فشل اتصال TLS بين النظراء الاتصالات الموحدة بإنشاء وجود تحذير القناة

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية2464556
الأعراض
كل من التطبيقات التالية لا يمكن إنشاء اتصال أمن طبقة نقل (TLS) مع النظير الاتصالات الموحدة (UC) للتطبيق:
  • خادم Microsoft Exchange
  • خادم اتصالات Microsoft Office
  • مايكروسوفت الاتصال العميل
  • عميل Microsoft Office 2007 الاجتماع مباشرة
  • Microsoft Lync Server
  • عميل Microsoft Lync
بالإضافة إلى ذلك، تتلقى التحذير التالي Schannel ووصف المشكلة في سجل أحداث Windows Server:

نوع الحدث: تحذير
مصدر الحدث: القناة
فئة الحدث: بلا
معرف الحدث: 36885
التاريخ: التاريخ
الوقت: الوقت
المستخدم:
الكمبيوتر: اسم الكمبيوتر

الوصف: عند السؤال عن مصادقة العميل، هذا الملقم إرسال قائمة بالمراجع المصدقة الموثوق بها للعميل. يستخدم العميل هذه القائمة لاختيار شهادة عميل موثوق بها من قبل الملقم. يثق هذا الملقم حاليا، العديد من المراجع المصدقة التي أصبحت القائمة طويلة جداً. وبالتالي تم اقتطاع هذه القائمة. يجب على المسؤول عن هذا الجهاز مراجعة المراجع المصدقة الموثوق بها للمصادقة على العميل وإزالة تلك التي لا حاجة لأن تكون موثوقة.

السبب
تحدث هذه المشكلة لأن الملقم الموحدة لا تمرير معلومات المرجع المصدق الصحيح إلى العميل الموحدة أثناء مفاوضة اتصال TLS. بدلاً من ذلك، يحدث السيناريو التالي:

  • ملقم الاتصالات الموحدة يمرر به قائمة الشهادات الموثوق بها (CTL) معلومات المرجع المصدق المثبتة إلى العميل الموحدة يتطلب اتصال TLS آمنة.
  • يتم اقتطاع CTL وفقا للقيود المفروضة على تصميم المكون Schannel ملقم Windows.
  • لا يتلقى العميل الموحدة التي طلب اتصال TLS آمنة معلومات حول المرجع المصدق الذي يطابق الإدخالات الموجودة في قائمة المراجع المصدقة مثبتة بها.
  • فشل محاولة اتصال TLS مع الخطأ الموضحة في قسم "الأعراض".

تحدث هذه المشكلة بسبب تصميم المكون Schannel من نظام التشغيل Windows Server الذي يستضيف تطبيقات الاتصالات الموحدة.

ملاحظةلمزيد من المعلومات حول المكون Schannel نظام التشغيل Windows Server والقيود الخاصة بها CTL، تشير إلى "Windows Server 2003" "Windows Server 2008 R2 و Windows Server 2008"، والأقسام الفرعية "ملقم Windows 2012" قسم "مزيد من المعلومات".
الحل البديل
الأساليب التالية إيجاد حل بديل للمشكلة الموضحة في قسم "الأعراض".

الأسلوب 1:إزالة بعض الشهادات الجذر الموثوق بها


تحذير يجب توخي الحذر عند إزالة شهادات "المرجع الجذر الموثوق به". إزالة شهادات "المرجع الجذر الموثوق به" طرف ثالث يمكن أن يكسر وصول العميل آمنة للتطبيقات التي تتم استضافتها على خادم يستند إلى Windows.

إذا كان موثوق به بعض الشهادات الجذر غير المستخدمة في البيئة الخاصة بك، يجب إزالتها من الخادم الذي يستضيف تطبيق تقنية الاتصالات الموحدة. للقيام بذلك، اتبع الخطوات التالية:

نظام التشغيل Windows Server 2003 و Windows Server 2008 أو Windows Server 2008 R2
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، نوع mmc، ثم انقر فوق موافق.
  2. على ملف انقر فوق إضافة/إزالة أداة إضافية فيالقائمة، وثم انقر فوق إضافة.
  3. في إضافة مستقلة الإضافية مربع الحوار، انقر فوق الشهادات، ومن ثم انقر فوق إضافة.
  4. انقر فوق حساب الكمبيوتر، انقر فوق التالي، ومن ثم انقر فوق إنهاء.
  5. انقر فوق إغلاق، ومن ثم انقر فوق موافق.
  6. ضمن "جذر وحدة التحكم" في الأداة الإضافية وحدة التحكم بالإدارة ل Microsoft (MMC)، قم بتوسيع الشهادات (الكمبيوتر المحلي)وتوسيع المراجع المصدقة الجذر الموثوق بها، وثم انقر فوق الشهادات.
  7. إزالة الشهادات الجذر الموثوق بها التي لم تكن لجعل. للقيام بذلك، انقر نقراً مزدوجاً فوق شهادة، انقر فوق حذفوثم انقر فوق نعم لتأكيد رغبتك في إزالة الشهادة.
معلوماتلمعرفة المزيد حول كيفية تثبيت لشهادات "المرجع الجذر الموثوق به" الجهات الأخرى التي تم تثبيتها على أنظمة تشغيل الملقم Windows وإزالة تلقائي، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

