Al momento sei offline in attesa che la connessione Internet venga ristabilita

I client non possono effettuare connessioni se si richiedono i certificati client in un sito Web o se si utilizza il servizio IAS in Windows Server 2003

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 933430
Importante In questo articolo contiene informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo. Assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
256986 Descrizione del Registro di sistema di Microsoft Windows
Sintomi
Prendere in considerazione i seguenti scenari.

Scenario 1

  • Si dispone di un sito Web di Microsoft Internet Information Services (IIS) 6.0 che utilizza il protocollo Secure Sockets Layer (SSL) per crittografare le connessioni client.
  • L'opzione Richiedi certificati dei client è selezionata nella finestra di dialogo Comunicazioni protette delWebSiteName Finestra di dialogo proprietà.
In questo scenario, è possibile riscontrare i seguenti sintomi:
  • I client non possono connettersi al sito Web.
  • L'evento di avviso riportato di seguito viene registrato nel computer basato su Microsoft Windows Server 2003 che ospita il sito Web:

    Tipo di evento: avviso
    Origine evento: Schannel
    Categoria evento: nessuno
    ID evento: 36885
    Data: Data
    Ora: ora
    Utente:
    Computer: NOMECOMPUTER
    Descrizione: quando richiesto per l'autenticazione del client, il server invia al client un elenco di autorità di certificazione attendibili. Il client utilizza questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, molte autorità di certificazione che l'elenco è diventato troppo lungo ritenute attendibili dal server. Questo elenco è pertanto stato troncato. L'amministratore del computer deve esaminare le autorità di certificazione attendibili per l'autenticazione client e rimuovere quelli che effettivamente non è necessario che sia attendibile.

Nota Per impostazione predefinita, gli avvisi del canale sicuro (Schannel) non vengono registrati. Per ulteriori informazioni su come configurare la registrazione per eventi Schannel, vedere la sezione "Ulteriori informazioni".

Scenario 2

Si utilizza un computer basato su Microsoft Windows Server 2003 che esegue Microsoft Internet Authentication Service (IAS) per supportare l'autenticazione per una rete wireless. In questo scenario, è possibile riscontrare i seguenti sintomi:
  • Il server IAS correttamente non è in grado di autenticare i client. Di conseguenza, i computer client wireless Impossibile connettersi correttamente alla rete wireless.
  • Sul server IAS viene registrato un evento di avviso analogo al seguente:

    Tipo di evento: avviso
    Origine evento: IAS
    Categoria evento: nessuno
    ID evento: 2
    Data: Data
    Ora: ora
    Utente:
    Computer: NOMECOMPUTER
    Descrizione: utente jsmith@contoso.com è stato negato l'accesso.
    Completamente-completo-User-Name = CONTOSOS\jsmithNAS-indirizzo IP = 10.20.30.40
    Identificatore NAS = WL1234-1
    Identificativo stazione chiamata = 0016.462c.1650
    Identificatore di stazione chiamata = 0012.f05b.a795
    Client-Friendly-Name = WL1234-1
    Indirizzo IP = 10.20.30.40
    NAS-Port-Type = senza fili - IEEE 802.11
    NAS-Port = nome del criterio di 10037Proxy = Usa autenticazione di Windows per tutti gli utenti
    Provider di autenticazione = Windows
    Server di autenticazione = <undetermined>
    Nome criterio = criterio di accesso di rete senza fili
    Tipo di autenticazione = EAP
    Tipo di EAP = Smart Card o altro certificato
    Codice causale = 266
    Motivo = il messaggio ricevuto era imprevisto o con formato.
    Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.
    Dati: 0000: 26 03 09 80 &..?</undetermined>

  • Sul server IAS può essere registrato un evento simile al seguente avviso:

    Tipo di evento: avviso
    Origine evento: Schannel
    Categoria evento: nessuno
    ID evento: 36885
    Data: Data
    Ora: ora
    Utente:
    Computer: NOMECOMPUTER
    Descrizione: quando richiesto per l'autenticazione del client, il server invia al client un elenco di autorità di certificazione attendibili. Il client utilizza questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, molte autorità di certificazione che l'elenco è diventato troppo lungo ritenute attendibili dal server. Questo elenco è pertanto stato troncato. L'amministratore del computer deve esaminare le autorità di certificazione attendibili per l'autenticazione client e rimuovere quelli che effettivamente non è necessario che sia attendibile.

