如果您需要在網站上的用戶端憑證,或者您在 Windows Server 2003 中使用 IAS 的用戶端無法進行連線

文章翻譯 文章翻譯
文章編號: 933430 - 檢視此文章適用的產品。
重要本文包含有關如何修改登錄的資訊。請確定您在修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
256986Microsoft Windows 登錄的描述
全部展開 | 全部摺疊

在此頁中

徵狀

請考慮下列案例。

案例 1

  • 您必須使用安全通訊端層 (SSL) 通訊協定來加密用戶端連線的 Microsoft 網際網路資訊服務 (IIS) 6.0 網站。
  • WebSiteName 屬性] 對話方塊的 [安全通訊] 對話方塊中,會選取 需要用戶端憑證] 選項。
在這種情況下您可能會遇到下列徵狀:
  • 用戶端無法成功地連線至網站。
  • 下列的 「 警告 」 事件被記錄在主控網站之 Microsoft Windows Server 2003 的電腦上:

    事件類型: 警告
    事件來源: Schannel
    事件類別: 無
    事件識別碼: 36885
    Date: date
    Time: time
    使用者:
    電腦: COMPUTERNAME
    描述: 當要求用戶端驗證,此伺服器傳送受信任的憑證授權單位清單給用戶端。用戶端使用此清單來選擇伺服器所信任的用戶端憑證。目前,這台伺服器信任許多憑證授權單位清單增長太長。因此已截斷此清單。這台電腦的系統管理員應該檢閱受信任的用戶端驗證的憑證授權單位,並移除那些不真正需要被信任。

附註根據預設值,不會記錄安全通道 (Schannel) 警告事件。如需有關如何設定 Schannel 事件的記錄功能請參閱 < 其他資訊 > 一節。

案例 2

您使用 Microsoft Windows Server 2003 的電腦正在執行 Microsoft [網際網路驗證服務 (IAS)] 若要支援驗證的無線網路。在這種情況下您可能會遇到下列徵狀:
  • IAS 伺服器無法通過驗證用戶端。 因此,無線用戶端電腦無法連線到無線網路成功。
  • 在 IAS 伺服器上記錄了類似下列的警告事件:

    事件類型: 警告
    事件來源: IAS
    事件類別: 無
    事件識別碼: 2
    Date: date
    Time: time
    使用者:
    電腦: COMPUTERNAME
    描述: 使用者 jsmith@contoso.com 被拒絕存取。
    完全-限定-使用者名稱 = CONTOSOS\jsmith NAS IP 位址 = 10.20.30.40
    NAS 識別項 = WL1234 1
    呼叫站識別碼 = 0016.462c.1650
    呼叫站識別碼 = 0012.f05b.a795
    用戶端易記名稱 = WL1234 1
    用戶端 IP 位址 = 10.20.30.40
    NAS 連接埠類型 = IEEE 802.11 無線-
    NAS 連接埠 = 10037 Proxy-原則名稱 = 對所有使用者使用 Windows 驗證
    驗證提供者 = Windows
    驗證伺服器 = <undetermined>
    原則名稱 = 無線網路存取原則
    驗證類型 = EAP
    EAP 類型 = 智慧卡或其他憑證
    原因代碼 = 266
    原因 = 收到的訊息已未預期的或格式錯誤。
    如需詳細資訊請 http://go.microsoft.com/fwlink/events.asp 在參閱 [說明及支援中心]。
    資料: 0000: 26 03 09 80 (& I)..嗎?

  • 在 IAS 伺服器上可能會記錄類似下列的 「 警告 」 事件的事件:

    事件類型: 警告
    事件來源: Schannel
    事件類別: 無
    事件識別碼: 36885
    Date: date
    Time: time
    使用者:
    電腦: COMPUTERNAME
    描述: 當要求用戶端驗證,此伺服器傳送受信任的憑證授權單位清單給用戶端。用戶端使用此清單來選擇伺服器所信任的用戶端憑證。目前,這台伺服器信任許多憑證授權單位清單增長太長。因此已截斷此清單。這台電腦的系統管理員應該檢閱受信任的用戶端驗證的憑證授權單位,並移除那些不真正需要被信任。

