Momentan sunteți offline, așteptați să vă reconectați la internet

Nu a reuşit TLS conexiune între colegii de comunicaţii unificate generează o avertizare Schannel

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2464556
Simptome
Fiecare din următoarele aplicaţii nu poate crea o conexiune de protocol TLS (TLS) cu peer de comunicaţii unificate (UC) această cerere:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Clientul Microsoft Communicator
  • Microsoft® Office Live Meeting 2007 client
  • Microsoft Lync Server
  • Microsoft Lync clientului
În plus, veţi primi următorul Schannel avertisment şi descrierea problemei în jurnal de evenimente Windows Server:

Tip eveniment: avertisment
Eveniment Sursa: Schannel
Categoria eveniment: nici unul
ID eveniment: 36885
Data: data
De timp: marcă de timp
Utilizator:
Calculator: NUMECOMPUTER

Descrierea/de control: Atunci când solicită pentru autentificare client, acest server trimite o listă a autorităţilor de certificare de încredere clientului. Clientul foloseşte această listă pentru a alege un certificat client, care este de încredere de către server. În prezent, acest server trusturi atât de multe autorități de certificare că Listă tabel a crescut prea mult marcă de timp. Această listă astfel s-a trunchiat. Administratorul de această maşină ar trebui autoritățile de certificare de încredere pentru autentificare client de revizuire şi scoateţi cele care nu într-adevăr nevoie să fie de încredere.

Cauză
Această problemă apare deoarece serverul UC nu trece corect certificare autoritatea informaţii înapoi la UC client în timpul negocierii TLS conexiunii. În schimb, se produce următorul scenariu:

  • UC server trece său Listă de certificate de încredere (CTL) de informaţii de autoritate de certificare instalate la client UC care cere conexiune TLS securizată.
  • CTL este trunchiat ca pe proiectarea limitările de componenta Windows Server Schannel.
  • UC clientului care a solicitat conexiune TLS securizată nu a primit certificarea autoritatea informaţii care se potriveşte intrările care sunt cuprinse în Listă tabel de autoritate sa instalat de certificare.
  • Încercare de conectare TLS nu reuşeşte cu mesaj de eroare care este descris în secţiunea "Simptome".

Această problemă se produce din cauza design de componenta Schannel a sistemului de operare Windows Server, care este gazduieste UC aplicatii.

NotăPentru mai multe informaţii despre sistemul de operare Windows Server Schannel componentă şi limitările sale CTL, consultaţi "Windows Server 2003," "Windows Server 2008 R2 şi Windows Server 2008", şi "Windows Server 2012" subsecţiuni din secţiunea "Mai multe informaţii".
Remediere
Următoarele metode de lucru în jurul problema descrisă în secţiunea "Simptome".

Metoda 1:Elimina unele certificate de încredere rădăcină


Avertizare Ar trebui să utilizaţi prudenţă atunci când scoateţi certificatele de autoritate rădăcină de încredere. Eliminarea de certificate de autoritate rădăcină de încredere al treilea-petrecere ar putea rupe sigure clientului acces la aplicaţii care sunt gazduite pe serverul bazate pe Windows.

Dacă unele trusted root certificate nu sunt folosite în mediul dumneavoastră, ar trebui să eliminaţi-le de pe serverul care găzduieşte aplicarea UC. Pentru aceasta, urmaţi aceşti paşi:

Windows Server 2008 R2, Windows Server 2008 şi Windows Server 2003
  1. Faceţi clic pe Start, faceţi clic pe Run, tip MMC, apoi faceţi clic pe OK.
  2. Pe fişier meniu, faceţi clic pe Adăugare/eliminare de completare Snap-in, şi apoi faceţi clic pe Adăugare.
  3. În Adauga Standalone Snap-in casetă de dialog, faceţi clic pe certificate, şi apoi faceţi clic pe Adăugare.
  4. Faceţi clic pe cont pentru computer, faceţi clic pe Nextşi apoi faceţi clic pe Terminare.
  5. Faceţi clic pe închidere, şi apoi faceţi clic pe OK.
  6. Sub consola Root în Microsoft consolă de gestionare (MMC) snap-in, extinde certificate (Local Computer), extinde Autorități de certificare rădăcină de încredereşi apoi faceţi clic pe certificate.
  7. Elimina Certificatele rădăcină de încredere, care nu trebuie să aibă. Pentru aceasta, faceţi clic dreapta pe un certificat, faceţi clic pe ştergeţişi apoi faceţi clic pe Da pentru a confirma că doriţi să eliminaţi certificatul.
InformaţiiPentru a afla mai multe despre cum să automatizeze îndepărtarea şi instalarea a certificatelor Trusted Root autoritatea terţi care sunt instalate pe sistemele de operare Windows Server, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:

