Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Après avoir installé 931125 de la base de connaissances des problèmes de communication SSL/TLS

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 2801679
Symptômes
Après le 11 décembre 2012, les applications et les opérations qui dépendent des authentifications TLS échec peuvent échouer subitement bien qu'ils n'aient aucune modification de configuration apparaît. Certaines des applications et des opérations qui risquent de ne pas incluent, mais ne sont pas limitées à, les éléments suivants :
  • Accès réseau sans fil qui utilise l'authentification basée sur certificat
  • Accès réseau sans fil qui utilise l'authentification basée sur certificat
  • Connectivité client Lync et Microsoft Office Communications Server
  • Messagerie vocale qui utilise Exchange Server avec la messagerie unifiée
  • Accéder au site Web de SSL activé
  • Ouvertures de session Outlook
  • Délais de démarrage du système d'exploitation (Initialisation lente)
  • Délai d'ouverture de session utilisateur (connexion lente)
Les événements qui sont consignés dans Windows ou dans les journaux des événements spécifiques à l'application, et qui soit portée soit identifier définitivement le problème qui est décrit dans cet article, incluent, mais ne sont pas limitées à, les événements sont répertoriés dans le tableau suivant.
Journal des événementsSource de l'événementID d'événementTexte de l'événement
SystemSchannel36885Lorsque vous demandez de l'authentification du client, ce serveur envoie une liste des autorités de certification approuvées au client. Le client utilise cette liste pour choisir un certificat client qui est approuvé par le serveur. Actuellement ce serveur approuve de nombreuses autorités de certification que la liste est devenue trop longue. Cette liste a donc été tronquée. L'administrateur de cet ordinateur devrait revoir les autorités de certification approuvées pour l'authentification du client et supprimez ceux que vous n'avez pas vraiment besoin d'être approuvés.
SystemSchannel36887L'alerte d'erreur fatale suivant a été reçu : 47
SystemNapAgent39L'Agent de Protection d'accès réseau n'a pas pu déterminer les HRAs pour demander un certificat d'intégrité à partir de. Une modification du réseau ou si GP est configuré, un changement de configuration invite supplémentaire tente d'obtenir un certificat d'intégrité. Sinon, aucune autre sera tentée. Pour plus d'informations, contactez l'administrateur de l'autorité HRA.
SystemAccès à distance20225L'erreur suivante s'est produite dans le module du protocole Point à Point sur le port : VPN2-509, nom d'utilisateur : <username>. La connexion a été empêchée par une stratégie configurée sur votre serveur RAS/VPN. En particulier, la méthode d'authentification utilisée par le serveur pour vérifier votre nom d'utilisateur et le mot de passe ne correspondent ne peut-être pas la méthode d'authentification configurée dans votre profil de connexion. Contactez l'administrateur du serveur RAS et signalez-lui cette erreur. </username>
SystemAccès à distance20271Le <username>de l'utilisateur connecté à partir de <IP address="">, mais a échoué une tentative d'authentification la raison suivante : la connexion a été empêchée par une stratégie configurée sur votre serveur RAS/VPN. En particulier, la méthode d'authentification utilisée par le serveur pour vérifier votre nom d'utilisateur et le mot de passe ne correspondent ne peut-être pas la méthode d'authentification configurée dans votre profil de connexion. Contactez l'administrateur du serveur RAS et signalez-lui cette erreur. </IP></username>


Cause
Ces problèmes peuvent survenir que si la mise à jour de vos tiers autorités de Certication de racine à l'aide de la base de connaissances 931125 de décembre 2012 mise à jour. Le package 931125 de la base de connaissances qui a été publié le 11 décembre 2012, a été conçu uniquement pour les SKU du client. Toutefois, il est également proposé pour les éditions serveur pendant une courte période sur Windows Update et de WSUS.

Ce package installé plus de 330 autorités de Certication racine tierce. Actuellement, la taille maximale de la liste d'autorités de certification de confiance qui prend en charge par le package de sécurité Schannel est 16 kilo-octets (Ko). Ayant une grande quantité d'autorités de Certication racine tierce va dépasser les 16 Ko et que vous rencontrerez des problèmes de communication TLS/SSL.
Résolution
Si vous utilisez WSUS, et que vous n'avez pas installé la mise à jour de la base de connaissances 931125 de décembre 2012, vous devez synchroniser vos serveurs WSUS et ensuite approuver les délais d'expiration afin que vos serveurs n'installent pas la mise à jour.