附註根據預設值,不會記錄安全通道 (Schannel) 警告事件。如需有關如何設定 Schannel 事件的記錄功能請參閱 < 其他資訊 > 一節。

發生的原因

如果 Web 伺服器或 IAS 伺服器包含受信任的根憑證清單中的許多項目,可能就會發生這個問題。如果下列情況成立,則伺服器會傳送給用戶端的受信任的憑證授權單位清單:
  • 伺服器會使用傳輸層安全性 (TLS) / SSL 通訊協定加密網路流量。
  • 用戶端憑證所需的驗證信號交換過程的驗證。
這份信任的憑證授權單位清單代表伺服器可接受用戶端憑證授權單位。若要能通過伺服器驗證,用戶端必須是根憑證伺服器的清單中的憑證鏈結中的憑證。

受信任的憑證授權單位清單 Schannel 安全性封裝所支援的最大大小是 12,228 (0x3000) 的目前,位元組。

Schannel 會藉由搜尋本機電腦上的 [受信任的根憑證授權] 存放區建立信任的憑證授權單位的清單。每個受信任用戶端驗證用途的憑證新增到清單。如果此清單的大小超過 12,228 位元組,Schannel 記錄警告事件識別碼 36855。然後,Schannel 截斷的受信任的根憑證清單,並將此截斷的清單傳送到用戶端電腦。

當用戶端電腦接收受信任的根憑證截斷的清單時,用戶端電腦可能沒有存在於受信任的憑證發行者鏈結的憑證。比方說用戶端電腦可能會有對應至 Schannel 截斷的受信任的憑證授權單位清單中的受信任的根憑證的憑證。因此,IAS 伺服器無法驗證用戶端。

解決方案

Hotfix 資訊

一個支援的 Hotfix 現在已可從 Microsoft取得。不過,它只修正本文中所述此問題。請只在發生此特定問題的系統上套用。此 Hotfix 可能會接受其他測試。因此,如果您不會嚴重影響這個問題,我們建議您等候下一個的 Windows Server 2003 Service Pack 包含此 Hotfix。

如果要立即解決這個問題,請聯絡 Microsoft 客戶支援服務 」,以取得該 Hotfix。如需 Microsoft 客戶支援服務電話號碼及支援成本的相關資訊的完整清單,請造訪下列 Microsoft 網站]:
http://support.microsoft.com/contactus/?ws=support
附註 在特殊情況下通常會因支援電話所產生的費用可能就不收取如果 Microsoft 支援人員認為某特定更新程式可以解決您的問題。平常的支援成本將會套用到其他支援問題是所做不限定特定有問題的更新程式。

必要條件

若要將這個 Hotfix 您必須 Windows Server 2003 Service Pack 1 (SP1) 或 Windows Server 2003 Service Pack 2 (SP2) 安裝在電腦上。如需有關如何取得最新的 Service Pack 的 Windows Server 2003 的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
889100如何取得最新的 Service Pack 的 Windows Server 2003

重新啟動需求

您必須套用此 Hotfix 之後重新啟動電腦。

Hotfix 取代資訊

此 Hotfix 不會取代任何其他的 Hotfix。

檔案資訊

此 Hotfix 的英文版在檔案屬性 (或更新版本的檔案屬性) 如下列表格中所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用在 [日期及時間 中項目控制台中的 [時區] 索引標籤]。
Windows Server 2003 x x86 版本有了 SP1 之後
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Schannel.dll5.2.3790.2971144,8962007 年七月 10 日17: 27x86
x x86 版本與 SP2 的 Windows Server 2003
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Schannel.dll5.2.3790.4115147,4562007 年七月 10 日17: 51x86
x x64 版 SP1 的 Windows Server 2003
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台服務分支
Schannel.dll5.2.3790.2971254,4642007 年七月 10 日03: 15x64不適用
Wschannel.dll5.2.3790.2971144,8962007 年七月 10 日03: 15x86
x x64 版 SP2 的 Windows Server 2003
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台服務分支
Schannel.dll5.2.3790.2971254,4642007 年七月 10 日03: 15x64不適用
Wschannel.dll5.2.3790.2971144,8962007 年七月 10 日03: 15x86
Windows Server 2003 SP1 的 Itanium 架構版本
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台服務分支
Schannel.dll5.2.3790.2971466,4322007 年七月 10 日03: 16IA 64不適用
Wschannel.dll5.2.3790.2971144,8962007 年七月 10 日03: 16x86
Windows Server 2003 SP2 的 Itanium 架構版本
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台服務分支
Schannel.dll5.2.3790.4115466,4322007 年七月 10 日03: 24IA 64不適用
Wschannel.dll5.2.3790.4115147,4562007 年七月 10 日03: 24x86

