Momentan sunteți offline, așteptați să vă reconectați la internet

Probleme de comunicare SSL/TLS după ce instalați KB 931125

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2801679
Simptome
După 11 decembrie 2012, aplicații și operațiuni care sunt dependente de fail bazate pe TLS autentificări pot brusc nu deşi au nicio modificare în configurația aparent. Unele aplicații și operațiuni care pot să nu reușească includ, dar nu sunt limitate la următoarele:
  • Acces de rețea wireless care utilizează Autentificarea bazată pe certificat
  • acorda acces la rețea cu fir care utilizează Autentificarea bazată pe certificat
  • Conectivitate client Lync și Office Communications Server
  • Poștă poştă vocală care utilizează Exchange Server cu Mesageria unificată
  • Site-ul SSL activat accesul
  • Conectările Outlook
  • Încărcarea lentă a sistemului de operare.
  • Utilizator conectările întârzieri (conectare lentă)
Evenimentele care se înregistrează în Windows sau în jurnalele de evenimente specifice stratul aplicaţiilor și care vizibilitate sau să identifice definitiv simptom descrisă în acest articol, includ, dar nu sunt limitate la, evenimente care sunt listate în următorul tabel.
jurnal de evenimenteSursă evenimentID evenimentEveniment text
SistemSchannel36885Atunci când solicită pentru autentificarea clientului, acest server trimite o listă de autorități de certificare de încredere clientului. Clientul utilizează această listă pentru a alege un certificat de client care este de încredere de server. În prezent, acest server are încredere atât de multe autorități de certificare că Listă tabel a crescut prea lung. Această listă astfel a fost trunchiată. Administrator de pe acest computer ar trebui să revizuiți autoritățile de certificare de încredere pentru autentificarea clientului și eliminați cele care nu într-adevăr trebuie să fie de încredere.
SistemSchannel36887S-a primit avertizarea fatal următoarele: 47
SistemNapAgent39Agent de Protecţie acces reţea nu a reușit să determinați ce HRAs pentru a solicita un certificat de bună funcţionare din. O modificare de rețea sau dacă este configurat GP, o modificare în configurația va solicita în continuare încercările de obținere a unui certificat de bună funcționare. În caz contrar nu mai va fi încercări. Contactați administratorul HRA pentru mai multe informații.
SistemRemoteAccess20225Eroare în modulul Protocol punct la punct port: VPN2 509, nume de sign-in de utilizator: <username>. Conexiunea s-a împiedicat din cauza unei politici configurată pe serverul RAS/VPN. Mai precis, metoda de autentificare utilizată de server pentru a verifica nume de sign-in de utilizator şi parola nu corespund metoda de autentificare configurate în profilul dvs. de conectare. Contactați administratorul serverului RAS și notifică-le pentru această eroare. </username>
SistemRemoteAccess20271Utilizatorul <username>conectat la <IP address="">, dar nu a reușit o încercare de autentificare din următorul motiv: conexiunea s-a împiedicat din cauza unei politici configurată pe serverul RAS/VPN. Mai precis, metoda de autentificare utilizată de server pentru a verifica nume de sign-in de utilizator şi parola nu corespund metoda de autentificare configurate în profilul dvs. de conectare. Contactați administratorul serverului RAS și notifică-le pentru această eroare. </IP></username>


Cauză
Aceste probleme pot apărea dacă ați actualizat pe terț rădăcină Certication autorități utilizând decembrie 2012 KB 931125 pachet de actualizare. Pachetul KB 931125 care a fost postat pe 11 decembrie 2012, a fost destinate numai client SKU. Cu toate acestea, acesta s-a oferit pentru SKU Server pentru o perioadă scurtă de marcă de timp pe Actualizare Windows și WSUS.

Acest pachet instalează peste 330 terț rădăcină Certication autorități. În prezent, dimensiunea maximă listei de certificate de încredere autorități care acceptă pachetul de securitate Schannel este 16 kiloocteți (KO). Aveți o cantitate mare de terți rădăcină Certication autorități va trece peste 16k limită și va întâmpinați probleme de comunicare TLS/SSL.
Rezoluţie
Dacă utilizați WSUS, și nu ați instalat actualizarea decembrie 2012 KB 931125, ar trebui să sincronizați serverele WSUS, apoi aprobat expirări, astfel încât serverele nu instalați actualizarea.

