Cikk azonos�t�ja: 946401 - Utols� ellen�rz�s: 2008. �prilis 16. - Verzi�sz�m: 2.1

A PKI-objektumok h�l�zaton kereszt�li lek�r�se Windows Vista SP1 �s Windows Server 2008 rendszerben

A cikkben �rintett term�kek list�j�nak megtekint�se.

RendszertippA jelen cikk az �n �ltal haszn�ltt�l elt�r� oper�ci�s rendszerre vonatkozik. A cikk azon tartalmait, amelyek nem relev�nsak �nnek, letiltjuk.

Fontos: A cikk a be�ll�t�sjegyz�k (kor�bbi nev�n rendszerle�r� adatb�zis) m�dos�t�s�val is foglalkozik. A be�ll�t�sjegyz�kr�l m�dos�t�sa el�tt k�sz�tsen biztons�gi m�solatot, illetve gy�z�dj�n meg arr�l, hogy sz�ks�g eset�n helyre tudja �ll�tani azt. A be�ll�t�sjegyz�k biztons�gi ment�s�r�l, vissza�ll�t�s�r�l �s m�dos�t�s�r�l a Microsoft Tud�sb�zis al�bbi cikk�ben t�j�koz�dhat:

322756� (http://support.microsoft.com/kb/322756/ ) �tmutat�: A rendszerle�r� adatb�zis biztons�gi ment�se, szerkeszt�se �s vissza�ll�t�sa Windows XP �s Windows Server 2003 rendszerben

A lap tartalma

Az �sszes kibont�sa | Az �sszes �sszecsuk�sa

�sszefoglal�

A tan�s�tv�nyok el�r�si �tj�nak �rv�nyes�t�se sor�n Windows Vista Service Pack 1 (SP1) �s Windows Server 2008 rendszerben el�fordulhat, hogy az objektumok h�l�zatr�l val� lek�r�se tan�s�tv�nyok �s CRL list�k (visszavont tan�s�tv�nyok list�ja) form�j�ban t�rt�nik. A Windows Vista SP1 �s a Windows Server 2008 ezt az �j, h�l�zaton kereszt�li lek�r�st biztos�t� funkci�t a FILE, a HTTP �s az LDAP protokoll seg�ts�g�vel t�mogatja.

A nyilv�nos kulcsok infrastrukt�r�ja (PKI) objektumainak h�l�zaton kereszt�li lek�r�s�re vonatkoz� FILE protokoll alap�rtelmez�s szerint le van tiltva a h�l�zaton kereszt�li lek�r�si folyamat fokozott biztons�ga �rdek�ben. Az LDAP vagy a HTTP protokollt haszn�l�, h�l�zaton kereszt�li lek�r�si folyamat tov�bb� m�dosult Windows Vista SP1 �s Windows Server 2008 rendszerben. E v�ltoz�sokr�l b�vebben a jelen cikk tov�bbi inform�ci�kat tartalmaz� r�sz�ben olvashat.

A lap tetej�re

Tov�bbi inform�ci�

Figyelmeztet�s: A be�ll�t�sszerkeszt�vel (Rendszerle�r�adatb�zis-szerkeszt�) vagy m�s eszk�zzel helytelen�l m�dos�tott be�ll�t�sjegyz�k komoly probl�m�kat okozhat, amelyek ak�r az oper�ci�s rendszer �jratelep�t�s�t is sz�ks�gess� tehetik. A Microsoft nem garant�lja az ilyen jelleg� probl�m�k megoldhat�s�g�t, ez�rt a be�ll�t�sjegyz�ket csak saj�t felel�ss�g�re m�dos�thatja.

A lap tetej�re

A FILE protokollt haszn�l�, h�l�zaton kereszt�li lek�r�si folyamat v�ltoz�sai

A FILE protokollt haszn�l�, h�l�zaton kereszt�li lek�r�si folyamat alap�rtelmez�s szerint le van tiltva a tan�s�tv�nyokkal kapcsolatos m�veletek eset�ben. Ha enged�lyezni szeretn� ezt a szolg�ltat�st, k�vesse az al�bbi l�p�seket:

Kattintson a Start men� Futtat�s parancs�ra, �rja be a regedit parancsot, majd kattintson az OK gombra.
Keresse meg a k�vetkez� be�ll�t�skulcsot, majd kattintson r�:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Kattintson a jobb gombbal a Config elemre, mutasson az �j pontra, �s kattintson a Duplasz� parancsra.
�rja be az AllowFileUrlScheme �rt�ket, majd nyomja le az ENTER billenty�t.
Kattintson a jobb gombbal az AllowFileUrlScheme elemre, �s v�lassza a M�dos�t�s parancsot.
�rja be az �rt�k mez�be a 0x01 �rt�ket, majd kattintson az OK gombra.
Kattintson a F�jl men� Kil�p�s parancs�ra.

Ez a be�ll�t�s vissza�ll�tja a sz�m�t�g�pet a Windows XP SP2 �s a Windows Server 2003 SP1 rendszernek, illetve a Windows Vista eredeti kiad�s�nak megfelel� m�k�d�sre.

