Teď jste offline a čekáte, až se znova připojí internet.

Klienty nelze ověřit se server po získat nový certifikát pro nahrazení neplatných certifikátů na serveru

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

822406
Příznaky
Po vypršení certifikát nahradit nový certifikát na serveru je spuštěna Internetová Authentication Service (IAS) nebo směrování a vzdálený přístup, klienti, kteří mají Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) nakonfigurován ověřit certifikát serveru již ověřovat se serverem. Při zobrazení systémového protokolu v prohlížeči událostí v klientském počítači je zobrazen následující událost:

Typ události: Chyba
Zdroj události: Schannel
Kategorie události: žádný
ID události: 36876
Date: date
Time: time
User: N/A
Počítač: computername
Popis: Tento certifikát přijatý ze vzdáleného serveru nebyl správně ověřen. Kód chyby je 0x80090328.

Pokud povolení podrobného protokolování na serveru se službou IAS nebo směrování a vzdálený přístup (například spuštěním netsh ras set tracing * povolit příkaz), zobrazí se informace podobná následující v souboru Rastls.log generovaných při klient se pokusí o ověření.

Poznámka: Pokud používáte IAS jako RADIUS server pro ověřování, viz toto chování na serveru IAS. Pokud používáte směrování a vzdálený přístup a směrování a vzdálený přístup je nakonfigurována ověřování systému Windows (nikoli ověřování RADIUS), viz toto chování na serveru pro směrování a vzdálený přístup.
1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK will not be ignored[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE will not be ignored[1072] 15:47:57:280: The root cert will not be checked for revocation[1072] 15:47:57:280: The cert will be checked for revocation[1072] 15:47:57:280: [1072] 15:47:57:280: EapTlsMakeMessage(Example\client)[1072] 15:47:57:280: >> Received Response (Code: 2) packet: Id: 11, Length: 25, Type: 0, TLS blob length: 0. Flags: [1072] 15:47:57:280: EapTlsSMakeMessage[1072] 15:47:57:280: EapTlsReset[1072] 15:47:57:280: State change to Initial[1072] 15:47:57:280: GetCredentials[1072] 15:47:57:280: The name in the certificate is: server.example.com[1072] 15:47:57:312: BuildPacket[1072] 15:47:57:312: << Sending Request (Code: 1) packet: Id: 12, Length: 6, Type: 13, TLS blob length: 0. Flags: S[1072] 15:47:57:312: State change to SentStart[1072] 15:47:57:312: [1072] 15:47:57:312: EapTlsEnd(Example\client)[1072] 15:47:57:312: [1072] 15:47:57:312: EapTlsEnd(Example\client)[1072] 15:47:57:452: [1072] 15:47:57:452: EapTlsMakeMessage(Example\client)[1072] 15:47:57:452: >> Received Response (Code: 2) packet: Id: 12, Length: 80, Type: 13, TLS blob length: 70. Flags: L[1072] 15:47:57:452: EapTlsSMakeMessage[1072] 15:47:57:452: MakeReplyMessage[1072] 15:47:57:452: Reallocating input TLS blob buffer[1072] 15:47:57:452: SecurityContextFunction[1072] 15:47:57:671: State change to SentHello[1072] 15:47:57:671: BuildPacket[1072] 15:47:57:671: << Sending Request (Code: 1) packet: Id: 13, Length: 1498, Type: 13, TLS blob length: 3874. Flags: LM[1072] 15:47:57:702: [1072] 15:47:57:702: EapTlsMakeMessage(Example\client)[1072] 15:47:57:702: >> Received Response (Code: 2) packet: Id: 13, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:47:57:702: EapTlsSMakeMessage[1072] 15:47:57:702: BuildPacket[1072] 15:47:57:702: << Sending Request (Code: 1) packet: Id: 14, Length: 1498, Type: 13, TLS blob length: 0. Flags: M[1072] 15:47:57:718: [1072] 15:47:57:718: EapTlsMakeMessage(Example\client)[1072] 15:47:57:718: >> Received Response (Code: 2) packet: Id: 14, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:47:57:718: EapTlsSMakeMessage[1072] 15:47:57:718: BuildPacket[1072] 15:47:57:718: << Sending Request (Code: 1) packet: Id: 15, Length: 900, Type: 13, TLS blob length: 0. Flags: [1072] 15:48:12:905: [1072] 15:48:12:905: EapTlsMakeMessage(Example\client)[1072] 15:48:12:905: >> Received Response (Code: 2) packet: Id: 15, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:48:12:905: EapTlsSMakeMessage[1072] 15:48:12:905: MakeReplyMessage[1072] 15:48:12:905: SecurityContextFunction[1072] 15:48:12:905: State change to SentFinished. Error: 0x80090318[1072] 15:48:12:905: Negotiation unsuccessful[1072] 15:48:12:905: BuildPacket[1072] 15:48:12:905: << Sending Failure (Code: 4) packet: Id: 15, Length: 4, Type: 0, TLS blob le
Příčina
Tomuto problému může dojít, pokud jsou splněny následující podmínky:
  • Server IAS nebo směrování a vzdálený přístup je členem domény, ale funkce požadavky automatických certifikátů (automatický zápis) není nakonfigurován v doméně. Nebo server IAS nebo směrování a vzdálený přístup není členem domény.
  • Ručně vyžádat a přijímat nový certifikát serveru IAS nebo směrování a vzdálený přístup.
  • Neodebírejte platností certifikát ze serveru IAS nebo směrování a vzdálený přístup.
Pokud existuje prošlé certifikát na serveru IAS nebo směrování a vzdálený přístup společně s nový platný certifikát ověření klienta neproběhne úspěšně. "Chyba 0x80090328" výsledek, který je zobrazen v protokolu událostí v počítači klienta odpovídá "Certifikát neplatné"
Jak potíže obejít
Tento problém vyřešit, odeberte platností (archivovaných) certifikátu. Postupujte takto:
  1. Otevřete modul snap-in konzola Microsoft Management Console (MMC) kde spravovat úložiště certifikátů na serveru IAS. Pokud již nemáte modulu snap-in konzoly MMC zobrazit úložiště certifikátů z, vytvořit. Postup:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz mmc a potom klepněte na tlačítko OK.
    2. V nabídce Konzola (nabídka soubor v systému Windows Server 2003) klepněte na tlačítko grafem.@je snap-in a potom klepněte na tlačítko Přidat.
    3. V seznamu Dostupné samostatné moduly snap in klepněte na tlačítko certifikáty, klepněte na tlačítko Přidat, klepněte na účet počítače, klepněte na tlačítko Další a potom klepněte na tlačítko Dokončit.