Nota Per impostazione predefinita, gli avvisi del canale sicuro (Schannel) non vengono registrati. Per ulteriori informazioni su come configurare la registrazione per eventi Schannel, vedere la sezione "Ulteriori informazioni".
Cause
Questo problema può verificarsi se il server Web o il server IAS contiene molte voci nell'elenco di certificazione principale attendibile. Il server invia un elenco di autorità di certificazione attendibili al client se sono vere le seguenti condizioni:
  • Il server utilizza la protezione TLS (Transport Layer) / protocollo SSL per crittografare il traffico di rete.
  • I certificati client sono necessari per l'autenticazione durante il processo di handshake di autenticazione.
Questo elenco di autorità di certificazione attendibili rappresenta le autorità da cui il server può accettare un certificato client. Per essere autenticato dal server, il client deve disporre di un certificato è presente nella catena di certificati a un certificato radice dall'elenco del server.

Attualmente, la dimensione massima dell'elenco di autorità di certificazione attendibile che supporta il pacchetto di protezione Schannel è 12,228 (0x3000) byte.

SChannel crea l'elenco delle autorità di certificazione attendibile per la ricerca nell'archivio Autorità di certificazione radice attendibili sul computer locale. Ogni certificato è attendibile per scopi di autenticazione del client viene aggiunto all'elenco. Se la dimensione dell'elenco supera 12,228 byte, Schannel registra un avviso con ID evento 36885. Quindi, Schannel Tronca l'elenco dei certificati principali attendibili e invia questo elenco troncato al computer client.

Quando il computer client riceve l'elenco dei certificati principali attendibili troncato, è possibile che il computer client non dispone di un certificato presente nella catena di un'autorità di certificazione attendibile. Ad esempio, il computer client potrebbe essere un certificato che corrisponde a un certificato principale attendibile che Schannel troncato dall'elenco di autorità di certificazione attendibili. Di conseguenza, il server IAS non può autenticare il client.

L'hotfix aumenta il buffer di protezione Schannel 16K. Se si supera questo limite, si avrà comunque problemi descritti nella sezione "Sintomi" di questo articolo.Questa modifica è stata anche inclusa in Windows Server 2008 e Windows Server 2008 R2.Le soluzioni alternative descritte di seguito verranno applicate anche a Windows Server 2008 e Windows Server 2008 R2.


Risoluzione

Informazioni sull'hotfix

Un hotfix supportato è disponibile da Microsoft. Tuttavia è destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Applicarlo solo ai sistemi in cui si verificano questo problema specifico. Questo hotfix potrebbe ricevere ulteriori verifiche. Se il problema non causa gravi difficoltà, si consiglia di attendere la versione successiva del service pack di Windows Server 2003 contenente tale hotfix.

Per risolvere immediatamente questo problema, contattare il supporto tecnico clienti Microsoft per ottenere l'hotfix. Per un elenco completo di numeri di telefono del supporto tecnico clienti Microsoft e informazioni sui costi dell'assistenza, visitare il seguente sito Web Microsoft:Nota In casi particolari, le spese normalmente addebitate per le chiamate al supporto tecnico potrebbero essere annullate se un professionista del supporto Microsoft determina che uno specifico aggiornamento risolverà il problema. I costi di supporto usuali verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Prerequisiti

Per applicare questo hotfix, è necessario disporre di Windows Server 2003 Service Pack 1 (SP1) o Windows Server 2003 Service Pack 2 (SP2) installato nel computer.Per ulteriori informazioni su come ottenere il service pack più recente per Windows Server 2003, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
889100 informazioni su Come ottenere il service pack più recente per Windows Server 2003

Richiesta di riavvio

È necessario riavviare il computer dopo avere applicato questo hotfix.