Dacă ați instalat decembrie 2012 KB 931125 set de actualizări, trebuie să utilizați următoarea rezolvare pentru a elimina autorități Certication rădăcină terțe suplimentare pe toate serverele care au acum o cantitate mare de terți rădăcină Certication autorități.

Notă Această soluţie elimină toate Third-party rădăcină Certication autorități. Dacă serverul are conectivitate la Actualizare Windows, se va adăuga automat spate terț rădăcină Certication autorități după cum este necesar, de asemenea, discutate în KB 931125. Dacă o serverului în cauză este izolat sau disonnected de pe Internet, trebuie să adăugați manual necesare terț rădăcină Certication autorități înapoi ca ce ar fi făcut în trecut. (Sau le puteți instala utilizând politica de grup).

Pentru ca noi să remediați această problemă pentru tine, du-te la "Iată un simplu fix"secțiunea. Dacă preferați să remediați această problemă manual, du-te la "Remediere personală"secțiunea.

Iată un simplu fix

Pentru a remedia această problemă automat, faceți clic pe butonul Descărcare . În casetă de dialog Descărcare fișier , faceți clic pe Deschideresau executare și apoi urmați pașii din Expertul fix ușor.
  • Asigurați-vă că face o copiere de rezervă de registry și toate cheile afectate înainte de a face modificări la sistemul.
  • Acest expert să fie în limba engleză numai. Însă, remedierea automată funcționează și pentru alte versiuni de limbă de Windows.
  • Dacă nu sunteţi la computerul care manifestă problema, salvați soluția fix uşor de o unitate flash sau pe un CD și apoi executați-o pe computerul care manifestă problema.

Remediere personală

Easy fix50974

Ştergeţi următoarea cheie de registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Pentru a face acest lucru, urmați acești pași:
  1. Porniți Registry Editor
  2. Identificați următoarea subcheie de registry:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Faceți clic dreapta și apoi ștergeți cheia care este numit "Certificate"
Notă Asigurați-vă că face o copiere de rezervă a registry-ul și chei afectate înainte de a face modificări la sistemul.
Informaţii suplimentare
Aceste probleme pot apărea dacă un server TLS/SSL conține mai multe intrări în Listă tabel de certificare rădăcină de încredere. Serverul trimite o listă de autorități de certificare de încredere clientului, dacă următoarele condiții sunt adevărate:
  • Server utilizează protocol TLS (TLS) / SSL protocol pentru criptarea de trafic de rețea.
  • Certificate client sunt necesare pentru autentificare în timpul procesului de handshake authentication.

Această listă de autorități de certificare de încredere reprezintă autoritățile din care serverul poate accepta un certificat de client. Pentru a se autentifică de server, clientul trebuie să aibă un certificat care este prezentă în lanț de certificate de la un certificat rădăcină din Listă tabel de fermă de servere. Aceasta se întâmplă deoarece certificatul de client este întotdeauna certificat de entitate finală la sfârșitul lanțul. Certificatul de client nu este parte din lanțul.

În prezent, dimensiunea maximă listei de certificate de încredere autorități care acceptă pachetul de securitate Schannel este 16 KB în Windows Server 2008, Windows Server 2008 R2 şi Windows Server 2012.

Schannel creează Listă tabel autorităților de certificare de încredere de căutarea magazinului autorități de certificare rădăcină de încredere de pe computer local. Fiecare certificat de încredere pentru scopuri de autentificare client este adăugat la Listă tabel. Dacă dimensiunea de această listă depășește 16 KB, Schannel înregistrează avertizare event ID 36855. Apoi, Schannel trunchiază Listă tabel de certificate rădăcină de încredere și trimite această listă trunchiate la computer client.

Când computer client primește trunchiat Listă tabel de certificate rădăcină de încredere, computer client nu poate avea un certificat care există în lanț de emitentul un certificat de încredere. De exemplu, computer client poate avea un certificat care corespunde cu un certificat rădăcină de încredere care Schannel trunchiat din Listă tabel de autorități de certificare de încredere. De aceea, serverul nu se pot autentifica client.
fixit remediere fixme

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 2801679 - Ultima examinare: 09/25/2015 23:38:00 - Revizie: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Standard without Hyper-V, Windows Small Business Server 2008 Premium, Windows Small Business Server 2008 Standard, Windows Small Business Server 2011 Essentials, Windows Small Business Server 2011 Premium Add-On, Windows Small Business Server 2011 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbmt KB2801679 KbMtro
Feedback
lementsByTagName("head")[0].appendChild(m); ement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">