      Poznámka: Můžete také přidat modul snap-in Certifikáty pro uživatelský účet a účet služby tento snap-in.
    4. Klepněte na tlačítko Zavřít a potom klepněte na tlačítko OK.
  2. Ve skupinovém rámečku Kořen konzoly klepněte na tlačítko certifikáty (místní).
  3. V nabídce Zobrazit klepněte na tlačítko Možnosti.
  4. Zaškrtněte políčko archivované certifikáty a potom klepněte na tlačítko OK.
  5. Rozbalte osobní a pak klepněte na položku certifikáty.
  6. Klepněte pravým tlačítkem myši platností (archivovaných) digitální certifikát, klepněte na tlačítko Odstranit a klepněte na tlačítko Ano potvrďte odebrání platností certifikát.
  7. Ukončete modul snap-in. Muset restartovat počítač nebo žádné služby k dokončení tohoto postupu.
Další informace
Společnost Microsoft doporučuje konfigurovat automatické žádosti o obnovení digitálních certifikátů v organizaci certifikát. Další informace o automatický zápis certifikátů v systému Windows XP naleznete na následujícím webu:

Upozornění: Tento článek byl přeložen automaticky

Vlastnosti

ID článku: 822406 - Poslední kontrola: 11/02/2007 07:41:39 - Revize: 7.3

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • kbmt kbprb kbpending kbbug KB822406 KbMtcs
Váš názor
>