A lap tetej�re

Az LDAP protokollt haszn�l�, h�l�zati lek�r�si folyamat v�ltoz�sai

Windows Vista SP1 �s Windows Server 2008 rendszerben a PKI-�gyf�l alap�rtelmez�s szerint al��rja �s titkos�tja a PKI-objektumok minden LDAP-alap� adatforgalm�t. Ha tov�bb� a hiteles�t�sre csak a h�l�zati lek�r�shez van sz�ks�g, Kerberos-hiteles�t�s t�rt�nik. Tesztel�si c�lb�l �rdemes lehet Windows Vista SP1 �s Windows Server 2008 rendszerben az LDAP-alap� adatforgalmat al��r� �s titkos�t� funkci�t letiltani. Ehhez hajtsa v�gre az al�bbi l�p�seket:

Kattintson a Start men� Futtat�s parancs�ra, �rja be a regedit parancsot, majd kattintson az OK gombra.
Keresse meg a k�vetkez� be�ll�t�skulcsot, majd kattintson r�:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Kattintson a jobb gombbal a Config elemre, mutasson az �j pontra, �s kattintson a Duplasz� parancsra.
�rja be a DisableLDAPSignAndEncrypt �rt�ket, majd nyomja le az ENTER billenty�t.
Kattintson a jobb gombbal a DisableLDAPSignAndEncrypt elemre, �s v�lassza a M�dos�t�s parancsot.
�rja be az �rt�k mez�be a 0x01 �rt�ket, majd kattintson az OK gombra.
Kattintson a F�jl men� Kil�p�s parancs�ra.

A be�ll�t�s alkalmaz�sa ut�n a hiteles�t�shez NTLM- vagy Kerberos-hiteles�t� adatok haszn�latosak. A Sign �s az Encrypt jelz� tov�bb� m�r nincs be�ll�tva az LDAP-k�r�sekben. Ez a be�ll�t�s vissza�ll�tja a sz�m�t�g�pet a Windows XP SP2 �s a Windows Server 2003 SP1 rendszernek, illetve a Windows Vista eredeti kiad�s�nak megfelel� m�k�d�sre.

A lap tetej�re

A HTTP protokollt haszn�l�, h�l�zaton kereszt�li lek�r�si folyamat v�ltoz�sai

Windows Vista SP1 �s Windows Server 2008 rendszerbeli PKI-�gyf�l eset�n a HTTP protokollt haszn�l�, h�l�zaton kereszt�li lek�r�si folyamat csak a helyileg konfigur�lt proxyk eset�n v�gez hiteles�t�st. Az, hogy megt�rt�nik-e a hiteles�t�s, a proxy �ltal visszaadott hiba�zenett�l f�gg. Ha a proxy a k�vetkez�h�z hasonl� hiba�zenetet adja vissza, a hiteles�t�s megt�rt�nik:

HTTP 407: Proxyhiteles�t�s sz�ks�ges.

Ha a proxy a k�vetkez�h�z hasonl� hiba�zenetet adja vissza, a hiteles�t�s nem t�rt�nik meg:

HTTP 401: Hozz�f�r�s megtagadva.

Megjegyz�s: Ha proxyhiteles�t�sre van sz�ks�g, akkor a rendszer mind a Kerberos-, mind az NTLM-hiteles�t�st v�grehajtja.

Ha m�dos�tani szeretn� ezt az alap�rtelmezett viselked�st, k�vesse az al�bbi l�p�seket:

Kattintson a Start men� Futtat�s parancs�ra, �rja be a regedit parancsot, majd kattintson az OK gombra.
Keresse meg a k�vetkez� be�ll�t�skulcsot, majd kattintson r�:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Kattintson a jobb gombbal a Config elemre, mutasson az �j pontra, �s kattintson a Duplasz� parancsra.
�rja be az EnableInetUnknownAuth �rt�ket, majd nyomja le az ENTER billenty�t.
Kattintson a jobb gombbal az EnableInetUnknownAuth elemre, �s v�lassza a M�dos�t�s parancsot.
�rja be az �rt�k mez�be a 0x01 �rt�ket, majd kattintson az OK gombra.
Kattintson a F�jl men� Kil�p�s parancs�ra.

A be�ll�t�s alkalmaz�s�t k�vet�en a hiteles�t�s akkor is megt�rt�nik, ha a proxy �HTTP 401� kezdet� hiba�zenetet ad vissza. Ez a be�ll�t�s vissza�ll�tja a sz�m�t�g�pet a Windows XP SP2 �s a Windows Server 2003 SP1 rendszernek, illetve a Windows Vista eredeti kiad�s�nak megfelel� m�k�d�sre.

A lap tetej�re

A cikkben tal�lhat� inform�ci� a k�vetkez�(k)re vonatkozik:

Service Pack 1 szervizcsomag a Windows Vista rendszerhez
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard

A lap tetej�re

kbhowto kbinfo kbexpertiseinter KB946401

A lap tetej�re

A Microsoft tud�sb�zisban szolg�ltatott inform�ci�kat "az adott �llapotban", b�rminem� szavatoss�g vagy garancia n�lk�l biztos�tjuk. A Microsoft kiz�r mindennem�, ak�r kifejezett, ak�r v�lelmezett szavatoss�got vagy garanci�t, ide�rtve a forgalomk�pess�gre �s az adott c�lra val� alkalmass�gra vonatkoz� szavatoss�got is. A Microsoft Corporation �s annak besz�ll�t�i semmilyen k�r�lm�nyek k�z�tt nem felel�sek semminem� k�r�rt, �gy a k�zvetlen, a k�zvetett, az �zleti haszon elmarad�s�b�l sz�rmaz� vagy speci�lis k�rok�rt, illetve a k�r k�vetkezm�nyek�nt felmer�l� k�lts�gek megt�r�t�s��rt, m�g abban az esetben sem, ha a Microsoft Corporationt vagy besz�ll�t�it az ilyen k�rok bek�vetkezt�nek lehet�s�g�re figyelmeztett�k. Egyes �llamok joga nem teszi lehet�v� bizonyos k�rok�rt a felel�ss�g kiz�r�s�t vagy korl�toz�s�t, ez�rt a fenti korl�toz�sok az �n eset�ben esetleg nem alkalmazhat�k.