現在オフラインです。再接続するためにインターネットの接続を待っています

Web サイトでクライアント証明書を必要とする場合、または Windows Server 2003 IAS を使用する場合は、クライアントが接続することはできません。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:933430
重要: この資料には、レジストリを変更する方法に関する情報が含まれます。これを変更する前に、レジストリをバックアップすることを確認します。問題が発生した場合にレジストリを復元する方法を必ず知っておいてください。バックアップ、復元、およびレジストリを変更する方法の詳細については、次の文書番号をクリックして、マイクロソフト サポート技術資料を参照してください。
256986 Microsoft Windows レジストリについての説明
現象
次のシナリオを検討してください。

シナリオ 1

  • クライアント接続の暗号化に Secure Sockets Layer (SSL) プロトコルを使用する Microsoft インターネット インフォメーション サービス (IIS) 6.0 の Web サイトがあります。
  • セキュリティ保護された通信] ダイアログ ボックスの [クライアント証明書を要求する] オプションが選択されて、Web サイト名 プロパティ ダイアログ ボックスです。
このシナリオで、次の現象が発生する可能性があります。
  • クライアントが Web サイトに正常に接続できません。
  • Web サイトをホストする Microsoft Windows Server 2003 ベースのコンピューターには、次の警告イベントが記録されます。

    イベントの種類: 警告
    イベント ソース: Schannel
    イベント カテゴリ: なし
    イベント ID: 36885
    日付: date
    時間: 時刻
    ユーザー:
    コンピューター: コンピューター名
    説明: ときに、このサーバーのクライアント認証を要求は信頼された証明機関の一覧をクライアントに送信します。クライアントは、サーバーによって信頼されているクライアント証明書を選択するにはこの一覧を使用します。現在、このサーバーの一覧が大きくなりすぎて多くの証明機関を信頼します。このリストは、そのため切り捨てられました。このコンピューターの管理者する必要がありますクライアント認証用の信頼された証明機関を確認し、本当に信頼する必要はありませんを削除します。

注: <b>既定では、セキュリティで保護されたチャネル (Schannel) 警告イベントは記録されません。Schannel イベント ログを構成する方法の詳細については、「関連情報」セクションを参照してください。

シナリオ 2

Microsoft インターネット認証サービス (IAS) 認証をサポートするワイヤレス ネットワークを実行している Microsoft Windows Server 2003 ベースのコンピューターを使用します。このシナリオで、次の現象が発生する可能性があります。
  • IAS サーバーは、クライアントが正常に認証できません。したがって、ワイヤレス クライアント コンピューターは正常にワイヤレス ネットワークに接続します。
  • IAS サーバーでは、次のような警告イベントが記録されます。

    イベントの種類: 警告
    イベント ソース: IAS
    イベント カテゴリ: なし
    イベント ID: 2
    日付: date
    時間: 時刻
    ユーザー:
    コンピューター: コンピューター名
    説明: ユーザーの jsmith@contoso.com にアクセスが拒否されました。
    完全に修飾された-ユーザー名 = CONTOSOS\jsmithNAS IP アドレス 10.20.30.40 =
    NAS 識別子 = WL1234-1
    被呼端末識別 = 0016.462c.1650
    通話-ステーションの識別子 = 0012.f05b.a795
    クライアント フレンドリ名 = WL1234-1
    クライアント IP アドレス 10.20.30.40 =
    NAS ポートタイプ ワイヤレス - IEEE 802.11 の =
    NAS ポート 10037Proxy ポリシー名 = = Windows 認証をすべてのユーザー
    認証プロバイダー Windows =
    認証サーバー = <undetermined>
    ポリシー名 = ワイヤレス ネットワーク アクセス ポリシー
    認証の種類の EAP を =
    EAP の種類 = スマート カードまたはその他の証明書
    理由コード 266 =
    理由 = 予期しない、または不適切な形式のメッセージを受信しました。
    詳細情報は、http://go.microsoft.com/fwlink/events.asp のヘルプとサポート センターを参照してください。
    データ: 0000: 26 03 09 の 80 &... でしょうか。</undetermined>