2801679 مشاكل اتصال SSL/TLS بعد تثبيت 931125 كيلو بايت

معلومات هناك بعض الشهادات الجذرية التي يتطلبها Windows. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":

293781 الشهادات الجذرية التي يتطلبها نظام التشغيل Windows Server 2008 R2، ويندوز 7، Windows Server 2008، نظام التشغيل Windows Vista، Windows Server 2003، نظام التشغيل Windows XP و Windows 2000 الموثوق بها

الطريقة الثانية:تكوين "نهج المجموعة" لتجاهل القائمة شهادات موثقة على الكمبيوتر الذي يستضيف عميل الاتصالات الموحدة

إذا كان الخادم الذي يستضيف التطبيق الموحدة عضوا في مجال، يمكنك إنشاء نهج يؤدي تجاهل قائمة المراجع المصدقة الموثوق بها على الكمبيوتر الملقم الذي يستضيف عميل الاتصالات الموحدة. عند تطبيق هذا النهج، ثقة العملاء والملقمات المتأثرة الشهادات الموجودة في مخزن "المراجع المصدقة الجذر للمؤسسة". لذلك، لم تكن لتغيير أجهزة الكمبيوتر الفردية.

WindowsSeرفير 2008 R2 أو Windows Server 2008

استخدام نهج لتوزيع الشهادات

WindowsServer 2003

إضافة مرجع مصدق جذري موثوق به إلى كائن "نهج المجموعة"


ملاحظة هناك بعض الشهادات الجذرية التي يتطلبها Windows. يجب إضافة هذه الشهادات إلى النهج الذي قمت بإنشائه. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":

293781 الشهادات الجذرية التي يتطلبها نظام التشغيل Windows Server 2008 R2، ويندوز 7، Windows Server 2008، نظام التشغيل Windows Vista، Windows Server 2003، نظام التشغيل Windows XP و Windows 2000 الموثوق بها

الطريقة الثالثة:تكوين القناة لم يعد إرسال قائمة المراجع المصدقة الجذر الموثوق بها أثناء عملية تعارف TLS/SSL

يمكنك اتباع هذه الخطوات في Windows Server 2003 و Windows Server 2008 أو Windows Server 2008 R2.

تحذير قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح باستخدام "محرر التسجيل" أو باستخدام أسلوب آخر. قد تتطلب هذه المشكلات إعادة تثبيت نظام التشغيل. لا تضمن Microsoft أن تتمكن من حل هذه المشاكل. تعديل التسجيل على مسؤوليتك الشخصية.

على الخادم الذي يقوم بتشغيل تطبيق تقنية الاتصالات الموحدة التي تواجه هذه المشكلة، تعيين إدخال التسجيل التالي إلى false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

اسم القيمة: سيندتروستيديسويرليست
نوع القيمة: REG_DWORD
قيمة البيانات: 0 (False)


بشكل افتراضي، هذا الإدخال مدرجة في السجل. بشكل افتراضي، تكون هذه القيمة 1 (True). يتحكم إدخال التسجيل هذا العلم الذي يتحكم في ما إذا كان الملقم إرسال قائمة بالمراجع المصدقة الموثوق بها للعميل. عند تعيين إدخال التسجيل هذا إلى False، لا يرسل الملقم قائمة بالمراجع المصدقة الموثوق بها للعميل. قد يؤثر هذا السلوك على كيفية استجابة العميل لطلب شهادة. على سبيل المثال، إذا كان Internet Explorer طلبا لمصادقة العميل، يعرض Internet Explorer شهادات العميل التي تظهر في السلسلة من أحد المراجع المصدقة في القائمة من الخادم. ومع ذلك، إذا كان الملقم لا يرسل قائمة بالمراجع المصدقة الموثوق بها، يعرض Internet Explorer كافة شهادات العميل المثبتة على جهاز الكمبيوتر العميل.

لتعيين إدخال السجل هذا، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، نوع regedit، ثم انقر فوق موافق.
  2. حدد موقع ثم ثم انقر فوق مفتاح التسجيل الفرعي التالي:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. على تحرير القائمة، أشر إلى جديد، ومن ثم انقر فوق قيمة DWORD.
  4. نوع سيندتروستيديسويرليست، ثم اضغط Enter لتسمية إدخال التسجيل.
  5. انقر نقراً مزدوجاً فوق سيندتروستيديسويرليست، ومن ثم انقر فوق تعديل.
  6. في بيانات القيمة ، اكتب0 إذا أن القيمة ليست معروضة بالفعل، وثم انقر فوق موافق.
  7. إنهاء "محرر التسجيل".
ملاحظة هناك بعض الشهادات الجذرية التي يتطلبها Windows. يجب إضافة هذه الشهادات إلى النهج الذي قمت بإنشائه. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":

