Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

SSL/TLS-Kommunikationsprobleme nach der Installation von KB 931125

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 2801679
Problembeschreibung
Nach 11 Dezember 2012 Applikationen und Operationen von TLS-basierte Authentifizierungen fehlschlagen plötzlich möglicherweise zwar offensichtlich Konfiguration wurde nicht geändert. Einige Programme und Operationen fehlschlagen enthalten, jedoch nicht die folgenden:
  • Zugriff auf das WLAN, die zertifikatbasierte Authentifizierung
  • Verkabelte Netzwerke zugreifen, die zertifikatbasierte Authentifizierung
  • Clientverbindungen Lync oder Office Communications Server
  • Voicemail, die Exchange Server mit Unified Messaging verwendet
  • SSL-aktivierte Website-Zugriff
  • Outlook-Anmeldung
  • OS Boot verzögert (langsamer Start)
  • Anmeldeversuche verzögert (Langsame Anmeldung)
Ereignisse, die in Windows oder anwendungsspezifische Ereignisprotokolle protokolliert werden und, Bereich oder definitiv ermitteln, das in diesem Artikel beschriebene Symptom, enthalten, jedoch nicht auf Ereignisse, die in der folgenden Tabelle aufgeführt sind.
EreignisprotokollQuelleEreignis-IDEreignistext
SystemSchannel36885Bei Fragen zur Clientauthentifizierung sendet dieser Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Der Client verwendet diese Liste ein Clientzertifikat auswählen, die der Server vertrauenswürdig ist. Momentan vertraut dieser Server sehr vielen Zertifizierungsstellen, die Liste zu lang ist. Diese Liste wurde abgeschnitten. Der Administrator dieses Computers für Clientauthentifizierung vertrauenswürdigen Zertifizierungsstellen überprüfen und diejenigen entfernen, die nicht wirklich vertrauenswürdig sein müssen.
SystemSchannel36887Die folgende schwerwiegende Warnung wurde empfangen: 47
SystemNapAgent39Network Access Protection Agent konnte die HRA ein Integritätszertifikat von Anforderung zu bestimmen. Eine Änderung oder wenn GP konfiguriert ist, eine Änderung wird weiter versucht, ein Integritätszertifikat abzurufen. Andernfalls werden keine weiteren Versuche unternommen. Weitere Informationen erhalten Sie von der Integritätsregistrierungsstelle Administrator.
SystemRemoteAccess20225Fehler im Point to Point-Protokollmodul am Port: VPN2 509, Benutzername: <username>. Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Überprüfen Sie Benutzername und Kennwort vom Server verwendete Authentifizierungsmethode kann insbesondere nicht die Authentifizierungsmethode in Ihrem Verbindungsprofil konfiguriert überein. Wenden Sie sich an den Administrator des RAS-Servers, und dieser Fehler zu informieren. </username>
SystemRemoteAccess20271Benutzer <username> <IP address="">verbunden, aber keinen Authentifizierungsversuch aus dem folgenden Grund: die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Überprüfen Sie Benutzername und Kennwort vom Server verwendete Authentifizierungsmethode kann insbesondere nicht die Authentifizierungsmethode in Ihrem Verbindungsprofil konfiguriert überein. Wenden Sie sich an den Administrator des RAS-Servers, und dieser Fehler zu informieren. </IP></username>


Ursache
Diese Probleme können auftreten aktualisiert Ihre Drittanbieter-Stammzertifizierungsstellen mithilfe Certication Dezember 2012 KB 931125 Paket aktualisieren. KB 931125-Paket, das auf 11 Dezember 2012 sollte nur für Client-SKUs. Jedoch war es auch für Server-SKUs für kurze Zeit auf Windows Update und WSUS angeboten.

Dieses Paket installiert über 330 Drittanbieter-Stammzertifizierungsstellen Certication. Derzeit ist die maximale Größe der Liste der vertrauenswürdigen Zertifikats, die Schannel-Sicherheitspaket unterstützt 16 Kilobyte (KB). Mit viel Certication Stammzertifizierungsstellen von Drittanbietern werden 16 KB überschreiten treten Limit und TLS/SSL-Kommunikation Probleme auf.
Lösung
Wenn Sie WSUS verwenden, und Sie nicht Dezember 2012 KB 931125 aktualisieren, sollten Sie die WSUS-Server synchronisieren und dann genehmigen die Ablaufzeiten Ihrer Server das Update nicht installieren.

Wenn Sie Dezember 2012 KB 931125 Update-Paket installiert haben, sollten Sie die folgende Lösung zusätzliche Fremdanbieter-Certication Stammzertifizierungsstellen auf allen Servern zu entfernen, die jetzt viel Certication Stammzertifizierungsstellen von Drittanbietern verwenden.