  • IAS サーバーで、次の警告イベントのようなイベントが記録されます。

    イベントの種類: 警告
    イベント ソース: Schannel
    イベント カテゴリ: なし
    イベント ID: 36885
    日付: date
    時間: 時刻
    ユーザー:
    コンピューター: コンピューター名
    説明: ときに、このサーバーのクライアント認証を要求は信頼された証明機関の一覧をクライアントに送信します。クライアントは、サーバーによって信頼されているクライアント証明書を選択するにはこの一覧を使用します。現在、このサーバーの一覧が大きくなりすぎて多くの証明機関を信頼します。このリストは、そのため切り捨てられました。このコンピューターの管理者する必要がありますクライアント認証用の信頼された証明機関を確認し、本当に信頼する必要はありませんを削除します。

注: <b>既定では、セキュリティで保護されたチャネル (Schannel) 警告イベントは記録されません。Schannel イベント ログを構成する方法の詳細については、「関連情報」セクションを参照してください。
原因
Web サーバーまたは IAS サーバーに、信頼されたルート証明書のリストに多数のエントリが含まれている場合は、この問題を発生可能性があります。サーバーは、次の条件に該当する場合、クライアントに信頼された証明機関の一覧を送信します。
  • サーバーは、トランスポート層セキュリティ (TLS) を使用して SSL プロトコルのネットワーク トラフィックを暗号化するとします。
  • クライアント証明書は、認証ハンドシェイク処理中に認証に必要です。
この信頼された証明機関の一覧は、サーバーをクライアント証明書を受け入れることができます機関を表します。サーバーによって認証が、クライアントが存在するチェーンの証明書のルート証明書をサーバーの一覧から証明書が必要です。

現在、Schannel セキュリティ パッケージをサポートする信頼された証明書機関リストの最大サイズは 12,228 (著しく) バイトです。

Schannel は、ローカル コンピューター上の信頼されたルート証明機関ストアを検索して、信頼された証明機関の一覧を作成します。クライアント認証の目的で信頼されているすべての証明書が一覧に追加されます。Schannel はこのリストのサイズが 12,228 バイトを超えた場合の警告イベント ID 36885 を記録します。、Schannel 信頼されたルート証明書の一覧を切り捨てし、この切り捨てられたリストをクライアント コンピューターに送信します。

クライアント コンピューターの信頼されたルート証明書の切り捨てられたリストを受け取ると、クライアント コンピューター証明書を信頼された証明書の発行者のチェーンに存在する必要はありません。たとえば、クライアント コンピューターに証明書を信頼された証明機関の一覧から Schannel を切り捨て信頼されたルート証明書に対応するがあります。このため、IAS サーバーは、クライアントを認証できません。

修正プログラムは、Schannel セキュリティ バッファーを 16 k に増加します。この制限を超えた場合、この資料の「現象」に記載されている問題が残ります。この変更された Windows Server 2008 と Windows Server 2008 R2 に含まれても。下記の回避策が Windows Server 2008 と Windows Server 2008 R2 にも適用されます。


解決方法

修正プログラムの情報

サポートされている修正プログラムはマイクロソフトから現在入手可能です。ただし、この資料に記載されている問題のみを修正するものです。この特定の問題が発生したシステムにのみ適用してください。この修正プログラム テストを受ける可能性があります。したがって、深刻なこの問題の影響を受けるしない場合は、お勧めこの修正プログラムを含む次の Windows Server 2003 service pack まで待つことです。

この問題を直ちに解決するには、修正プログラムを入手するには、Microsoft カスタマー サポート サービスに問い合わせてください。Microsoft カスタマー サポート サービスの電話番号とサポート コストに関する情報の完全なリストは、次のマイクロソフト Web サイトを参照してください。注: <b> 特別な場合では、まれに通常サポート コールの発生に料金 Microsoft Support 担当者は、特定の更新で問題が解決されると判断した。追加の質問および問題の特定のアップデートの対象にはなりませんが、通常のサポート料金が適用されます。