其他可行方案

如果要解決這個問題,請根據您的情況使用下列方法之一。

方法 1: 移除某些受信任的根憑證

如果部分受信任的根憑證沒有使用您環境中移除它們從 Web 伺服器或從 IAS 伺服器。要這麼做,請您執行下列步驟:
  1. 按一下 [開始],再按一下 [執行]、 輸入 mmc,] 然後再按一下 [確定]
  2. 在 [檔案] 功能表上按一下 [新增/移除嵌入式管理單元,然後按一下 [新增]。
  3. 新增獨立嵌入式管理單元 新檔] 對話方塊按一下 [憑證],然後再按一下 [新增]。
  4. 按一下 [電腦帳戶],按一下 [下一步],然後再按一下 [完成]
  5. 按一下 [關閉],然後再按一下 [確定]
  6. 在 [主控台根目錄] 在 Microsoft 管理主控台 (MMC) 嵌入式管理單元,展開 [憑證 (本機電腦)],展開 [受信任的根憑證授權單位,然後再按一下 [憑證]。
  7. 移除不需要有受信任的根憑證。若要執行此動作憑證上按一下滑鼠右鍵、 按一下 [刪除],然後按一下 [是] 以確認移除的憑證]。
附註有一些所需的 Windows 的根憑證。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
293781所需透過 Windows Server 2003,Windows XP 以及 Windows 2000 受信任的根憑證

方法 2: 設定群組原則 」 來略過的本機電腦上的受信任的憑證授權單位清單

如果 IAS 伺服器或 Web 伺服器是網域的成員,您可以建立原則來導致伺服器忽略本機電腦上的受信任的憑證授權單位清單。當您套用此原則時,受影響的伺服器和用戶端只信任企業根憑證授權單位存放區中的憑證。因此,您沒有修改個別的電腦。

附註只有在所有用戶端電腦都從同一個 Active Directory 目錄服務網域或 Active Directory 樹系使用這個方法。群組原則不會套用至不在同一個 Active Directory 樹系的電腦。

若要建立此原則,請依照下列步驟執行。

步驟 1: 建立群組原則] 物件

  1. 登入網域控制站,然後再啟動 [Active Directory 使用者及電腦] 工具。如果要執行這項操作,請按一下 [開始],按一下 [執行]、 輸入 dsa.msc,然後再按一下 [確定]]。
  2. 用滑鼠右鍵按一下您想要設定群組原則] 物件的容器,然後按一下 [內容]。比方說用滑鼠右鍵按一下 [網域] 容器或組織單位容器上按一下滑鼠右鍵。
  3. 按一下 [群組原則] 索引標籤,然後按一下 [新增]
  4. 輸入該原則的描述性名稱,然後按下 ENTER。
  5. 按一下 [編輯] 以啟動 [群組原則物件編輯器]]。
  6. 展開 [電腦設定],展開 [Windows 設定]、 展開 [安全性設定,然後再按一下 [公開金鑰原則]。
  7. 用滑鼠右鍵按一下 [受信任的根憑證授權單位,然後按一下 [內容]。
  8. 按一下 [企業根憑證授權單位,然後按一下 [確定]
  9. 結束 「 群組原則物件編輯器 」。
  10. 按一下 [確定] 以關閉 [ObjectName 內容] 對話方塊。