Informazioni sulla sostituzione dell'aggiornamento rapido

Questo hotfix non sostituisce eventuali altri aggiornamenti rapidi.

Informazioni sui file

La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate nel tempo universale coordinato (UTC). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda fuso orario nell'elemento di Data e ora nel Pannello di controllo.
Windows Server 2003, versioni basate su x86 con SP1
Nome del fileVersione del fileDimensione del fileDataOraPiattaforma
Schannel. dll5.2.3790.2971144.89610-lug-200717:27x86
Windows Server 2003, versioni basate su x86 con Service Pack 2
Nome del fileVersione del fileDimensione del fileDataOraPiattaforma
Schannel. dll5.2.3790.4115147,45610-lug-200717:51x86
Windows Server 2003, versioni basate su x64 con SP1
Nome del fileVersione del fileDimensione del fileDataOraPiattaformaRamo del servizio
Schannel. dll5.2.3790.2971254,46410-lug-200703:15x64Non applicabile
Wschannel.dll5.2.3790.2971144.89610-lug-200703:15x86WOW
Windows Server 2003, versioni basate su x64 SP2
Nome del fileVersione del fileDimensione del fileDataOraPiattaformaRamo del servizio
Schannel. dll5.2.3790.2971254,46410-lug-200703:15x64Non applicabile
Wschannel.dll5.2.3790.2971144.89610-lug-200703:15x86WOW
Windows Server 2003, versioni basate su Itanium con SP1
Nome del fileVersione del fileDimensione del fileDataOraPiattaformaRamo del servizio
Schannel. dll5.2.3790.2971466,43210-lug-200703:16IA-64Non applicabile
Wschannel.dll5.2.3790.2971144.89610-lug-200703:16x86WOW
Windows Server 2003, versioni basate su Itanium con Service Pack 2
Nome del fileVersione del fileDimensione del fileDataOraPiattaformaRamo del servizio
Schannel. dll5.2.3790.4115466,43210-lug-200703:24IA-64Non applicabile
Wschannel.dll5.2.3790.4115147,45610-lug-200703:24x86WOW
Workaround
Per ovviare a questo problema, utilizzare uno dei metodi seguenti, a seconda della situazione.

Metodo 1: Rimuovere alcuni certificati principali attendibili

Se alcuni dei certificati principali attendibili non vengono utilizzati nel proprio ambiente, rimuoverli dal server Web o dal server IAS. A tale scopo, attenersi alla seguente procedura:
  1. Fare clic su Start, scegliere Esegui, tipo MMC, quindi scegliere OK.
  2. Dal menu File , fare clic su Aggiungi/Rimuovi Snap-ine quindi fare clic su Aggiungi.
  3. Nella finestra di dialogo Aggiungi Snap-in autonomo fare clic su certificatie quindi fare clic su Aggiungi.
  4. Fare clic su account del Computer, fare clic su Avantie quindi fare clic su Fine.
  5. Fare clic su Chiudie quindi fare clic su OK.
  6. Nella Directory principale della Console dello snap-in Microsoft Management Console (MMC), espandere certificati (Computer locale), espandere Autorità di certificazione fonti attendibilie quindi fare clic su certificati.
  7. Rimuovere i certificati principali attendibili che non è necessario avere. A tale scopo, destro del mouse su un certificato, fare clic su Eliminae quindi fare clic su per confermare la rimozione del certificato.
Nota Esistono alcuni certificati richiesti da Windows. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
293781 Certificati principali attendibili sono necessari da Windows Server 2003, Windows XP e Windows 2000

Metodo 2: Configurare criteri di gruppo per ignorare l'elenco delle autorità di certificazione attendibili sul computer locale

Se il server IAS o il server Web è un membro di un dominio, è possibile creare un criterio per determinare il server ignorare l'elenco delle autorità di certificazione attendibili sul computer locale. Quando si applica questo criterio, client e server interessati attendibili solo i certificati nell'archivio Autorità di certificazione radice. Non è pertanto necessario modificare i singoli computer.

