อาการ
คุณกำลังพยายามจัดการใบรับรองอย่างง่ายใบรับรองลงทะเบียนโพรโทคอล (SCEP) โดยใช้แบบเครือข่ายอุปกรณ์ลงทะเบียนบริการ (NDES) ใน Windows Server 2008 NDES มีการติดตั้งเป็นส่วนหนึ่งของบริการใบรับรองใน Windows Server 2008 ในสถานการณ์สมมตินี้ คุณพบปัญหาต่อไปนี้:
ปัญหาที่ 1
รหัสผ่านไม่สามารถถูกนำมาใช้ใหม่ระหว่างอุปกรณ์
ขึ้นอยู่กับโพรโทคอล SCEP อุปกรณ์จะต้องส่งรหัสผ่านเมื่อคุณร้องขอใบรับรองจากเซิร์ฟเวอร์ SCEP เป็นครั้งแรก เซิร์ฟเวอร์ SCEP ออกใบรับรองหลังจากการตรวจสอบรหัสผ่าน
กระบวนการที่เซิร์ฟเวอร์ SCEP ออกใบรับรองหลังจากตรวจสอบรหัสผ่านจะเป็นดังนี้:
-
ผู้ดูแลการเข้าสู่ระบบไปยังเว็บไซต์การดูแลจาก SCEP และร้องขอรหัสผ่าน
-
เซิร์ฟเวอร์ SCEP สร้างรหัสผ่านแบบสุ่ม จัดเก็บในแคชของ และจากนั้น แสดงรหัสผ่านผู้ดูแลระบบ
-
ผู้ดูแลระบบสามารถกำหนดค่ารหัสผ่านบนอุปกรณ์
-
อุปกรณ์ส่งรหัสผ่านนี้ในการขอใบรับรองของเริ่มต้น
หมายเหตุ รหัสผ่านนี้หมดอายุภายใน 60 นาที -
เซิร์ฟเวอร์ออกใบรับรองแล้ว เอารหัสผ่านจากแคช ไม่สามารถใช้รหัสผ่าน โดยอุปกรณ์อื่น ๆ
ปัญหาที่ 2
ใบรับรอง SCEP ไม่ได้ re-enrolled โดยอัตโนมัติหลังจากที่จะหมดอายุ
เนื่องจากปัญหาเหล่านี้สอง อาจใช้เวลาผู้ดูแลเป็นเวลานานเพื่อขอรหัสผ่าน สำหรับอุปกรณ์ทั้งหมด และเมื่อต้อง การใช้ใบรับรอง SCEP เหล่านั้น
การแก้ปัญหา
เมื่อต้องการแก้ไขปัญหาเหล่านี้สอง ติดตั้งโปรแกรมแก้ไขด่วน 959193 โปรแกรมแก้ไขด่วนนี้ทำให้เกิดการปรับปรุงที่สองต่อไปนี้:
ปรับปรุง 1
หลังจากที่คุณใช้โปรแกรมแก้ไขด่วนนี้ รหัสผ่านสามารถนำมาจากอุปกรณ์ กระบวนการจัดการรหัสผ่านใหม่เป็นดังนี้:
-
เซิร์ฟเวอร์ SCEP ยืนยันการตั้งค่ารีจิสทรีสำหรับโหมด "เดี่ยว" รหัสผ่าน" ในโหมดนี้ รหัสผ่านหลักถูกสร้าง และเก็บไว้ในรีจิสทรี โดยใช้การเข้ารหัสลับข้อมูล รหัสผ่านหลักที่ไม่หมดอายุ
-
ผู้ดูแลเข้าสู่ระบบไปยังเว็บไซต์การดูแลจาก SCEP และร้องขอรหัสผ่าน มีการจัดส่งรหัสผ่านหลัก
-
ผู้ดูแลระบบสามารถกำหนดค่ารหัสผ่านบนอุปกรณ์ เนื่อง จากรหัสผ่านไม่เหมือนกันสำหรับอุปกรณ์ทั้งหมด และเนื่อง จากไม่เคยหมดอายุ ผู้ดูแลระบบสามารถเขียนสคริปต์เพื่อปรับใช้รหัสผ่านบนอุปกรณ์ทั้งหมดได้อย่างง่ายดาย
วิธีการเปิดใช้งานการปรับปรุง 1
สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นจึงให้ตรวจสอบจนแน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการปกป้องเพิ่มเติม ให้สำรองรีจิสทรีก่อนที่คุณทำการปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหาขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756วิธีการสำรอง และคืนค่ารีจิสทรีใน Windows
เมื่อต้องการเปิดใช้งานคุณลักษณะนี้ สร้างรายการรีจิสทรีต่อไปนี้:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
หมายเหตุ ถ้าคุณกำลังเรียกใช้ NDES ภายใต้บัญชีบริการเครือข่าย คุณต้องอนุญาตให้สิทธิ์การควบคุมทั้งหมดไปยังบัญชี "บริการเครือข่าย" ภายใต้คีย์ย่อยของรีจิสทรีต่อไปนี้: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP
ปรับปรุง 2
ใบรับรองสามารถ re-enrolled โดยอัตโนมัติหลังจากที่หมดอายุ คุณลักษณะนี้ถูกเปิดใช้งานโดยอัตโนมัติหลังจากที่มีการติดตั้งโปรแกรมแก้ไขด่วน