2801679 Probleme de comunicare SSL/TLS după ce instalaţi KB 931125

Informaţii Există unele certificate rădăcină, care sunt cerute de Windows. Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:

293781 Certificatele rădăcină, care sunt cerute de Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP şi Windows 2000 de încredere

Metoda 2:Configurarea politicii de grup pentru a ignora Listă tabel de încredere de certificare pe computer care găzduiește UC client

Dacă serverul care găzduieşte aplicarea UC este membru al unui domeniu, puteţi crea o politică care provoacă la server pentru a ignora Listă tabel de autorități de încredere de certificare pe computerul care găzduieşte UC clientului. Atunci când se aplică această politică, afectate fermă de servere si clienti încredere numai certificatele care sunt în magazin de autorități de certificare Intreprindere rădăcină. Prin urmare, nu trebuie să schimbe calculatoare individuale.

WindowsServer 2008 R2 sau Windows Server 2008

Politica de utilizare a distribui certificate

WindowsServer 2003

Adauga o autoritate de certificare de încredere rădăcină într-un obiect de politică de grup


Notă Există unele certificate rădăcină, care sunt cerute de Windows. Trebuie să adăugaţi aceste certificate de la politica creat. Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:

293781 Certificatele rădăcină, care sunt cerute de Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP şi Windows 2000 de încredere

Metoda 3:Configura Schannel pentru a nu mai trimite Listă tabel autorităților de certificare rădăcină de încredere în timpul procesului de strângere de mână TLS/SSL

Puteţi urma aceşti paşi în Windows Server 2008 R2, Windows Server 2008 şi Windows Server 2003.

Avertizare Grave probleme ar putea apărea dacă modificaţi registry incorect utilizând Registry Editor sau utilizând o altă metodă. Aceste probleme s-ar putea cere să reinstalaţi sistemul de operare. Microsoft nu poate garanta că aceste probleme pot fi rezolvate. Modifica registry la propriul risc.

Pe serverul care execută aplicaţia UC care vă confruntaţi cu această problemă, setaţi intrarea de registry următoarele false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Value nume: SendTrustedIssuerList
Tipul de valoare: REG_DWORD
Valoarea de date: 0 (fals)


implicit, această intrare nu este listată în registry. implicit, această valoare este 1 (adevărat). Această intrare de registry controlează pavilion care controlează dacă serverul trimite o listă a autorităţilor de certificare de încredere clientului. Când setaţi această intrare de registry la False, serverul nu trimite o listă a autorităţilor de certificare de încredere clientului. Acest comportament poate afecta modul client răspunde la o solicitare de certificat. De exemplu, în cazul în care Internet Explorer primește o cerere pentru autentificare client, Internet Explorer afișează numai certificatele client care apar în lanţul de una dintre autoritățile de certificare care sunt în Listă tabel de pe server. Cu toate acestea, în cazul în care serverul nu trimite o listă a autorităţilor de certificare de încredere, Internet Explorer afișează toate certificatele client, care sunt instalate pe computer client.

Pentru a seta această intrare de registry, urmaţi aceşti paşi:
  1. Faceţi clic pe Start, faceţi clic pe Run, tip regedit, apoi faceţi clic pe OK.
  2. Localizaţi şi apoi faceţi clic pe următoarea subcheie de registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Pe edita meniu, point la spre nou, şi apoi faceţi clic pe DWORD Value.
  4. Tip SendTrustedIssuerList, apoi apăsaţi Enter pentru a denumi intrarea de registry.
  5. SendTrustedIssuerList, şi apoi atunci pocnitură Modify.
  6. În date de valoare cutie, tip0 Dacă că valoarea nu este afişat deja, şi apoi faceţi clic pe OK.
  7. Ieşire registru redactor.
Notă Există unele certificate rădăcină, care sunt cerute de Windows. Trebuie să adăugaţi aceste certificate de la politica creat. Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:

293781 Certificatele rădăcină, care sunt cerute de Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP şi Windows 2000 de încredere

