Site traagheid door SharePoint STS certificaat CRL-controle

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 2625048
Symptomen
Stel u hebt een webtoepassing die gebruikmaakt van verificatie op basis van de claims in SharePoint Foundation 2010 of SharePoint Server 2010. De SharePoint-server heeft geen toegang tot internet of de server is beveiligd door een firewall met een beperkt aantal geopende poorten. In dit geval ervaren gebruikers af en toe lange vertragingen wanneer zij bepaalde bewerkingen, zoals het aanmelden op de site of het uitvoeren van een zoekopdracht, uitvoeren. Gebruikers kunnen ook HTTP-time-outs ondervinden wanneer ze deze bewerkingen uitvoeren.
Oorzaak
SharePoint gebruikt certificaten voor het ondertekenen van beveiligingstokens die zijn afgegeven door de Security Token Service (STS). Net als alle certificaten moet de geldigheid van het STS-certificaat regelmatig worden gecontroleerd om ervoor te zorgen dat het certificaat niet is ingetrokken. Standaard wordt het basiscertificaat in de keten niet toegevoegd aan het archief Vertrouwde basiscertificeringsinstanties van de SharePoint-servers. Hierdoor wordt de controle op certificaat certificaatintrekkingslijsten (CRL's) voor het certificaat uitgevoerd via het Internet. Als de online CRL-server om wat voor reden dan ook niet kan worden bereikt vanaf de SharePoint-server, wordt de opdracht na 15 seconden afgebroken. Zelfs als de CRL-validatie na 15 seconden mislukt, kan de SharePoint-pagina toch worden weergegeven na de vertraging.

Certificaat validatiefouten kunnen worden bijgehouden door het inschakelen van de logboekregistratie van CAPI2 op de SharePoint-server. Wanneer CAPI2-logboekregistratie is ingeschakeld en Internet certificaat validatie is mislukt, ziet u vaak de volgende foutberichten in het gebeurtenislogboek voor CAPI2:
  • Fout van de keten te bouwen

    Gebeurtenis-ID: 11
    Categorie: Bouwen keten
    subjectName (overgenomen van de gebeurtenisdetails): SharePoint-beveiligingstokenservice

  • -Object ophaalt uit een netwerkfout

    Gebeurtenis-ID: 53
    Categorie: Object ophalen vanaf netwerk
    (Overgenomen van de gebeurtenisdetails) URL: http://download.windowsupdate.com/msdownload/update/v3/static/trusted/en/authrootstl.cab
Raadpleeg de sectie 'Meer informatie' voor informatie over het inschakelen van logboekregistratie van CAPI2.
Oplossing
Dit probleem op te lossen voert u een van de volgende oplossingen:

Tijdelijke oplossing 1

Het certificaat van de Basiscertificeringsinstantie van SharePoint geïnstalleerd in het archief met Vertrouwde basiscertificeringsinstanties . Nadat u het basiscertificaat wordt toegevoegd aan het lokale certificaatarchief, de validatie van het certificaat niet meer uitgevoerd via het Internet. De onderstaande stappen te volgen zal de BuildChain zijn door het vinden van het certificaat in het lokale archief, dus hoeft u niet voor het ophalen van een object vanaf het netwerk. De volgende stappen moeten worden uitgevoerd op elke SharePoint-server in de farm het basiscertificaat toevoegen aan het lokale certificaatarchief:
  1. Het certificaat van de Basiscertificeringsinstantie van SharePoint als een fysieke (.cer)-bestand exporteren. Start SharePoint 2010 Management Shell als beheerder,en voert u de volgende Windows PowerShell-opdrachten:
    $rootCert = (Get-SPCertificateAuthority).RootCertificate $rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte
    Opmerking Hiermee exporteert u het interne basiscertificaat (.cer-bestand) voor SharePoint op station C. U kunt kopiëren en dit bestand op alle servers in de farm te gebruiken voor het importeren zonder dat u opnieuw de PowerShell-opdrachten uitvoeren.
  2. Het certificaat van de Basiscertificeringsinstantie van SharePoint importeren naar het archief met Vertrouwde basiscertificeringsinstanties . Als het certificaat van de Basiscertificeringsinstantie van SharePoint toevoegen aan het archief met Vertrouwde basiscertificeringsinstanties , volg deze stappen:

    Opmerking 'Beheerders' is het minimaal vereiste groepslidmaatschap om deze stappen te voltooien.
    1. Tik of klik op Start, type MMC in Zoekopdracht starten, en druk vervolgens op Enter.
    2. Op de Bestand menu, klikt u op Software-module.
    3. Onder Beschikbare modules, klikt u op Certificaten, en klik vervolgens op Toevoegen.
    4. Onder Deze module beheert altijd certificaten voor, selecteert u Computeraccount, en klik vervolgens op Volgende.
    5. Selecteer de lokale computeren klik vervolgens op Voltooien.
    6. Als er geen meer modules aan de console toevoegen, klikt u op OK.
    7. Dubbelklik in de consolestructuur met de rechtermuisknop op Certificaten.
    8. Met de rechtermuisknop op het archief met Vertrouwde basiscertificeringsinstanties .
    9. Klik op Alle taken, klikt u op Importeren het certificaat importeren en volg de stappen in de Wizard Certificaat importeren.

