Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Problemas de comunicación SSL/TLS después de instalar 931125 KB

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 2801679
Síntomas
Después del 11 de diciembre de 2012, las aplicaciones y las operaciones que dependen de autenticaciones basadas en TLS fail repentinamente falle aunque no tienen ningún cambio de configuración aparente. Algunas de las aplicaciones y las operaciones que no se incluyen, pero no se limitan a, los siguientes:
  • Acceso a la red inalámbrica que usa la autenticación basada en certificados
  • Acceso a la red por cable que usa la autenticación basada en certificados
  • Conectividad de clientes para Lync o para Office Communications Server
  • Correo de voz que utiliza Exchange Server junto con mensajería unificada
  • Acceso al sitio Web compatible con SSL
  • Inicios de sesión de Outlook
  • Retrasos de inicio de sistema operativo (arranque lento)
  • Retrasos de inicios de sesión de usuario (inicio de sesión lento)
Sucesos que se registran en Windows o en los registros de eventos específicos de la aplicación, y que alcance o identificar definitivamente el síntoma que se describe en este artículo, incluyen, pero no se limitan a los sucesos que se muestran en la tabla siguiente.
Registro de eventosOrigen de eventosId. de sucesoTexto del evento
SistemaSchannel36885Al solicitar la autenticación de clientes, este servidor envía una lista de entidades emisoras de certificados de confianza para el cliente. El cliente utiliza esta lista para elegir un certificado de cliente que el servidor es de confianza. Actualmente, este servidor confía en tantas entidades emisoras de certificados que la lista es demasiado larga. Esta lista, por tanto, se ha truncado. El Administrador de este equipo debería revisar las autoridades de certificados de confianza para la autenticación del cliente y quitar aquellos que realmente no es necesario que se confíe.
SistemaSchannel36887Se recibió la siguiente alerta grave: 47
SistemaNapAgent39El agente de protección de acceso de red no pudo determinar qué HRA para solicitar un certificado de mantenimiento de. Un cambio de red o si está configurado GP, un cambio de configuración le pedirá más trata de adquirir un certificado de mantenimiento. De lo contrario no se realizarán intentos. Para obtener más información, póngase en contacto con el administrador HRA.
SistemaAcceso remoto20225Ocurrió el siguiente error en el módulo del Protocolo punto a punto en el puerto: VPN2-509, nombre de usuario: <username>. Se impidió la conexión debido a una directiva configurada en el servidor RAS/VPN. En concreto, el método de autenticación utilizado por el servidor para comprobar su nombre de usuario y la contraseña no puede coincidir con el método de autenticación configurado en el perfil de conexión. Póngase en contacto con el administrador del servidor RAS e infórmele de este error. </username>
SistemaAcceso remoto20271El usuario <username>conectado desde <IP address="">pero falló un intento de autenticación debido a la razón siguiente: se impidió la conexión debido a una directiva configurada en el servidor RAS/VPN. En concreto, el método de autenticación utilizado por el servidor para comprobar su nombre de usuario y la contraseña no puede coincidir con el método de autenticación configurado en el perfil de conexión. Póngase en contacto con el administrador del servidor RAS e infórmele de este error. </IP></username>


Causa
Estos problemas pueden producirse que si ha actualizado su terceros entidades raíz de Certication utilizando el KB 931125 de diciembre de 2012 paquete de actualización. El paquete 931125 KB que se registró el 11 de diciembre de 2012, se diseñó sólo para las SKU cliente. Sin embargo, también fue ofrecido para la SKU de servidor durante un breve período en Windows Update y WSUS.

Este paquete instala más de 330 autoridades de Certication de raíz de terceros. Actualmente, el tamaño máximo de la lista de autoridades de certificados de confianza que admite el paquete de seguridad Schannel es 16 kilobytes (KB). Tener una gran cantidad de la voluntad de las entidades emisoras de terceros raíz Certication repase el 16k límite y experimentará problemas de comunicación con SSL/TLS.
Solución
Si utiliza WSUS y no instaló actualizar la KB 931125 de diciembre de 2012, debe sincronizar los servidores WSUS y, a continuación, apruebe la caducidad para que los servidores no instalación la actualización.

