証明書発行者のチェーンに存在する証明書があります。たとえば、クライアント コンピューター証明書は信頼された証明機関の一覧から Schannel を切り捨て信頼されたルート証明書に対応しています必要があります。このため、IAS サーバーがクライアントを認証できません。

この修正プログラムは、Schannel セキュリティ バッファーを 16 k が増加します。この制限を超える場合は、この資料の「現象」に記載されている問題をも必要があります。この変更は Windows Server 2008 と Windows Server 2008 R2 に付属されています。次に示す回避策 Windows Server 2008 と Windows Server 2008 R2 にも適用されます。


解決方法

修正プログラムの情報

サポートされている修正プログラムがマイクロソフトから入手可能になりました。ただし、この資料に記載されている問題のみを修正するものです。この問題が発生しているシステムにのみ適用されます。この修正プログラムは、今後さらにテストが表示されます。したがって、この問題で深刻な影響をされていない場合は、この修正プログラムを含む次の Windows Server 2003 service pack のリリースを待つことをお勧めします。

この問題を解決するには、マイクロソフト カスタマー サポート サービス、修正プログラムを入手するに問い合わせてください。Microsoft カスタマー サポート サービスの電話番号とサポート コストに関する情報の完全な一覧については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support
メモ Microsoft Support 担当者が特定の更新で問題が解決されると判断した場合は特殊なケースでは、料金が通常のサポート免除されるキャンセルする可能性があります。追加の質問および問題の特定のアップデートの対象とならない問題、通常のサポート料金が適用されます。

前提条件

この修正プログラムを適用するには、Windows Server 2003 Service Pack 1 (SP1) または Windows Server 2003 Service Pack がインストールされて 2 (SP2) が必要です。Windows Server 2003 用の最新の service pack を入手する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
889100Windows Server 2003 用の最新の service pack を入手する方法

再起動の必要性

この修正プログラムを適用した後にコンピューターを再起動するとして必要。

修正プログラムの置き換えに関する情報

この修正プログラムは、他の修正プログラムに置き換えられない。

ファイル情報

この修正プログラムの英語版がファイル属性 (またはそれ以降のファイル属性) が、次のとおり。日付および時刻これらのファイルを世界協定時刻 (UTC) が表示されます。ファイル情報を表示すると、ローカル時刻に変換します。UTC とローカル時刻との時差を確認するを使用して、 タイム ゾーン タブには 日付と時刻 コントロール パネルの項目。
Windows Server 2003 sp1 の x86 ベースのバージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォーム
Schannel.dll5.2.3790.2971144,8962007 年 7 月 10 日17: 27x 86
Windows Server 2003 sp2 の x86 ベースのバージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォーム
Schannel.dll5.2.3790.4115147,4562007 年 7 月 10 日17: 51x 86
Windows Server 2003 SP1 と x64 ベースのバージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォームサービスの分岐
Schannel.dll5.2.3790.2971254,4642007 年 7 月 10 日03: 15x64該当なし
Wschannel.dll5.2.3790.2971144,8962007 年 7 月 10 日03: 15x 86WOW
Windows Server 2003 sp2 の x64 ベース バージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォームサービスの分岐
Schannel.dll5.2.3790.2971254,4642007 年 7 月 10 日03: 15x64該当なし
Wschannel.dll5.2.3790.2971144,8962007 年 7 月 10 日03: 15x 86WOW
Windows Server 2003 sp1 の Itanium ベースのバージョン
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォームサービスの分岐
Schannel.dll5.2.3790.2971466,4322007 年 7 月 10 日03: 16IA-64該当なし
Wschannel.dll5.2.3790.2971144,8962007 年 7 月 10 日03: 16x 86WOW
Windows Server 2003 sp2 の Itanium ベースのバージョン
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォームサービスの分岐
Schannel.dll5.2.3790.4115466,4322007 年 7 月 10 日03: 24IA-64該当なし
Wschannel.dll5.2.3790.4115147,4562007 年 7 月 10 日03: 24x 86WOW