Informaţii suplimentare
Deşi acest lucru nu este menţionat în secţiunea "Simptome", această problemă poate apărea pe toate computerele pe care se execută Windows Server 2003 sau Windows Server 2008 şi sunt gazduieste componentele Microsoft Exchange Unified Communications următoarele roluri:
  • server de Acces clienţi
  • Cutia poştală
  • server de comunicaţii unificate

Aceste sisteme de operare Windows Server puteţi utiliza mecanismul de actualizare automată rădăcină pentru a descărca actualizări de autoritate de certificare la site web Microsoft Actualizare Windows, atunci când un client solicită o conexiune securizată TLS. Acest proces de actualizare automată certificat cauze server pentru a acumula informaţii de autoritatea certificarea suplimentară că este nevoie să vă asiguraţi-vă că sigur UC client TLS cererilor de conexiune. Componenta Windows Server Schannel mareşali certificare rădăcină autoritatea informaţiile clientului UC care necesită conexiune securizată TLS. UC clientul va compara conţinutul Schannel CTL cu propria listă de informaţii de autoritate de certificare. Acest proces asigură că informaţiile de certificat rădăcină de potrivire este prezent la ambele capetele conexiunii TCP pentru continuarea procesului de strângere de mână TLS. Cu toate acestea, componenta Windows Server Schannel poate mareşalul doar o cantitate limitată de certificare Windows Server instalat autoritatea informaţiile din CTL sale înapoi la UC client care cere conexiune TLS securizată. În unele scenarii, acest lucru provoacă UC sigure TLS conexiune la cererea clientului să nu reuşească.

Pentru mai multe informaţii despre diferenţele de proiectare pentru Windows Server 2003 şi Windows Server 2008 rădăcină automat update configuraţii şi despre Schannel certificare autoritatea Listă tabel limitări, consultaţi următoarele secţiuni.

Windows Server 2003


În Windows Server 2003, Listă tabel de emitentul nu poate fi mai mare de 12,288 (sau 0x3000) bytes. Instalarea Windows Server 2003 SP1 sau a Windows Server 2003 SP2 remedierea rapidă KB933940 care este listat în secţiunea "Mai multe informaţii" oferă un emitent extinsă Listă tabel capacitatea de 16,384 (sau 0x4000) bytes.

Mecanismul de actualizare automată rădăcină nu este activat în Windows Server 2003. Windows Server 2003 acceptă mecanismul de actualizare automată rădăcină. Pentru mai multe informaţii despre actualizările automate rădăcină pentru Server 2003, du-te la următorul site Web Microsoft TechNet:


Windows Server 2008 R2 şi Windows Server 2008


În Windows Server 2008, Listă tabel de emitentul nu poate fi mai mare de 16,384 (sau 0x4000) bytes.

implicit, mecanismul de actualizare automată rădăcină este activată în Windows Server 2008 şi Windows Server 2008 R2. Pentru mai multe informaţii despre modul de a gestiona mecanismul de actualizare automată rădăcină, du-te la următorul site Web Microsoft TechNet:


Windows Server 2012

Windows Server 2012 nu acceptă funcţionalitatea Schannel CTL care a fost prezent în versiuni anterioare de sisteme de operare Windows Server. Pentru mai multe informaţii despre modul de Windows Server 2012 gestionează certificate de încredere, citiţi secţiunea "Management de emitenți de încredere pentru autentificarea client" din următorul articol Microsoft TechNet:

Pentru mai multe informaţii despre problema descrisă în secţiunea "Simptome", faceţi clic pe următoarele numere de articol pentru a vedea articolele în bază de cunoştinţe Microsoft:

933430 Clientii pot face conexiuni dacă aveţi nevoie de certificatele client pe un site web sau dacă utilizaţi IAS în Windows Server 2003

931125 Membrii programului Windows rădăcină certificat

Autentificarea de client TLS autentificarea se sustrage schannel LM LM2007 LMSC LMCC LM2007Rev YesPartner

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 2464556 - Ultima examinare: 10/22/2013 07:02:00 - Revizie: 3.0

Microsoft Lync Server 2013, Microsoft Lync Server 2010 Enterprise Edition, Microsoft Lync Server 2010 Standard Edition, Microsoft Office Communications Server 2007 R2 Enterprise Edition, Microsoft Office Communications Server 2007 R2 Standard Edition, Microsoft Office Communications Server 2007 Standard Edition, Microsoft Office Communications Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Enterprise, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Standard, Microsoft Exchange Server 2007 Standard Edition, Microsoft Office Live Meeting 2007

  • kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtro
Feedback