Nota Questo metodo funziona solo se tutti i computer client sono dalla foresta di Active Directory o stesso dominio del servizio directory Active Directory. Criteri di gruppo non viene applicato ai computer che non sono nella stessa foresta di Active Directory.

Per creare questo criterio, attenersi alla seguente procedura.

Passaggio 1: Creare un oggetto Criteri di gruppo

  1. Accedere a un controller di dominio e quindi avviare lo strumento Active Directory Users and Computers. A tale scopo, fare clic su Start, scegliere Esegui, tipo DSA. msc, quindi scegliere OK.
  2. Il pulsante destro del contenitore in cui si desidera configurare l'oggetto Criteri di gruppo e quindi scegliere proprietà. Ad esempio, destro del mouse sul contenitore del dominio o destro del mouse su un contenitore di unità organizzativa.
  3. Fare clic sulla scheda Criteri di gruppo e quindi fare clic su Nuovo.
  4. Digitare un nome descrittivo per il criterio e quindi premere INVIO.
  5. Fare clic su Modifica per avviare l'Editor oggetti Criteri di gruppo.
  6. Espandere Configurazione Computer, espandere Impostazioni di Windows, espandere Impostazioni protezionee quindi fare clic su Criteri chiave pubblica.
  7. Destro del mouse sul Certificato dell'autorità di certificazione radice attendibilie quindi scegliere proprietà.
  8. Fare clic su Autorità di certificazione radicee quindi fare clic su OK.
  9. Chiudere l'Editor oggetti Criteri di gruppo.
  10. Fare clic su OK per chiudere laNomeOggetto Finestra di dialogo proprietà.

Passaggio 2: Aggiungere i certificati radice all'archivio certificati "Autorità"

  1. Esportare i certificati radice necessari dall'archivio del computer locale del server appropriato. Inclusi i certificati radice per le autorità di certificazione interna (CA) e certificati radice per autorità di certificazione pubblica richieste dall'organizzazione.
  2. Accedere a un controller di dominio e quindi avviare lo strumento Active Directory Users and Computers.
  3. Pulsante destro del mouse sul contenitore che contiene l'oggetto Criteri di gruppo creato nel "passaggio 1: oggetto Criteri di creazione di un gruppo" della sezione e quindi scegliere proprietà.
  4. Fare clic sulla scheda Criteri di gruppo , fare clic sull'oggetto Criteri di gruppo e quindi fare clic su Modifica.
  5. Espandere Configurazione Computer, espandere Impostazioni di Windows, espandere Impostazioni protezionee quindi fare clic su Criteri chiave pubblica.
  6. Il pulsante destro Autorità certificato principale attendibile 'e quindi fare clic su Importa.
  7. Seguire i passaggi dell'importazione guidata certificati per importare il certificato principale o i certificati che vengono esportati nel passaggio 2a.
  8. Chiudere l'Editor oggetti Criteri di gruppo.
  9. Fare clic su OK per chiudere laNomeOggetto Finestra di dialogo proprietà.
Nota Esistono alcuni certificati richiesti da Windows. È necessario aggiungere questi certificati per il criterio creato. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
293781 Certificati principali attendibili sono necessari da Windows Server 2003, Windows XP e Windows 2000

Metodo 3: Configurare Schannel per non inviare l'elenco delle autorità di certificazione principale attendibile durante il processo di handshake TLS/SSL

Avviso L'errata modifica del Registro di sistema utilizzando l'Editor del Registro di sistema o un altro metodo può causare problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.