回避策

この問題を回避するには、状況に応じて、以下の方法のいずれかを使用します。

方法 1: 信頼されたルート証明書を削除します。

いくつかの信頼されたルート証明書が使用されない場合は、Web サーバーまたは IAS サーバーから削除します。これを行うには、次の手順を実行します。
  1. クリックしてください。 開始をクリックして 実行、タイプ mmc、し [OK].
  2. で、 ファイル メニューをクリックして 追加またはスナップインの削除、し 追加.
  3. で、 [スタンドアロン スナップインの追加します。 ダイアログ ボックス、クリックして 証明書、し 追加.
  4. クリックしてください。 コンピューター アカウントをクリックして 次へ、し 終了日.
  5. クリックしてください。 閉じる、し [OK].
  6. 下にあります。 コンソール ルート Microsoft 管理コンソール (MMC) スナップインで展開します。 [証明書 (ローカル コンピューター)を展開 信頼されたルート証明機関、し 証明書.
  7. ない信頼されたルート証明書を削除します。これを行うには、[証明書] を右クリックしをクリックしてください 削除、し [はい] 証明書の削除を確認するには。
メモ Windows で必要なルート証明書があります。 詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
293781Windows Server 2003、Windows XP、および Windows 2000 に必要な信頼されたルート証明書

方法 2: ローカル コンピューターの信頼された証明機関の一覧を無視するのには、グループ ポリシーを構成します。

IAS サーバーまたは Web サーバーがドメインのメンバーで場合は、無視する、サーバー ポリシーを作成できますが、ローカル コンピューター上の信頼された証明機関の一覧。このポリシーを適用すると、影響を受けるサーバーとクライアントのみは、エンタープライズ ルート証明機関ストアに証明書を信頼します。したがって、個々 のコンピューターを変更する必要はありません。

メモ このメソッドは、すべてのクライアント コンピューターと同じ Active Directory ディレクトリ サービス ドメインの Active Directory フォレストからある場合のみに動作します。グループ ポリシーは、同じ Active Directory フォレスト内にないコンピューターには適用されません。

このポリシーを作成するには、次の手順を実行します。

手順 1: グループ ポリシー オブジェクトを作成します。

  1. ドメイン コント ローラーにログオンし、Active Directory ユーザーとコンピューター] ツールを起動します。これを行うをクリックしてください。 開始をクリックして 実行、タイプ 「dsa.msc」、し [OK].
  2. グループ ポリシー オブジェクトを構成し、クリックするコンテナーを右クリックします。 プロパティ.ドメイン コンテナーを右クリックしなど、組織単位 (ou) コンテナーを右クリックします。
  3. クリックして、 グループ ポリシー タブをクリックし 新しい.
  4. ポリシーのわかりやすい名前を入力し、ENTER キーを押します。
  5. クリックしてください。 編集 グループ ポリシー オブジェクト エディターを開始します。
  6. 展開 [コンピューターの構成を展開 [Windows の設定を展開 セキュリティの設定、し 公開キーのポリシー.
  7. 右クリックします。 信頼されたルート証明機関、し プロパティ.
  8. クリックしてください。 エンタープライズ ルート証明機関、し [OK].
  9. グループ ポリシー オブジェクト エディターを終了します。
  10. クリックしてください。 [OK] 閉じるには、 オブジェクト名 プロパティ ダイアログ ボックスです。

手順 2: ルート証明書が「信頼されたルート証明機関」証明書ストアに追加します。

  1. 該当するサーバーの [ローカル コンピューター] ストアからすべての必要なルート証明書をエクスポートします。これには、ルート証明書を内部証明機関 (Ca) とは、組織で必要な公共の証明機関のルート証明書が含まれます。
  2. ドメイン コント ローラーにログオンし、Active Directory ユーザーとコンピューター] ツールを起動します。
  3. 作成したグループ ポリシー オブジェクトを含むコンテナーを右クリックし、"ステップ 1: 作成する、グループ ポリシー オブジェクト"しをクリックして プロパティ.
  4. クリックして、 グループ ポリシー タブ、グループ ポリシー オブジェクトをクリックし、クリックしてください 編集.
  5. 展開 [コンピューターの構成を展開 [Windows の設定を展開 セキュリティの設定、し 公開キーのポリシー.
  6. 右クリックします。 ルート証明機関、し インポート.
  7. ルート証明書または手順 2a でエクスポートした証明書をインポートするのには証明書のインポート ウィザードの手順を実行します。
  8. グループ ポリシー オブジェクト エディターを終了します。
  9. クリックしてください。 [OK] 閉じるには、 オブジェクト名 プロパティ ダイアログ ボックスです。
メモ Windows で必要なルート証明書があります。作成したポリシーにこれらの証明書を追加する必要があります。 詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
293781Windows Server 2003、Windows XP、および Windows 2000 に必要な信頼されたルート証明書

