Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Thất bại TLS kết nối giữa các đồng nghiệp truyền thông hợp nhất tạo ra một cảnh báo Schannel

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 2464556
Triệu chứng
Mỗi người trong số các ứng dụng không thể tạo kết nối Transport Layer Security (TLS) với rằng ứng dụng truyền thông hợp nhất (UC) ngang:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Khách hàng Microsoft Communicator
  • Microsoft Office Live họp 2007 khách hàng
  • Microsoft Lync Server
  • Khách hàng Microsoft Lync
Ngoài ra, bạn nhận được cảnh báo Schannel sau đây và mô tả của vấn đề trong sổ ghi sự kiện Windows Server:

Loại sự kiện: cảnh báo
Sự kiện nguồn: Schannel
Thể loại sự kiện: không có
ID sự kiện: 36885
Ngày: ngày
Thời gian: thời gian
Người dùng:
Máy tính: COMPUTERNAME

Trò chơi mô tả: Khi yêu cầu cho xác thực máy tính khách, Hệ phục vụ này gửi một danh sách các cơ quan chứng nhận tin cậy cho khách hàng. Khách hàng sử dụng danh sách này để chọn một chứng chỉ khách được tin cậy bởi các máy chủ. Hiện nay, Hệ phục vụ này tin tưởng rất nhiều các cơ quan chứng nhận rằng danh sách đã phát triển quá dài. Danh sách này do đó đã được cắt ngắn. Các quản trị viên của máy tính này nên xem lại các cơ quan chứng nhận tin cậy cho chứng thực sử dụng và loại bỏ những người không thực sự cần phải được tin cậy.

Nguyên nhân
Vấn đề này xảy ra bởi vì máy chủ UC, không chuyển thông tin thẩm cấp độ quyền giấy chứng nhận chính xác về khách hàng UC trong quá trình đàm phán TLS kết nối. Thay vào đó, kịch bản sau đây xảy ra:

  • Máy chủ UC vượt qua chứng chỉ niềm tin danh (CTL) được cài đặt chuyên biệt chứng nhận cơ quan thông tin cho khách hàng UC yêu cầu kết nối bảo mật TLS.
  • CTL cắt ngắn theo giới hạn thiết kế của các thành phần cửa sổ máy chủ Schannel.
  • Khách hàng UC yêu cầu kết nối bảo mật TLS không nhận được thông tin thẩm cấp độ quyền giấy chứng nhận phù hợp với các mục được chứa trong danh sách thẩm cấp độ quyền giấy chứng nhận đã cài đặt chuyên biệt của mình.
  • Nỗ lực kết nối TLS không thành công với lỗi được mô tả trong phần "Triệu chứng".

Vấn đề này xảy ra bởi vì thiết kế của các thành phần Schannel của hệ điều hành Windows Server đang lưu trữ các ứng dụng UC.

Lưu ýĐể biết thêm chi tiết về các hệ thống điều hành Windows Server Schannel thành phần và những hạn chế của CTL của nó, chỉ "Windows Server 2003," "Windows Server 2008 R2 và Windows Server 2008" và "Windows Server 2012" phần phụ của phần "Thông tin".
Cách giải quyết khác
Những phương pháp khắc phục sự cố được mô tả trong phần "Triệu chứng".

Phương pháp 1:Loại bỏ một số chứng chỉ gốc tin cậy


Cảnh báo Bạn nên cẩn thận khi bạn loại bỏ các gốc chứng đáng tin cậy. Việc loại bỏ các bên thứ ba tin cậy gốc chứng có thể phá vỡ an toàn khách hàng truy cập vào các ứng dụng được lưu trữ trên máy chủ Dựa-trên-Windows.