必要要件

この修正プログラムを適用するには Windows Server 2003 Service Pack 1 (SP1) または Windows Server 2003 Service Pack 2 (SP2) コンピューターにインストールが必要です。Windows Server 2003 の最新の service pack の入手方法の詳細については、次のマイクロソフト サポート技術資料を参照する次の文書番号をクリックしてください。
889100 Windows Server 2003 の最新の service pack の入手方法

再起動の必要性

この修正プログラムを適用した後コンピューターを再起動する必要があります。

修正プログラムの置き換えに関する情報

この修正プログラムによって他の修正プログラムが置き換わることはありません。

ファイル情報

修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
Windows Server 2003 sp1 x 86 ベースのバージョン
ファイル名ファイル バージョンファイルのサイズ日付時刻プラットフォーム
Schannel.dll5.2.3790.2971144,8962007 年 7 月 10 日17:27x86
Windows Server 2003 sp2 x 86 ベースのバージョン
ファイル名ファイル バージョンファイルのサイズ日付時刻プラットフォーム
Schannel.dll5.2.3790.4115147,4562007 年 7 月 10 日17:51x86
Windows Server 2003 sp1 x 64 ベースのバージョン
ファイル名ファイル バージョンファイルのサイズ日付時刻プラットフォーム区分
Schannel.dll5.2.3790.2971254,4642007 年 7 月 10 日03:15x64該当なし
Wschannel.dll5.2.3790.2971144,8962007 年 7 月 10 日03:15x86WOW
Windows Server 2003 x 64 ベース バージョンの SP2
ファイル名ファイル バージョンファイルのサイズ日付時刻プラットフォーム区分
Schannel.dll5.2.3790.2971254,4642007 年 7 月 10 日03:15x64該当なし
Wschannel.dll5.2.3790.2971144,8962007 年 7 月 10 日03:15x86WOW
Windows Server 2003 SP1 では、Itanium ベースのバージョン
ファイル名ファイル バージョンファイルのサイズ日付時刻プラットフォーム区分
Schannel.dll5.2.3790.2971466,4322007 年 7 月 10 日03:16IA-64該当なし
Wschannel.dll5.2.3790.2971144,8962007 年 7 月 10 日03:16x86WOW
Windows Server 2003 SP2 と Itanium ベースのバージョン
ファイル名ファイル バージョンファイルのサイズ日付時刻プラットフォーム区分
Schannel.dll5.2.3790.4115466,4322007 年 7 月 10 日03:24IA-64該当なし
Wschannel.dll5.2.3790.4115147,4562007 年 7 月 10 日03:24x86WOW
回避策
この問題を回避するには、次の方法のいずれか、状況に応じて使用します。

方法 1: いくつかの信頼されたルート証明書を削除します。

いくつかの信頼されたルート証明書は、お客様の環境では使用されません、する場合、Web サーバーまたは IAS サーバーから削除します。これを行うには、次の手順を実行します。
  1. [スタート] ボタン、実行をクリックして型 mmcと入力し、[OK] をクリックします。
  2. [ファイル] メニュー [スナップインの追加と削除]をクリックして [追加] をします。
  3. スタンドアロン スナップインの追加] ダイアログ ボックスで、証明書をクリックし、[追加] をクリックします。
  4. [コンピューター アカウント] をクリックして、次へ完了] をクリックします。
  5. [閉じる] をクリックし、[ OK] をクリックします。
  6. Microsoft 管理コンソール (MMC) スナップインで[コンソール ルート] の下証明書 (ローカル コンピューター)] を展開信頼ルート証明機関] を展開し、[証明書] をクリックします。
  7. ないの信頼されたルート証明書を削除します。証明書を右クリックし、削除を、] をクリックしておよびはい証明書の削除の確認] をクリックします。
注: <b>Windows で必要なルート証明書のいくつかがあります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
293781 信頼されたルート証明書は、Windows XP、および Windows 2000 から Windows Server 2003 に必要です