步驟 2: 新增至 「 信任的根憑證授權 」 憑證存放區的根憑證

  1. 從本機電腦存放區的適當的伺服器,匯出任何所需的根憑證。這包括內部憑證授權單位 (CA) 的根憑證以及貴公司需要的公用憑證授權單位的根憑證。
  2. 登入網域控制站,然後再啟動 [Active Directory 使用者及電腦] 工具。
  3. 用滑鼠右鍵按一下包含您在建立 [群組原則物件的容器 」 步驟 1: 建立一個群組原則] 物件 」 區段,然後按一下 [內容
  4. 按一下 [群組原則] 索引標籤,按一下 [群組原則] 物件,然後再按一下 [編輯
  5. 展開 [電腦設定],展開 [Windows 設定]、 展開 [安全性設定,然後再按一下 [公開金鑰原則]。
  6. 用滑鼠右鍵按一下 [受信任的根憑證授權單位的 然後按一下 [匯入]。
  7. 請依照 [憑證匯入精靈] 來匯入根憑證或您在步驟 2a 中匯出的憑證。
  8. 結束 「 群組原則物件編輯器 」。
  9. 按一下 [確定] 以關閉 [ObjectName 內容] 對話方塊。
附註有一些所需的 Windows 的根憑證。您必須將這些憑證新增至您建立的原則。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
293781所需透過 Windows Server 2003,Windows XP 以及 Windows 2000 受信任的根憑證

方法 3: 設定 Schannel 不再傳送在 TLS/SSL 信號交換過程中的 [受信任的根憑證授權單位清單

警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能需要重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。

在執行 IIS 的伺服器或在 IAS 伺服器在其中,您遇到這個問題會設定為 false 下列的登錄項目:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL


數值名稱: SendTrustedIssuerList
實值型別: REG_DWORD
值的資料: 0 (假)
預設情況下,此項目不被列在登錄中。預設情況下,此值為 1 (True)。 此登錄項目控制旗標,控制伺服器是否傳送至用戶端的受信任的憑證授權單位清單。當您將此登錄項目設定為 False 時,伺服器不會傳送受信任的憑證授權單位清單給用戶端。這種行為可能會影響用戶端回應憑證要求的方式。例如,如果 Internet Explorer 收到用戶端驗證的要求,Internet Explorer 會從伺服器清單中的憑證授權單位鏈中顯示只出現在用戶端憑證。不過,如果伺服器不會傳送受信任的憑證授權單位清單,Internet Explorer 會顯示安裝在用戶端電腦的所有用戶端憑證。

若要設定此登錄項目,請依照下列步驟執行:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並點選下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. 在 [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]。
  4. 鍵入 SendTrustedIssuerList,並按 ENTER 來命名登錄項目。
  5. SendTrustedIssuerList,] 上按一下滑鼠右鍵,然後按一下 [修改]
  6. 數值資料] 方塊中鍵入 0,如果沒有已經顯示該值,再按 [確定]
  7. 結束登錄編輯程式。
如需 SCHANNEL 登錄項目有關的詳細資訊,請造訪下列 Microsoft 網站]:
http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。

其他相關資訊

Windows Server 2003 的設計被為了更新根憑證時,自動檢查在 Microsoft Windows Update 網站上的受信任的憑證授權單位清單。然後,Windows 安裝適當的根憑證,該憑證驗證使用者的程式之後。

附註在 Windows Server 2003 憑證授權單位清單不能超過 12,228 (0x3000) 個位元組。當您更新的根憑證時,受信任的憑證授權單位清單可能會明顯增加。因此,清單可能會變得太長。在這種情況下 Windows 會截斷清單。這種行為可能會導致授權的問題。在這種情況下也可能會遇到 < 徵狀 > 一節所述的問題。

如何設定 Schannel 事件的記錄

警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能需要重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。

若要進行 Schannel 警告事件記錄在系統記錄檔中設定下列登錄項目:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


數值名稱: EventLogging
實值型別: REG_DWORD
值的資料: 0x3
附註0x3 的值會將設定 Schannel 記錄警告事件和錯誤事件。

如如何設定的更多有關 Schannel 事件的記錄功能,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
260729如何啟用 Schannel 事件記錄在 IIS 中

?考

如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
931125Microsoft 的根憑證程式成員 (2007 年一月)
如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
814394使用 EAP-TLS 使用 EAP TLS 或 PEAP 時憑證需求

屬性

文章編號: 933430 - 上次校閱: 2007年10月11日 - 版次: 3.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
關鍵字:?
kbmt kbautohotfix kbeventlog kbtshoot kberrmsg kbprb KB933430 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:933430
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com