โดยค่าเริ่มต้น เมื่อคุณร้องขอต่ออายุใบรับรอง โดยการใช้คุณลักษณะนี้ ผู้ลงนามใบรับรองต้องมีชื่อเรื่องเดียวกันและชื่อเรื่องรองเป็นใบรับรองที่ร้องขอ เพื่อหลบหลีกข้อกำหนดนี้ ตั้งค่าของรายการรีจิสทรีDisableRenewalSubjectNameMatchภายใต้คีย์ย่อยต่อไปนี้เป็น 1
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
หมายเหตุ คุณอาจต้องสร้างรายการรีจิสทรีนี้ โดยใช้ชนิด REG_DWORD ถ้าไม่มีรายการรีจิสทรี
ข้อมูลโปรแกรมแก้ไขด่วน
มีโปรแกรมแก้ไขด่วนที่รองรับพร้อมให้บริการจาก Microsoft อย่างไรก็ตาม โปรแกรมแก้ไขด่วนนี้มุ่งหวังเพื่อการแก้ไขเฉพาะปัญหาที่อธิบายไว้ในบทความนี้ ใช้การแก้ไขด่วนนี้กับระบบต่าง ๆ ที่พบปัญหาอธิบายไว้ในบทความนี้เท่านั้น โปรแกรมแก้ไขด่วนนี้อาจได้รับการทดสอบเพิ่มเติม ดังนั้น ถ้าคุณไม่ได้รับผลกระทบจากปัญหานี้รุนแรง เราขอแนะนำให้ คุณรอการปรับปรุงซอฟต์แวร์ถัดไปที่ประกอบด้วยโปรแกรมแก้ไขด่วนนี้
หากโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด คุณจะเห็นส่วน "มีโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด" ที่ด้านบนของบทความฐานข้อมูลองค์ความรู้นี้ หากส่วนนี้ไม่ปรากฏขึ้น ติดต่อฝ่ายสนับสนุนและบริการลูกค้าของ Microsoft เพื่อขอรับโปรแกรมแก้ไขด่วน
หมายเหตุ ถ้ามีปัญหาอื่น ๆ เกิดขึ้น หรือถ้าจำเป็นต้องแก้ไขปัญหาใด ๆ คุณอาจต้องสร้างคำขอรับบริการแยกต่างหาก จะมีค่าใช้จ่ายในการสนับสนุนปกติกับคำถามเพิ่มเติมและเรื่องอื่น ๆ ที่ไม่มีสิทธิได้รับโปรแกรมแก้ไขด่วนเฉพาะนี้ สำหรับรายการหมายเลขโทรศัพท์ฉบับสมบูรณ์ของฝ่ายบริการลูกค้าและการสนับสนุนของ Microsoft หรือเพื่อสร้างคำขอรับบริการแยกต่างหาก แวะไปที่เว็บไซต์ Microsoft ต่อไปนี้:
http://support.microsoft.com/contactus/?ws=supportหมายเหตุ แบบฟอร์ม "มีโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด" แสดงภาษาที่โปรแกรมแก้ไขด่วนพร้อมใช้งาน ถ้าคุณไม่เห็นภาษาของคุณ อาจเป็น เพราะไม่มีโปรแกรมแก้ไขด่วนพร้อมใช้งานสำหรับภาษานั้น
ฮอตฟิกซ์ Windows Vista และ Windows Server 2008 ที่สำคัญรวมอยู่ในแพคเกจเดียวกัน อย่างไรก็ตาม เพียงหนึ่งผลิตภัณฑ์เหล่านี้อาจอยู่ในหน้า "การร้องขอโปรแกรมแก้ไขด่วน" เมื่อต้องการร้องขอแพคเกจโปรแกรมแก้ไขด่วนที่ใช้กับทั้ง Windows Vista และ Windows Server 2008 เพียงแค่เลือกผลิตภัณฑ์ที่แสดงอยู่บนหน้า
ข้อกำหนดเบื้องต้น
ไม่มีข้อกำหนดเบื้องต้นได้
ข้อกำหนดการรีสตาร์ท
คุณต้องรีสตาร์ทคอมพิวเตอร์หลังจากใช้โปรแกรมแก้ไขด่วนนี้
ข้อมูลการแทนที่โปรแกรมแก้ไขด่วน
โปรแกรมแก้ไขด่วนนี้ไม่ได้แทนที่ออกมาก่อนหน้านี้แก้ไขด่วนอื่น ๆ
ข้อมูลแฟ้ม
เวอร์ชันภาษาอังกฤษของโปรแกรมแก้ไขด่วนนี้มีแอตทริบิวต์ของแฟ้ม (หรือแอตทริบิวต์ของแฟ้มที่ใหม่กว่านี้) ซึ่งแสดงรายการไว้ในตารางต่อไปนี้ วันที่และเวลาสำหรับแฟ้มเหล่านี้จะแสดงรายการไว้ในรูปแบบเวลามาตรฐานสากล (UTC) เมื่อคุณดูข้อมูลแฟ้ม ระบบจะแปลงข้อมูลนี้เป็นเวลาท้องถิ่น เมื่อต้องการค้นหาความแตกต่างระหว่างเวลา UTC กับเวลาท้องถิ่น ใช้แท็บ โซนเวลา ในรายการ วันที่และเวลา ในแผงควบคุม