Si ha instalado el KB de diciembre de 2012 931125 paquete de actualización, debe utilizar la siguiente resolución para quitar adicional entidades Certication de raíz de terceros en todos los servidores que ahora tienen una gran cantidad de entidades raíz Certication de terceros.

Nota: Esta solución elimina todas las autoridades de Certication de raíz de terceros. Si el servidor tiene conectividad a Windows Update, agregará automáticamente back terceros Certication entidades emisoras raíz según sea necesario, lo que también se tratan en 931125 KB. Si un servidor afectado está aislado o disonnected de Internet, debe manualmente agregar las entidades emisoras de terceros raíz Certication necesarios a medida que habría hecho en el pasado. (O bien, puede instalarlos mediante Directiva de grupo).

Para que podamos corregir este problema para usted, vaya a la "Aquí es una solución fácil. Si prefiere corregir este problema manualmente, vaya a la "Solucionarlo por mí mismo.

Aquí es una solución fácil

Para corregir este problema automáticamente, haga clic en el botón Descargar . En el cuadro de diálogo Descarga de archivos , haga clic en Abriro Ejecutar y, a continuación, siga los pasos en el Asistente para la solución fácil.
  • Asegúrese de hacer una copia de seguridad del registro y de todas las claves afectadas antes de realizar cualquier cambio en el sistema.
  • Este asistente puede estar sólo en inglés. Sin embargo, la corrección automática también funciona para otras versiones de idioma de Windows.
  • Si no está en el equipo que tiene el problema, guarde la solución de solución fácil a un CD o una unidad flash y, a continuación, ejecútelo en el equipo que tiene el problema.

Solucionarlo por mí mismo

Fix50974 fácil

Elimine la siguiente clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Para ello, siga estos pasos:
  1. Inicie el Editor del registro
  2. Busque la siguiente subclave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Haga clic y, a continuación, elimine la clave que se denomina "Certificados"
Nota: Asegúrese de hacer una copia de seguridad del registro y claves afectadas antes de realizar cualquier cambio en el sistema.
Más información
Estos problemas pueden producirse si un servidor TLS/SSL contiene muchas entradas en la lista de certificados raíz de confianza. El servidor envía una lista de entidades emisoras de certificados de confianza para el cliente si se cumplen las condiciones siguientes:
  • El servidor utiliza la seguridad de capa de transporte (TLS) o protocolo SSL para cifrar el tráfico de red.
  • Certificados de cliente son necesarios para la autenticación durante el proceso de autenticación mutuo.

Esta lista de entidades emisoras de certificados de confianza representa las autoridades desde la que el servidor puede aceptar un certificado de cliente. Para ser autenticado por el servidor, el cliente debe tener un certificado que está presente en la cadena de certificados a un certificado raíz de la lista del servidor. Esto es porque el certificado de cliente siempre es el certificado de entidad final al final de la cadena. El certificado de cliente no forma parte de la cadena.

Actualmente, el tamaño máximo de la lista de autoridades de certificados de confianza que admite el paquete de seguridad Schannel es 16 KB en Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012.

Schannel crea la lista de entidades emisoras de certificados de confianza mediante la búsqueda en el almacén de entidades de certificación raíz de confianza en el equipo local. Cada certificado es de confianza para propósitos de autenticación de cliente se agrega a la lista. Si el tamaño de esta lista supera los 16 KB, Schannel registra el identificador de suceso de advertencia 36855. A continuación, Schannel trunca la lista de certificados raíz de confianza y envía esta lista truncada en el equipo cliente.

Cuando el equipo cliente recibe la lista truncada de certificados raíz de confianza, el equipo cliente no puede tener un certificado que existe en la cadena de un emisor de certificados de confianza. Por ejemplo, el equipo cliente puede tener un certificado que corresponde a un certificado raíz de confianza que Schannel truncado de la lista de entidades emisoras de certificados de confianza. Por lo tanto, el servidor no puede autenticar al cliente.
FixIt corregirlo fixme

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 2801679 - Última revisión: 09/25/2015 23:44:00 - Revisión: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Standard without Hyper-V, Windows Small Business Server 2008 Premium, Windows Small Business Server 2008 Standard, Windows Small Business Server 2011 Essentials, Windows Small Business Server 2011 Premium Add-On, Windows Small Business Server 2011 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbmt KB2801679 KbMtes
Comentarios