方法 3: は、TLS/SSL ハンドシェイク処理中に信頼されたルート証明機関の一覧を送信するのには、Schannel を構成します。

警告 重大な問題、レジストリが誤ってをレジストリ エディターを使用して、または別の方法を使用して変更すると発生します。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証できません。お客様の責任においてレジストリを変更します。

サーバー上で IIS を実行して、IAS サーバーで、この問題が発生、次のレジストリ エントリを false に設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL


値の名前: SendTrustedIssuerList
値の種類: REG_DWORD
[値のデータ: 0 (False)
既定では、このエントリがレジストリにないです。既定では、この値を 1 (True) です。このレジストリ エントリは、サーバー信頼された証明機関の一覧をクライアントに送信するかどうかを制御するフラグを制御します。このレジストリ エントリを False に設定すると、サーバーは信頼された証明機関の一覧をクライアントに送信されません。この現象は、クライアント証明書の要求に応答する方法に影響可能性があります。Internet Explorer に対するクライアントの認証要求を受信した場合、たとえば、Internet Explorer が表示、クライアント証明書のみのいずれかのサーバーの一覧は、証明機関のチェーン表示します。ただし、サーバーが信頼された証明機関の一覧を送信しない場合は、Internet Explorer がクライアント コンピューターにインストールされているすべてのクライアント証明書が表示されます。

このレジストリ エントリを設定するには、次の手順を実行します。
  1. クリックしてください。 開始をクリックして 実行、タイプ レジストリ エディター、し [OK].
  2. 見つけて、次のレジストリ サブキー] をクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. で、 編集 メニューのポイント 新しい、し DWORD 値.
  4. 種類 SendTrustedIssuerListをクリックし、レジストリ エントリの名前には、ENTER キーを押します。
  5. 右クリックします。 SendTrustedIssuerList、し 変更.
  6. で、 [値のデータ ボックスの種類 0 値が表示、されず] をクリックし [OK].
  7. レジストリ エディターを終了します。
SCHANNEL レジストリ エントリの詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx

状況

マイクロソフトでは、この「対象」に記載されているマイクロソフト製品の問題として認識しています。

詳細

Windows Server 2003 は、ルート証明書を更新すると、Microsoft Windows Update Web サイトの信頼された証明機関の一覧を自動的に確認するように設計されています。ユーザーのプログラムによってその証明書が検証されると、Windows で適切なルート証明書がインストールされます。

メモ Windows Server 2003 では、証明機関の一覧 12,228 (0x3000) 以内にするバイト数。ルート証明書を更新すると、信頼された証明機関の一覧が大幅に向上させることができます。そのため、リストが長すぎますになることがあります。この例では、Windows、リストが切り詰められます。この現象は、認証に関する問題があります。このシナリオでは、「現象」に記載されている問題が発生する可能性があります。

Schannel イベント ログを構成する方法

警告 重大な問題、レジストリが誤ってをレジストリ エディターを使用して、または別の方法を使用して変更すると発生します。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証できません。お客様の責任においてレジストリを変更します。

警告イベントがシステム ログに記録する Schannel を構成するには、次のレジストリ エントリを設定します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


値の名前: EventLogging
値の種類: REG_DWORD
[値のデータ: 0x3
メモ 値は 0x3 の警告イベントとエラー イベントをログに記録する Schannel を構成します。

Schannel イベント ログを構成する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
260729Schannel イベントが IIS のログ収集を有効にする方法

関連情報

詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
931125Microsoft ルート証明書プログラムのメンバー (2007 年 1 月)
詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
814394EAP-TLS、EAP-TLS または PEAP を使用すると証明書の要件

プロパティ

文書番号: 933430 - 最終更新日: 2011年8月9日 - リビジョン: 5.0
キーワード:?
kberrmsg kbtshoot kbeventlog kbprb kbhotfixserver kbautohotfix kbmt KB933430 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:933430
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com