Al momento sei offline in attesa che la connessione Internet venga ristabilita

Problemi di comunicazione SSL/TLS dopo l'installazione 931125 KB

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 2801679
Sintomi
Dopo l'11 dicembre 2012, le applicazioni e le operazioni che dipendono da errori di autenticazioni basate su TLS potrebbero improvvisamente non nonostante non abbiano nessuna modifica alla configurazione apparente. Alcune applicazioni e le operazioni che possono generare errori includono, ma non sono limitati ai seguenti:
  • Accesso alla rete senza fili che utilizza l'autenticazione basata su certificati
  • Accesso alla rete cablata che utilizza l'autenticazione basata su certificati
  • Connettività dei client Lync o di Office Communications Server
  • Posta vocale che utilizza Exchange Server con la messaggistica unificata
  • Accesso sito Web con SSL abilitato
  • Accessi di Outlook
  • Ritardi di avvio del sistema operativo (avvio lento)
  • Ritardi di accessi utente (tempi di accesso)
Gli eventi che vengono registrati in Windows o nei registri eventi specifici dell'applicazione e che l'ambito o identificare con certezza il sintomo descritto in questo articolo includono, ma non sono limitati a, gli eventi elencati nella tabella riportata di seguito.
Registro eventiOrigine eventiID eventoTesto dell'evento
SistemaSchannel36885Quando richiesto per l'autenticazione client, il server invia un elenco di autorità di certificazione attendibili al client. Il client utilizza questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, molte autorità di certificazione che l'elenco è diventato troppo lungo ritenute attendibili dal server. Questo elenco è pertanto stato troncato. L'amministratore del computer deve esaminare le autorità di certificazione attendibili per l'autenticazione client e rimuovere quelli che effettivamente non è necessario che sia attendibile.
SistemaSchannel36887È stato ricevuto il seguente messaggio di errore irreversibile: 47
SistemaNapAgent39L'agente protezione accesso alla rete non è riuscito a determinare quali HRA per richiedere un certificato di integrità. Una modifica di rete o se è stato configurato Criteri di gruppo, una modifica alla configurazione richiederà ulteriori tentativi di acquisire un certificato sanitario. In caso contrario senza ulteriori tentativi verranno effettuati. Per ulteriori informazioni, contattare l'amministratore dell'Autorità registrazione integrità.
SistemaAccesso remoto20225Si è verificato il seguente errore nel modulo PPP sulla porta: VPN2-509, UserName: <username>. La connessione è stata bloccata a causa di un criterio configurato sul server RAS/VPN. In particolare, il metodo di autenticazione utilizzato dal server per verificare il nome utente e la password potrebbe non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e informarlo dell'errore. </username>
SistemaAccesso remoto20271<username>L'utente connesso da <IP address="">ma non è un tentativo di autenticazione per il seguente motivo: la connessione è stata bloccata a causa di un criterio configurato sul server RAS/VPN. In particolare, il metodo di autenticazione utilizzato dal server per verificare il nome utente e la password potrebbe non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e informarlo dell'errore. </IP></username>


Cause
Questi problemi possono verificarsi che se l'aggiornamento è di terze parti autorità Certication principale utilizzando il dicembre 2012 KB 931125 pacchetto di aggiornamento. Il pacchetto 931125 KB che è stato registrato il 11 dicembre 2012 è stato progettato solo per SKU client. Tuttavia, perché anche offerto per SKU di Server per un breve periodo di tempo su Windows Update e WSUS.

Questo pacchetto installato più di 330 autorità Certication principali di terze parti. Attualmente, la dimensione massima dell'elenco di autorità di certificazione attendibile che supporta il pacchetto di protezione Schannel è 16 kilobyte (KB). Aventi una grande quantità di autorità Certication principali di terze parti sarà di superare i 16 KB limite e si verificheranno problemi di comunicazione TLS/SSL.
Risoluzione
Se si utilizza WSUS e non è stato installato del dicembre 2012 KB 931125 aggiornamento, è necessario sincronizzare il server WSUS e quindi approvare le scadenze, in modo che i server di non installare l'aggiornamento.