方法 2: ローカル コンピューター上の信頼された証明機関の一覧を無視するようにグループ ポリシーを構成します。

IAS サーバーまたは Web サーバーが、ドメインのメンバーである場合、ポリシーを無視するのには、サーバーを作成できます、ローカル コンピューター上の信頼された証明機関の一覧です。このポリシーを適用すると影響を受けるサーバーとクライアントのみ信頼は、エンタープライズ ルート証明機関ストアに証明書をします。したがって、個々 のコンピューターを変更する必要はありません。

注: <b>このメソッドは、すべてのクライアント コンピューターは、同じ Active Directory ディレクトリ サービスのドメインまたは Active Directory フォレストの場合にのみ機能します。グループ ポリシーは、同じ Active Directory フォレストには存在しないコンピューターには適用されません。

このポリシーを作成するには、次の手順を実行します。

手順 1: グループ ポリシー オブジェクトを作成します。

  1. ドメイン コント ローラーにログオンし、Active Directory ユーザーとコンピューター] ツールを起動し。これは、[スタート] ボタン、実行] をクリックする種類 ファイル名を指定と入力し、[OK] をクリックします。
  2. コンテナー、グループ ポリシー オブジェクトを構成するを右クリックし、[プロパティ] をクリックします。たとえば、ドメイン コンテナーを右クリックしてや組織単位コンテナーを右クリックします。
  3. グループ ポリシー ] タブをクリックし、[新規] をクリックします。
  4. ポリシーのわかりやすい名前を入力し、ENTER キーを押します。
  5. グループ ポリシー オブジェクト エディターを起動する編集をクリックします。
  6. 展開コンピューターの構成、展開Windows の設定セキュリティの設定] を展開および [公開キーのポリシー] をクリックします。
  7. 信頼されたルート証明機関の選択を右クリックし、[プロパティ] をクリックします。
  8. エンタープライズ ルート証明機関をクリックし、[ OK] をクリックします。
  9. グループ ポリシー オブジェクト エディターを終了します。
  10. 閉じるには[OK ] をクリックしますオブジェクト名 プロパティ ダイアログ ボックスです。

手順 2:"信頼されたルート証明機関] 証明書ストアにルート証明書を追加します。

  1. 適切なサーバーのローカル コンピューターのストアから、すべての必要なルート証明書をエクスポートします。内部の証明機関 (Ca) のルート証明書と組織で必要な公共の証明機関のルート証明書が含まれます。
  2. ドメイン コント ローラーにログオンし、Active Directory ユーザーとコンピューター] ツールを起動し。
  3. 作成したグループ ポリシー オブジェクトを含むコンテナーを右クリックして、"ステップ 1: 作成するグループ ポリシー オブジェクト」セクション、および [プロパティ] をクリックします。
  4. [グループ ポリシー ] タブをクリックして、グループ ポリシー オブジェクトを [編集] をクリックします。
  5. 展開コンピューターの構成、展開Windows の設定セキュリティの設定] を展開および [公開キーのポリシー] をクリックします。
  6. 信頼されたルート証明機関 'を右クリックし、[インポート] をクリックします。
  7. ルート証明書または手順 2a でエクスポートした証明書をインポートする証明書のインポート ウィザードの手順を実行します。
  8. グループ ポリシー オブジェクト エディターを終了します。
  9. 閉じるには[OK ] をクリックしますオブジェクト名 プロパティ ダイアログ ボックスです。
注: <b>Windows で必要なルート証明書のいくつかがあります。作成したポリシーにこれらの証明書を追加する必要があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
293781 信頼されたルート証明書は、Windows XP、および Windows 2000 から Windows Server 2003 に必要です

