Beschreibung der Änderungen an den Netzwerkabruf von PKI-Objekten in Windows Vista Service Pack 1 und Windows Server 2008

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 946401 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Erstellen Sie eine Sicherung der Registrierung, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Während des Zertifikatpfads Windows Vista Service Pack 1 (SP1) und Windows Server 2008 möglicherweise Objekte wie z. B. Zertifikate abrufen und Zertifikatssperrlisten (CRLs) aus dem Netzwerk. Windows Vista SP1 und Windows Server 2008 unterstützen diese Netzwerkabruf-Funktionen mit das Dateiprotokoll, das HTTP-Protokoll und das LDAP-Protokoll.

Standardmäßig ist das Dateiprotokoll für den Netzwerkabruf von public Key Infrastructure (PKI)-Objekten zur Verbesserung der Sicherheit während der Netzwerkabrufprozess deaktiviert. Darüber hinaus ist der Netzwerkabrufprozess, die das LDAP-Protokoll oder das HTTP-Protokoll verwendet in Windows Vista SP1 und Windows Server 2008 geändert hat. Weitere Informationen zu diesen Änderungen finden Sie im Abschnitt "Weitere Informationen".

Weitere Informationen

Warnung Wenn Sie die Registrierung nicht ordnungsgemäß mithilfe von Registrierungs-Editor oder mithilfe einer anderen Methode ändern, können schwerwiegende Probleme auftreten. Diese Probleme erfordern möglicherweise eine Neuinstallation des Betriebssystems. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Sie ändern die Registrierung auf eigene Gefahr.

Hinweis Zertifizierungsstellen können weiterhin Pfade (Universal Naming Convention) zum Veröffentlichen von CRLs auf Netzwerkadressen verwenden. Dies kann nützlich sein, wenn die Netzwerkpfade als Web Server virtuelle Verzeichnisse, freigegeben sind, die Zugriff auf CRLs über HTTP zu ermöglichen.

Änderungen im Netzwerkabrufprozess, die das Dateiprotokoll

Standardmäßig ist der Netzwerkabrufprozess, die das Dateiprotokoll für Zertifikate betreffende Vorgänge deaktiviert. Wenn Sie dieses Feature aktivieren möchten, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ Regedit, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    HinweisSuchen Sie für 32-Bit-Anwendungen auf 64-Bit-Plattformen den folgenden Registrierungsunterschlüssel, und klicken Sie auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Mit der rechten Maustaste Config, zeigen Sie auf Neue, und klicken Sie dann auf DWORD-Wert.
  4. Typ AllowFileUrlScheme, und drücken Sie dann die EINGABETASTE.
  5. Mit der rechten Maustaste AllowFileUrlScheme, und klicken Sie dann auf Ändern.
  6. In der Wertdaten Geben Sie im Feld 0 x 01, und klicken Sie dann auf OK.
  7. Auf der Datei Menü, klicken Sie auf Beenden.
Diese Einstellung wird den Computer das Verhalten von Windows XP Service Pack 2 (SP2) von Windows Server 2003 SP1 und der veröffentlichten Version von Windows Vista zurückgesetzt.

Änderungen im Netzwerkabrufprozess mit das LDAP-Protokoll

Standardmäßig wird der PKI-Client in Windows Vista SP1 und Windows Server 2008 signiert und verschlüsselt den gesamten LDAP-Datenverkehr für PKI-Objekte. Darüber hinaus wird Authentifizierung nur für den Netzwerkabruf erforderlich ist, Kerberos-Authentifizierung ausgeführt. Möglicherweise möchten für Tests, deaktivieren Sie die Funktionalität in Windows Vista SP1 und in Windows Server 2008, das Signieren und Verschlüsseln des LDAP-Datenverkehr. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ Regedit, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    HinweisSuchen Sie für 32-Bit-Anwendungen auf 64-Bit-Plattformen den folgenden Registrierungsunterschlüssel, und klicken Sie auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Mit der rechten Maustaste Config, zeigen Sie auf Neue, und klicken Sie dann auf DWORD-Wert.
  4. Typ DisableLDAPSignAndEncrypt, und drücken Sie dann die EINGABETASTE.
  5. Mit der rechten Maustaste DisableLDAPSignAndEncrypt, und klicken Sie dann auf Ändern.
  6. In der Wertdaten Geben Sie im Feld 0 x 01, und klicken Sie dann auf OK.
  7. Auf der Datei Menü, klicken Sie auf Beenden.
Nachdem Sie diese Einstellung anwenden, werden entweder NTLM oder Kerberos-Anmeldeinformationen für die Authentifizierung verwendet. Darüber hinaus werden die Vorzeichen -Flag und das Verschlüsselungsflag nicht in die LDAP-Anforderungen festgelegt. Diese Einstellung wird der Computer das Verhalten von Windows XP SP2, Windows Server 2003 SP1 und der veröffentlichten Version von Windows Vista zurückgesetzt.

Änderungen im Netzwerkabrufprozess mit das HTTP-Protokoll

In der PKI-Client in Windows Vista SP1 und Windows Server 2008 führt der Netzwerkabrufprozess mit das HTTP-Protokoll Authentifizierung nur für die Proxies, die lokal konfiguriert sind. Ob Authentifizierung durchgeführt wird, hängt von der Fehlermeldung, die vom Proxy zurückgegeben wird. Wenn der Proxy die folgende Fehlermeldung zurückgibt, erfolgt die Authentifizierung:
HTTP 407: Proxyauthentifizierung erforderlich
Wenn der Proxy die folgende Fehlermeldung zurückgibt, wird keine Authentifizierung durchgeführt:
HTTP-Fehler 401: Zugriff verweigert
Hinweis Wenn Proxyauthentifizierung erforderlich ist, werden die Kerberos-Authentifizierung und NTLM-Authentifizierung durchgeführt.

Wenn Sie dieses Standardverhalten ändern möchten, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ Regedit, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

    HinweisSuchen Sie für 32-Bit-Anwendungen auf 64-Bit-Plattformen den folgenden Registrierungsunterschlüssel, und klicken Sie auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Mit der rechten Maustaste Config, zeigen Sie auf Neue, und klicken Sie dann auf DWORD-Wert.
  4. Typ EnableInetUnknownAuth, und drücken Sie dann die EINGABETASTE.
  5. Mit der rechten Maustaste EnableInetUnknownAuth, und klicken Sie dann auf Ändern.
  6. In der Wertdaten Geben Sie im Feld 0 x 01, und klicken Sie dann auf OK.
  7. Auf der Datei Menü, klicken Sie auf Beenden.
Nachdem Sie diese Einstellung übernommen, Authentifizierung durchgeführt, wenn der Proxy gibt eine "HTTP 401"-Fehlermeldung angezeigt. Diese Einstellung wird der Computer das Verhalten von Windows XP SP2, Windows Server 2003 SP1 und der veröffentlichten Version von Windows Vista zurückgesetzt.

Eigenschaften

Artikel-ID: 946401 - Geändert am: Freitag, 15. März 2013 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Vista Service Pack 1
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbexpertiseinter kbhowto kbinfo kbmt KB946401 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 946401
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com