Sul server che esegue IIS o nel server IAS in cui si verifica questo problema, impostare la seguente voce del Registro di sistema su false:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL


Nome valore: SendTrustedIssuerList
Tipo di valore: REG_DWORD
Dati valore: 0 (FALSO)
Per impostazione predefinita, questa voce non è elencata nel Registro di sistema. Per impostazione predefinita, questo valore è 1 (True). Questa voce del Registro di sistema controlla il flag che controlla se il server invia al client un elenco di autorità di certificazione attendibili. Quando si imposta questa voce del Registro di sistema su False, il server non invia un elenco di autorità di certificazione attendibili al client. Questo problema potrebbe riguardare il modo in cui il client risponde a una richiesta di certificato. Ad esempio, se Internet Explorer riceve una richiesta per l'autenticazione client, Internet Explorer visualizza solo i certificati client presenti nella catena di una delle autorità di certificazione che l'elenco dal server. Tuttavia, se il server non invia un elenco di autorità di certificazione attendibili, Internet Explorer consente di visualizzare tutti i certificati client sono installati nel computer client.

Per impostare questa voce del Registro di sistema, attenersi alla seguente procedura:
  1. Fare clic su Start, scegliere Esegui, tipo Regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Dal menu Modifica , scegliere Nuovoe quindi fare clic su Valore DWORD.
  4. Digitare SendTrustedIssuerList, quindi premere INVIO per il nome della voce del Registro di sistema.
  5. Il pulsante destro del SendTrustedIssuerListe quindi fare clic su Modifica.
  6. Nella casella dati valore digitare 0 Se valore non è già visualizzata e quindi fare clic su OK.
  7. Uscire dall'Editor del Registro di sistema.
Per ulteriori informazioni sulla voce del Registro di sistema SCHANNEL, visitare il seguente sito Web Microsoft:
Status
Microsoft ha confermato che questo è un problema nei prodotti Microsoft elencati nella sezione "Si applica a".
Informazioni
Windows Server 2003 è progettato per esaminare automaticamente l'elenco delle autorità di certificazione attendibili sul sito Web Microsoft Windows Update quando si aggiornano certificati principali. Quindi, Windows installa il certificato di autenticazione appropriato dopo che il certificato viene convalidato dal programma dell'utente.

Nota In Windows Server 2003, l'elenco delle autorità di certificazione non può superare 12,228 (0x3000) byte. Quando si aggiornano certificati principali, può aumentare significativamente l'elenco delle autorità di certificazione attendibile. Pertanto, l'elenco diventi troppo lungo. In questo caso, Windows Tronca l'elenco. Questo comportamento potrebbe causare problemi con l'autorizzazione. In questo scenario, si potrebbe verificarsi il problema descritto nella sezione "Sintomi".

Come configurare la registrazione per eventi Schannel

Avviso L'errata modifica del Registro di sistema utilizzando l'Editor del Registro di sistema o un altro metodo può causare problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.

Per configurare Schannel per registrare gli eventi di avviso nel Registro di sistema, impostare la seguente voce del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


Nome valore: EventLogging
Tipo di valore: REG_DWORD
Dati valore: 0x3
Nota Il valore 0x3 Configura Schannel per registrare eventi di avviso ed errori.

Per ulteriori informazioni su come configurare la registrazione per eventi Schannel, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
260729 Come attivare la registrazione in IIS di eventi Schannel
Riferimenti
Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
931125 Membri Microsoft root certificate program (gennaio 2007)
Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
814394 Requisiti dei certificati quando si utilizza EAP-TLS o PEAP con EAP-TLS

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 933430 - Ultima revisione: 03/15/2015 06:04:00 - Revisione: 4.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbautohotfix kbeventlog kbtshoot kberrmsg kbprb kbHotfixServer kbmt KB933430 KbMtit
Feedback