Hinweis Diese Lösung entfernt alle Drittanbieter-Stammzertifizierungsstellen Certication. Wenn Ihr Server mit Windows Update verbunden ist, werden automatisch Back Dritter Certication Stammzertifizierungsstellen bei Bedarf auch in KB 931125 beschriebenen hinzugefügt. Wenn ein betroffenen Server isoliert oder Disonnected aus dem Internet Sie manuell müssen fügen Sie erforderlichen Dritter Certication Stammzertifizierungsstellen zurück, wie Sie in der Vergangenheit getan haben hinzu. (Oder mithilfe von Gruppenrichtlinien installieren.)

Damit wir dieses Problem für Sie korrigieren, gehen Sie zu den "Hier ist eine einfache Lösung"Abschnitt. Wenn Sie dieses Problem manuell beheben möchten, fahren Sie mit dem "Problem manuell beheben"Abschnitt.

Hier ist eine einfache Lösung

Um das Problem automatisch zu beheben, klicken Sie herunterladen . Klicken Sie im Dialogfeld Dateidownload auf Ausführen oder Öffnenund folgen Sie den Schritten im Assistenten einfach korrigieren.
  • Stellen Sie sicher, bevor Sie das System ändern, erstellen Sie eine Sicherungskopie der Registrierung und alle betroffenen Schlüssel.
  • Dieser Assistent ist nur auf Englisch verfügbar. Die automatische Korrektur funktioniert aber trotzdem auch für andere Sprachversionen von Windows.
  • Wenn Sie nicht auf dem Computer das Problem, die einfache Lösung auf ein Flashlaufwerk oder eine CD speichern und führen auf dem Computer das Problem.

Problem manuell beheben

Einfache fix50974

Löschen Sie den folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Gehen Sie hierzu folgendermaßen vor:
  1. Registrierungseditor starten
  2. Suchen Sie den folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Klicken Sie mit der rechten Maustaste, und löschen Sie den Schlüssel, der "Certificates" heißt.
Hinweis Stellen Sie sicher, bevor Sie das System ändern, erstellen Sie eine Sicherungskopie der Registrierung und betroffenen.
Weitere Informationen
Diese Probleme können auftreten, wenn TLS/SSL-Server viele Einträge in der Liste der vertrauenswürdigen Zertifizierungsstellen enthält. Der Server sendet eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client, wenn Folgendes zutrifft:
  • Der Server verwendet Transport Layer Security (TLS) / Protokoll SSL zum Verschlüsseln des Netzwerkverkehrs.
  • Client-Zertifikate werden zur Authentifizierung während der Handshake-Authentifizierung erforderlich.

Liste der vertrauenswürdigen Zertifizierungsstellen stellt die Behörden von denen Server ein Client-Zertifikat akzeptieren kann. Um vom Server authentifiziert werden, müssen der Client ein Zertifikat, das mit einem Stammzertifikat aus der Serverliste in der Kette der Zertifikate vorhanden ist. Dies ist das Client-Zertifikat immer Endeinheitzertifikat am Ende der Kette. Das Clientzertifikat ist nicht Teil der Kette.

Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifikats, die Schannel-Sicherheitspaket unterstützt 16 KB in Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012.

Schannel erstellt die Liste der vertrauenswürdigen Zertifizierungsstellen durch den vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Computer gesucht. Alle vertrauenswürdiges Zertifikat zur Client-Authentifizierung wird der Liste hinzugefügt. Die Größe der Liste 16 KB überschreitet, meldet Schannel Warnung Ereignis-ID 36855. Dann Schannel kürzt die Liste der vertrauenswürdigen Stammzertifikate und gekürzte Liste an den Clientcomputer sendet.

Empfängt der Clientcomputer gekürzte Liste von vertrauenswürdigen Stammzertifikaten, kann der Clientcomputer kein Zertifikat, die in der vertrauenswürdigen Zertifikataussteller vorhanden ist. Z. B. möglicherweise der Clientcomputer ein Zertifikat, das ein vertrauenswürdiges Zertifikat entspricht, das aus der Liste der vertrauenswürdigen Zertifizierungsstellen Schannel abgeschnitten. Daher kann nicht der Server den Client authentifizieren.
Fixit beheben fixme

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 2801679 – Letzte Überarbeitung: 09/25/2015 23:45:00 – Revision: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Standard without Hyper-V, Windows Small Business Server 2008 Premium, Windows Small Business Server 2008 Standard, Windows Small Business Server 2011 Essentials, Windows Small Business Server 2011 Premium Add-On, Windows Small Business Server 2011 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbmt KB2801679 KbMtde
Feedback
&t=">ay:none;" onerror="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">