Problembeschreibung
Dieses Problem tritt im folgenden Szenario auf:
-
Sie deaktivieren Windows Challenge/Response (NTLM) für die externe Authentifizierung von Microsoft Skype for Business 2016-oder Microsoft lync 2013-Clients.
-
Sie führen ein VPN-Split-Tunneling (virtuelles privates Netzwerk) durch, das den gesamten Datenverkehr dazu zwingt, einen Edgeserver und einen verschlüsselten VPN-Tunnel zu durchlaufen.
Wenn der Gültigkeitszeitraum für die Clientzertifikate, die für die TLS-DSK-Authentifizierung ausgestellt werden, 180 Tage beträgt, beginnen die Clientzertifikate fälschlicherweise innerhalb von 12 Stunden, bevor Sie ablaufen, zu verlängern. Das richtige Erneuerungsdatum sollte 30 Tage oder ein Drittel des Gültigkeitszeitraums vor dem Ablaufdatum sein. Wenn dieses Problem auftritt, wenn ein Zertifikat abläuft, wenn das Benutzergerät offline ist, kann sich der Benutzer mit dem abgelaufenen Zertifikat nicht Remote bei Skype for Business 2016 oder lync 2013 auf dem Gerät anmelden.
Dieses Problem tritt auch in Microsoft 365-Versionen von Office auf.
Ursache
Dieses Problem tritt auf, weil Skype for Business 2016 oder lync 2013 den Schwellenwert für die fehlerhafte Erneuerung von Clientzertifikaten berechnet.
Fehlerbehebung
Installieren Sie eine der folgenden Updates, um dieses Problem zu beheben:
-
6. Oktober, 2020, Update (KB4486669) für Skype for Business 2016.
-
Das Sicherheitsupdate für lync 2013 vom Mai 12, 2015 . (Hinweis: lync 2013 wurde im April 2015 auf Skype for Business aktualisiert.)
-
Installieren Sie für Microsoft 365-Versionen von Office die Office-Version 2008 (16.0.13127.21032) oder höher. Erstellen Sie für Office Version 2008 eine Richtlinie, um diesen Fix zu aktivieren, indem Sie eine der folgenden Optionen verwenden. 1. Erstellen Sie den folgenden Registrierungsschlüssel auf den Clientcomputern: Stamm: HKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER Schlüssel: Software\Policies\Microsoft\Office\16.0\Lync Werttyp: DWORD Wertname: EnableExpiryThresholdInMinutes Wertdaten: 0x00000001 2. Erstellen Sie den folgenden Clientrichtlinien Eintrag mithilfe der Skype for Business PowerShell: $x = New-CsClientPolicyEntry-Name "EnableExpiryThresholdInMinutes"-Wert "true" Satz-CsClientPolicy-Identity "<ClientPolicyName>"-PolicyEntry @ {Add = $x}
Hinweis Für Office Version 2009 und höher wird diese Richtlinie nicht benötigt.