方法 3: TLS と SSL ハンドシェイク処理中に、信頼されたルート証明機関の一覧を送信できなくする Schannel を構成します。

警告[レジストリ エディタ] または別の方法を使用してレジストリを誤って修正すると、深刻な問題が発生することがあります。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証することはできません。自己の責任においてレジストリを変更してください。

IIS を実行しているサーバー上またはこの問題が発生している IAS サーバーには、次のレジストリ エントリを false に設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL


値の名前: SendTrustedIssuerList
値の種類: REG_DWORD
値のデータ: 0 (False)
既定では、このエントリは、レジストリには表示されません。既定では、この値は 1 (True) です。このレジストリ エントリは、サーバーが信頼された証明機関の一覧をクライアントに送信かどうかを制御するフラグを制御します。このレジストリ エントリを False に設定するときに、サーバーは信頼された証明機関の一覧をクライアントに送信しません。この現象は、クライアントが証明書の要求に応答する方法に影響可能性があります。たとえば、Internet Explorer はクライアント認証の要求を受信した場合 Internet Explorer のみ、クライアント証明書に表示される 1 つのサーバーの一覧には、証明機関のチェーンに表示します。ただし、サーバーは信頼された証明機関の一覧を送信しない場合は、Internet Explorer がクライアント コンピューターにインストールされているすべてのクライアント証明書が表示されます。

このレジストリ エントリを設定するには、次の手順を実行します。
  1. [スタート] ボタン、実行をクリックして型 regeditと入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    あります
  3. [編集] メニューで、[新規] をポイントし、[DWORD 値] をクリックします。
  4. タイプ SendTrustedIssuerList、し、ENTER キーを押して名前をレジストリ エントリ。
  5. SendTrustedIssuerListを右クリックし、[変更] をクリックします。
  6. [値のデータ] ボックスで、次のように入力します。 0 値がないこと既に表示され、[ OK] をクリックします。
  7. レジストリ エディタを終了します。
SCHANNEL レジストリ エントリの詳細については、次のマイクロソフト Web サイトを参照してください。
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
Windows Server 2003 は、ルート証明書を更新するときに、Microsoft Windows Update Web サイト上の信頼された証明機関の一覧を自動的に確認するものです。その証明書が確認されると、ユーザーのプログラムによって Windows の適切なルート証明書をインストールします。

注: <b>Windows Server 2003 での証明機関の一覧を超えない 12,228 (著しく) バイトです。ルート証明書を更新すると、信頼された証明機関の一覧が大幅に増加する可能性があります。そのため、リストが長くなりすぎます。この場合は、Windows の一覧が切り捨てられます。この現象には、承認の問題が発生します。このシナリオで、「現象」に記載されている問題が発生する可能性があります。

Schannel イベント ログを構成する方法

警告[レジストリ エディタ] または別の方法を使用してレジストリを誤って修正すると、深刻な問題が発生することがあります。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証することはできません。自己の責任においてレジストリを変更してください。

システム ログに警告イベントを記録する Schannel を構成するのには、次のレジストリ エントリに設定します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


値の名前: EventLogging
値の種類: REG_DWORD
値のデータ: 0x3
注: <b>値 0x3 の警告イベントとエラー イベントを記録する Schannel を構成します。

Schannel イベント ログを構成する方法の詳細については、次のマイクロソフト サポート技術資料を参照する次の文書番号をクリックしてください。
260729 Schannel イベントが IIS のログを有効にする方法
関連情報
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
931125 Microsoft ルート証明書プログラムのメンバー (2007 年 1 月)
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
814394 証明書の要件の EAP-TLS または PEAP と EAP-TLS を使用すると

警告: この記事は自動翻訳されています

プロパティ

文書番号:933430 - 最終更新日: 03/15/2015 06:18:00 - リビジョン: 6.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbautohotfix kbeventlog kbtshoot kberrmsg kbprb kbhotfixserver kbmt KB933430 KbMtja
フィードバック