Se è installato il dicembre 2012 KB 931125 pacchetto di aggiornamento, è necessario utilizzare la seguente risoluzione per rimuovere ulteriori terze radice Certication autorità su tutti i server che dispongono di una grande quantità di autorità Certication principali di terze parti.

Nota Questa soluzione consente di rimuovere tutte le autorità Certication radice di terze parti. Se il server dispone della connettività a Windows Update, aggiungerà automaticamente back terze Certication autorità principale come necessario, come descritti nel 931125 KB. Se un server interessato è isolato o disonnected da Internet, è necessario manualmente aggiungere autorità Certication necessarie di radice di terze parti nuovamente come verrebbero eseguite in passato. In alternativa, è possibile installarli utilizzando criteri di gruppo.

Per risolvere il problema, utilizzare il "Qui è stato facile da risolvere" sezione. Se si preferisce risolvere manualmente questo problema, eseguire il "Consenti la correzione manuale" sezione.

Qui è stato facile da risolvere

Per risolvere il problema automaticamente, fare clic sul pulsante Download . Nella finestra di dialogo Download File fare clic su Aprio Esegui e quindi seguire le istruzioni della procedura guidata facile da risolvere.
  • Assicurarsi che una copia di backup del Registro di sistema e di tutte le chiavi interessate prima di apportare eventuali modifiche al sistema.
  • Questa procedura guidata può essere solo in lingua inglese. Tuttavia, la correzione automatica funziona anche per altre versioni di lingua di Windows.
  • Se non si è sul computer che presenta il problema, salvare la soluzione facile da risolvere per un'unità memoria flash o un CD e quindi eseguirlo sul computer che presenta il problema.

Consenti la correzione manuale

Fix50974 semplice

Eliminare la seguente chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

A tale scopo, attenersi alla seguente procedura:
  1. Avviare l'Editor del Registro di sistema
  2. La seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Pulsante destro del mouse e quindi eliminare la chiave che viene chiamata "Certificati"
Nota Assicurarsi che una copia di backup del Registro di sistema e chiavi coinvolte prima di apportare eventuali modifiche al sistema.
Informazioni
Questi problemi possono verificarsi se un server TLS/SSL contiene molte voci nell'elenco di certificazione principale attendibile. Il server invia un elenco di autorità di certificazione attendibili al client se sono vere le seguenti condizioni:
  • Il server utilizza la protezione TLS (Transport Layer) / protocollo SSL per crittografare il traffico di rete.
  • I certificati client sono necessari per l'autenticazione durante il processo di handshake di autenticazione.

Questo elenco di autorità di certificazione attendibili rappresenta le autorità da cui il server può accettare un certificato client. Per essere autenticato dal server, il client deve disporre di un certificato presente nella catena di certificati a un certificato radice dall'elenco del server. Ciò avviene perché il certificato client è sempre il certificato finale alla fine della catena. Il certificato client non fa parte della catena.

Attualmente, la dimensione massima dell'elenco di autorità di certificazione attendibile che supporta il pacchetto di protezione Schannel è 16 KB in Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.

SChannel crea l'elenco di certificati attendibili cercando nell'archivio Autorità di certificazione radice attendibili sul computer locale. Ogni certificato attendibile per scopi di autenticazione client viene aggiunto all'elenco. Se la dimensione dell'elenco supera i 16 KB, Schannel registrato l'ID evento di avviso 36855. Quindi, Schannel Tronca l'elenco dei certificati principali attendibili e invia questo elenco troncato al computer client.

Quando il client riceve l'elenco dei certificati principali attendibili troncato, il client non dispone di un certificato presente nella catena di un'autorità di certificazione attendibile. Ad esempio, il client potrebbe essere un certificato che corrisponde al certificato principale attendibile che Schannel troncato dall'elenco di autorità di certificazione attendibili. Di conseguenza, il server non può autenticare il client.
FixIt correggerlo fixme

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 2801679 - Ultima revisione: 09/25/2015 23:42:00 - Revisione: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Standard without Hyper-V, Windows Small Business Server 2008 Premium, Windows Small Business Server 2008 Standard, Windows Small Business Server 2011 Essentials, Windows Small Business Server 2011 Premium Add-On, Windows Small Business Server 2011 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbmt KB2801679 KbMtit
Feedback
ppendChild(m);