หมายเหตุข้อมูลแฟ้มของ Windows Server 2008
แฟ้ม.manifest และแฟ้ม.mum ที่ติดตั้งในแต่ละสภาพแวดล้อมได้แสดงรายการแยกต่างหากในส่วน "ข้อมูลแฟ้มเพิ่มเติมสำหรับ Windows Server 2008" แฟ้มเหล่านี้และแฟ้ม.cat ที่เกี่ยวข้อง (แค็ตตาล็อกความปลอดภัย) ของตนเองเป็นสิ่งสำคัญสำหรับการรักษาสถานะของคอมโพเนนต์ปรับปรุงแล้ว แฟ้ม.cat จะลงชื่อ ด้วยลายเซ็นดิจิทัลของ Microsoft แอตทริบิวต์ของแฟ้มความปลอดภัยเหล่านี้จะไม่ปรากฏอยู่
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x86
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x64
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
157,184 |
17-Jan-2009 |
06:25 |
x64 |
สถานะ
Microsoft ยืนยันว่านี่เป็นปัญหาในผลิตภัณฑ์ของ Microsoft ซึ่งแสดงไว้ในส่วน "นำไปใช้กับ"
ข้อมูลเพิ่มเติม
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ SCEP เยี่ยมชมต่ออินเทอร์เน็ตแบบร่างเว็บไซต์ (IETF) เว็บไซต์:
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
หมายเหตุเอกสารฉบับนี้จะหมดอายุในวันที่ 25 กรกฎาคม 2009 สำหรับข้อมูลหลังจากวันนี้ ค้นหา "SCEP" บนโฮมเพจของเว็บไซต์
Microsoft ให้ข้อมูลการติดต่อของบริษัทอื่นเพื่อช่วยให้คุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลการติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบ Microsoft ไม่รับประกันความถูกต้องของข้อมูลการติดต่อของบุคคลภายนอก
สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
824684คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์ของ Microsoft
ข้อมูลแฟ้มเพิ่มเติมสำหรับ Windows Server 2008
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x86
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
ไม่มีข้อมูล |
13,172 |
18-Jan-2009 |
01:10 |
ไม่มีข้อมูล |
|
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
ไม่มีข้อมูล |
1,423 |
18-Jan-2009 |
01:10 |
ไม่มีข้อมูล |
|
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
ไม่มีข้อมูล |
13,647 |
18-Jan-2009 |
01:10 |
ไม่มีข้อมูล |
|
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
ไม่มีข้อมูล |
1,431 |
18-Jan-2009 |
01:10 |
ไม่มีข้อมูล |
|
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
ไม่มีข้อมูล |
43,475 |
17-Jan-2009 |
07:10 |
ไม่มีข้อมูล |
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x64
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
ไม่มีข้อมูล |
43,505 |
17-Jan-2009 |
09:42 |
ไม่มีข้อมูล |
|
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
ไม่มีข้อมูล |
13,284 |
18-Jan-2009 |
01:10 |
ไม่มีข้อมูล |
|
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
ไม่มีข้อมูล |
1,431 |
18-Jan-2009 |
01:10 |
ไม่มีข้อมูล |
|
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
ไม่มีข้อมูล |
13,763 |
18-Jan-2009 |
01:10 |
ไม่มีข้อมูล |
|
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
ไม่มีข้อมูล |
1,439 |
18-Jan-2009 |
01:10 |
ไม่มีข้อมูล |