293781 الشهادات الجذرية التي يتطلبها نظام التشغيل Windows Server 2008 R2، ويندوز 7، Windows Server 2008، نظام التشغيل Windows Vista، Windows Server 2003، نظام التشغيل Windows XP و Windows 2000 الموثوق بها

معلومات أخرى
على الرغم من أنه لم تلاحظ ذلك في قسم "الأعراض"، قد تحدث هذه المشكلة على كافة أجهزة الكمبيوتر التي تشغل Windows Server 2003 أو Windows Server 2008 والتي تستضيف عناصر الاتصالات الموحدة في Microsoft Exchange مثل الأدوار التالية:
  • خادم وصول العملاء
  • علبة البريد
  • ملقم الاتصالات الموحدة

استخدام أنظمة تشغيل الملقم Windows هذه الآلية تحديث الجذر التلقائي لتنزيل تحديثات المرجع المصدق من موقع Microsoft Windows Update على ويب عندما يطلب عميل اتصال TLS آمنة. يتسبب هذا عملية تحديث الشهادات التلقائية لجمع المعلومات سلطة تصديق إضافي مطلوب لضمان أمن الاتصالات الموحدة TLS طلبات الاتصال بالعميل. مكون Windows Server Schannel تنظيم معلومات حول المرجع المصدق الجذر للعميل الموحدة يتطلب اتصال TLS آمنة. سيقوم العميل الموحدة مقارنة محتوى Schannel CTL بقائمته الخاصة من معلومات حول المرجع المصدق. تجعل هذه العملية من أن تطابق معلومات الشهادة الجذر موجودة في كل من نقاط اتصال TCP لاستمرار عملية تعارف TLS. ومع ذلك، يمكن تنظيم مكون Windows Server Schannel كمية محدودة من معلومات المرجع المصدق تثبيت Windows Server في CTL الخاصة به إلى العميل الموحدة يتطلب اتصال TLS آمنة. في بعض وحدات السيناريو، يؤدي هذا التفرد الأمن TLS اتصال طلب العميل إلى فشل.

لمزيد من المعلومات حول الاختلافات تصميم Windows Server 2003 و Windows Server 2008 الجذر التلقائي تحديث التكوينات وحول قائمة المرجع المصدق Schannel القيود، راجع المقاطع التالية.

نظام التشغيل Windows Server 2003


في Windows Server 2003، لا يمكن أن تكون القائمة المصدر أكبر من م 12288 (أو 0x3000) بايت. يوفر تثبيت Windows Server 2003 SP1 أو الإصلاح العاجل Windows Server 2003 SP2 KB933940 المسردة في القسم "مزيد من المعلومات" مصدر موسع بايت سعة 16384 (أو 0x4000) قائمة.

لم يتم تمكين إليه تحديث الجذر التلقائي في Windows Server 2003. يدعم Windows Server 2003 إليه تحديث الجذر التلقائي. لمزيد من المعلومات حول التحديثات التلقائية الجذر ل Server 2003، انتقل إلى موقع Microsoft TechNet التالي على الويب:


Windows Server 2008 و Windows Server 2008 R2


في Windows Server 2008، لا تكون القائمة المصدر أكبر من 16384 (أو 0x4000) بايت.

بشكل افتراضي، يتم تمكين إليه تحديث الجذر التلقائي في Windows Server 2008 و Windows Server 2008 R2. لمزيد من المعلومات حول كيفية إدارة إليه تحديث الجذر التلقائي، انتقل إلى موقع Microsoft TechNet التالي على الويب:


ملقم Windows 2012

لا يعتمد Windows Server 2012 وظيفة Schannel CTL التي كانت موجودة في الإصدارات السابقة من أنظمة تشغيل الملقم Windows. لمزيد من المعلومات حول كيفية إدارة الشهادات الموثوق بها في Windows Server 2012، اقرأ المقطع "إدارة المصدرين المعتمدين لمصادقة العميل" مقالة Microsoft TechNet التالية:

لمزيد من المعلومات حول المشكلة الموضحة في قسم "الأعراض"، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

933430 العملاء إجراء اتصالات إذا تطلب شهادات العملاء على موقع ويب أو إذا كنت تستخدم IAS في Windows Server 2003

931125 أعضاء برنامج الشهادات الجذر ل Windows

مصادقة العميل TLS مصادقة schannel فشل LM LM2007 لمسك لمكك LM2007Rev ييسبارتنير

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 2464556 - آخر مراجعة: 10/21/2013 23:02:00 - المراجعة: 3.0

Microsoft Lync Server 2013, Microsoft Lync Server 2010 Enterprise Edition, Microsoft Lync Server 2010 Standard Edition, Microsoft Office Communications Server 2007 R2 Enterprise Edition, Microsoft Office Communications Server 2007 R2 Standard Edition, Microsoft Office Communications Server 2007 Standard Edition, Microsoft Office Communications Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Enterprise, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Standard, Microsoft Exchange Server 2007 Standard Edition, Microsoft Office Live Meeting 2007

  • kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtar
تعليقات