Si vous avez installé la base de connaissances de décembre 2012 931125 package de mise à jour, vous devez utiliser la résolution suivante pour supprimer les autorités Certication de racine tierces supplémentaires sur tous les serveurs ayant maintenant une grande quantité d'autorités de Certication racine tierce.

Remarque : Cette solution supprime toutes les autorités de Certication racine tiers. Si votre serveur dispose d'une connectivité à Windows Update, il ajoute automatiquement arrière tiers Certication autorités racines en fonction des besoins, comme également abordé dans 931125 de la base de connaissances. Si un serveur affecté est isolé ou disonnected à partir d'Internet, vous devez manuellement ajouter les autorités de Certication racine des tiers nécessaire précédent que vous aviez dans le passé. (Ou, vous pouvez les installer à l'aide de la stratégie de groupe).

Afin que nous puissions résoudre le problème pour vous, passez à le »C'est facile à corriger. Si vous préférez résoudre ce problème manuellement, passez à le »Je résous le problème moi-même.

C'est facile à corriger

Pour résoudre ce problème automatiquement, cliquez sur le bouton Télécharger . Dans la boîte de dialogue Téléchargement de fichier , cliquez sur Ouvrirou sur exécuter , puis suivez les étapes de l'Assistant facile à corriger.
  • Assurez-vous que vous effectuez une sauvegarde du Registre et de toutes les clés concernés avant d'apporter des modifications à votre système.
  • Il se peut que l'assistant logiciel soit disponible uniquement en anglais. Toutefois, la résolution automatique fonctionne aussi pour d'autres versions linguistiques de Windows.
  • Si vous n'êtes pas sur l'ordinateur qui rencontre le problème, enregistrez la solution facile à corriger pour un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur qui rencontre le problème.

Je résous le problème moi-même

Fix50974 simple

Supprimer la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Pour ce faire, procédez comme suit :
  1. Démarrez l'Éditeur du Registre
  2. Recherchez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Avec le bouton droit et puis supprimez la clé qui est appelée « Certificats »
Remarque : Assurez-vous que vous effectuez une sauvegarde du Registre et clés concernés avant d'apporter des modifications à votre système.
Plus d'informations
Ces problèmes peuvent se produire si un serveur TLS/SSL contient de nombreuses entrées dans la liste de certification de racine de confiance. Le serveur envoie une liste des autorités de certification approuvées au client si les conditions suivantes sont remplies :
  • Le serveur utilise la sécurité TLS (Transport Layer) / protocole de SSL pour crypter le trafic du réseau.
  • Les certificats clients sont requis pour l'authentification au cours du processus de négociation de l'authentification.

Cette liste d'autorités de certification de confiance représente les autorités à partir de laquelle le serveur peut accepter un certificat client. Pour être authentifié par le serveur, le client doit avoir un certificat qui est présent dans la chaîne de certificats jusqu'à un certificat racine à partir de la liste du serveur. C'est parce que le certificat client est toujours le certificat d'entité finale à la fin de la chaîne. Le certificat client ne fait pas partie de la chaîne.

Actuellement, la taille maximale de la liste d'autorités de certification de confiance qui prend en charge par le package de sécurité Schannel est de 16 Ko dans Windows Server 2008, Windows Server 2008 R2 et Windows Server 2012.

Schannel crée la liste des autorités de certification approuvées par recherche dans le magasin d'autorités de Certification racines de confiance sur l'ordinateur local. Chaque certificat est approuvé pour l'authentification client est ajouté à la liste. Si la taille de cette liste dépasse 16 Ko, Schannel enregistre l'ID d'événement avertissement 36855. Ensuite, Schannel tronque la liste des certificats racine de confiance et envoie cette liste tronquée à l'ordinateur client.

Lorsque l'ordinateur client reçoit la liste tronquée des certificats racine de confiance, l'ordinateur client est peut-être pas un certificat qui existe dans la chaîne d'un émetteur de certificat de confiance. Par exemple, l'ordinateur client peut avoir un certificat qui correspond à un certificat racine approuvé que Schannel tronqué à partir de la liste des autorités de certification de confiance. Par conséquent, le serveur ne peut pas authentifier le client.
correctif correction corriger

Avertissement : cet article a été traduit automatiquement

Propriétés

ID d'article : 2801679 - Dernière mise à jour : 09/25/2015 23:44:00 - Révision : 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Standard without Hyper-V, Windows Small Business Server 2008 Premium, Windows Small Business Server 2008 Standard, Windows Small Business Server 2011 Essentials, Windows Small Business Server 2011 Premium Add-On, Windows Small Business Server 2011 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbmt KB2801679 KbMtfr
Commentaires
/html>e("head")[0].appendChild(m);