Tijdelijke oplossing 2


Het automatisch bijwerken van basiscertificaten op de SharePoint-Servers uitschakelen. Ga hiervoor als volgt te werk:
  1. Dubbelklik op beleidonder het knooppunt Computerconfiguratie in de Editor voor lokaal groepsbeleid.
  2. Dubbelklik op Windows-instellingen, dubbelklikt u op Beveiligingsinstellingen, en dubbelklik vervolgens op Beleid voor openbare sleutels.
  3. Dubbelklik in het detailvenster op Instellingen voor de validatie van certificaatpaden.
  4. Klik op de Ophalen vanaf netwerk tabblad en selecteer de Deze beleidsinstellingen vastleggen selectievakje in en schakel vervolgens het selectievakje automatisch bijwerken van certificaten in het Microsoft Root Certificate Program (aanbevolen) .
  5. Klik op OKen sluit de Editor voor lokaal groepsbeleid.
  6. Gpupdate/force om het beleid onmiddellijk van kracht worden uitgevoerd.

Opmerking Met auto-update is uitgeschakeld, moet u wellicht controleren 931125 KB voor nieuwe versies en het vertrouwen in certificaten als vereist vervolgens handmatig bijwerken.

Gevolgen van het uitschakelen van automatische root certificaat updates

Er moet niet worden specifieke gevolgen naar SharePoint omdat we onszelf beheren met behulp van zelfondertekende certificaten. De SharePoint-certificaten hebben een verloopdatum, maar er is een regel voor de gezondheid die wacht op dit en vervolgens waarschuwt de beheerder om te werken of ze opnieuw te berekenen.

Andere certificaten die worden gebruikt op de computer (zoals SSL-certificaten, certificaten te vertrouwen downloadpakketten of voor VEILIGER beleid, enzovoort) is het belangrijkste aspect rekening te houden met die van reeksen die in het archief met Vertrouwde basiscertificeringsinstanties certificaten worden uitgegeven.
Meer informatie
Logboekregistratie CAPI2 diagnostische gegevens van de gebeurtenis Viewer gebruikersinterface of vanuit scripts vanaf de opdrachtregel met behulp van de volgende instructies (die worden beschreven in de Het oplossen van problemen met PKI op Windows Vista het witboek).


Inschakelen en het logboek CAPI2 opslaan vanuit de gebeurtenis Viewer UI

  1. Open Logboeken. Om Logboeken te openen, klikt u op Start, klikt u op Het Configuratiescherm, dubbelklikt u op Systeembeheer, en dubbelklik vervolgens op Logboeken.
  2. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, moet u bevestigen dat de weergegeven actie is wat u wilt uitvoeren en klik vervolgens op Doorgaan.
  3. Vouw in het consolevenster Logboeken, vouw Logboeken toepassingen en Services, vouw Microsoft, vouw Windows, en klik op CAPI2.
  4. Nu kunt u de volgende acties uitvoeren:
    • CAPI2 als logboekregistratie wilt inschakelen, klik met de rechtermuisknop Operationele, en selecteer vervolgens Logboek inschakelen.
    • Als u wilt het logboek opslaan in een bestand, klik met de rechtermuisknop Operationele, en selecteer vervolgens Gebeurtenissen, zoals opslaan. U kunt het logboekbestand opslaan in de indeling EVTX (dat u opent via het onderdeel Logboeken) of in de XML-indeling.
    • CAPI2 als logboekregistratie wilt uitschakelen, klik met de rechtermuisknop Operationele, en selecteer vervolgens Logboek uitschakelen.
    • Als er gegevens aanwezig zijn in het logboek voordat u probeert het probleem te reproduceren, raden we aan dat u het logboek wissen. Hierdoor kunnen alleen de gegevens relevant zijn voor het probleem scenario moeten worden verzameld uit de opgeslagen logboek. Logboek wissen, klik met de rechtermuisknop op operationeelen selecteert u Logboek wissen.
    • Diagnostische gegevens van het CAPI2, het logboek kan snel groter in omvang en wordt aangeraden dat u de grootte van het logboek met minimaal 4 megabyte (MB) voor het vastleggen van relevante gebeurtenissen vergroten. Als u wilt de logboekgrootte vergroot, met de rechtermuisknop op Operationele, en selecteer vervolgens Eigenschappen. De logboekeigenschappen van het vergroot de maximale logboekgrootte.

      Opmerking De standaardgrootte voor het gebeurtenislogboek is 1 MB.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 2625048 - Laatst bijgewerkt: 09/05/2015 08:30:00 - Revisie: 2.0

Microsoft SharePoint Server 2010, Microsoft SharePoint Foundation 2010, Microsoft SharePoint Server 2010 Service Pack 1

  • kbsurveynew kbtshoot kbexpertiseinter kbmt KB2625048 KbMtnl
Feedback