Nếu một số đáng tin cậy chứng chỉ gốc không được sử dụng trong môi trường của bạn, bạn nên loại bỏ chúng khỏi máy chủ đang lưu trữ các ứng dụng UC. Để làm điều này, hãy làm theo các bước sau:

Windows Server 2008 R2, Windows Server 2008 và Windows Server 2003
  1. Nhấp vào Bắt đầu, bấm chạy, loại MMC, và sau đó nhấp vào OK.
  2. Trên các tập tin trình đơn, nhấp vào thêm/loại bỏ-theo, và sau đó bấm vào Thêm.
  3. Trong các thêm độc lập-theo hộp thoại hộp, bấm vào chứng chỉ, và sau đó bấm vào Thêm.
  4. Nhấp vào tài khoản máy tính, bấm vào tiếp theo, và sau đó nhấp vào kết thúc.
  5. Nhấp vào đóng, và sau đó nhấp vào OK.
  6. Theo giao diện điều khiển gốc trong Microsoft Management Console (MMC)-theo, mở rộng giấy chứng nhận (máy tính cục bộ), mở rộng Đáng tin cậy gốc nhà chức trách chứng chỉ, và sau đó bấm vào chứng chỉ.
  7. Loại bỏ chứng chỉ gốc tin cậy mà bạn không cần phải có. Để làm điều này, bấm chuột phải vào một giấy chứng nhận, nhấp vào xóa, và sau đó nhấp vào để xác nhận rằng bạn muốn loại bỏ chứng chỉ.
Thông tinĐể tìm hiểu thêm về làm thế nào để tự động loại bỏ và cài đặt chuyên biệt của các bên thứ ba tin cậy gốc chứng được cài đặt chuyên biệt trên hệ điều hành Windows Server, bấm số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

2801679 Vấn đề giao tiếp SSL/TLS sau khi bạn cài đặt chuyên biệt KB 931125

Thông tin Có là một số chứng chỉ gốc được yêu cầu để Windows. Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

293781 Đáng tin cậy chứng chỉ gốc được yêu cầu của Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP, và Windows 2000

Phương pháp 2:Đặt cấu hình chính sách nhóm để bỏ qua danh sách đáng tin cậy chứng nhận cơ quan trên máy tính mà tổ chức khách hàng UC

Nếu máy chủ lưu trữ các ứng dụng UC là một thành viên của một tên miền, bạn có thể tạo một chính sách gây ra máy chủ để bỏ qua danh sách các cơ quan chức chứng nhận tin cậy về máy tính máy chủ đó khách hàng UC. Khi bạn áp dụng chính sách này, máy chủ bị ảnh hưởng và khách hàng tin tưởng chỉ là giấy chứng nhận có trong cửa hàng doanh nghiệp nhà chức trách chứng chỉ gốc. Vì vậy, bạn không phải thay đổi máy tính cá nhân.

WindowsSErver 2008 R2 hoặc Windows Server 2008

Sử dụng chính sách để phân phối các giấy chứng nhận

WindowsHệ phục vụ 2003

Thêm một tổ chức chứng chỉ gốc tin cậy vào một đối tượng chính sách nhóm


Lưu ý Có là một số chứng chỉ gốc được yêu cầu để Windows. Bạn phải thêm các chứng chỉ chính sách mà bạn đã tạo. Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

293781 Đáng tin cậy chứng chỉ gốc được yêu cầu của Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP, và Windows 2000

Phương pháp 3:Cấu hình Schannel không còn gửi danh sách các nhà chức trách chứng chỉ gốc tin cậy trong quá trình bắt tay TLS/SSL

Bạn có thể làm theo các bước sau trong Windows Server 2008 R2, Windows Server 2008 và Windows Server 2003.

Cảnh báo Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác bằng cách sử dụng ký biên soạn hoặc bằng cách sử dụng một phương pháp. Những vấn đề này có thể yêu cầu bạn phải cài đặt chuyên biệt lại hệ điều hành. Microsoft không thể đảm bảo rằng những vấn đề này có thể được giải quyết. Sửa đổi registry nguy cơ của riêng bạn.

Trên máy chủ đang chạy ứng dụng UC mà trên đó bạn gặp vấn đề này, thiết lập các mục kiểm nhập sau đây để sai:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Giá trị tên: SendTrustedIssuerList
Giá trị loại: REG_DWORD
Giá trị dữ liệu: 0 (sai)


theo mặc định, cụm từ này không được liệt kê trong sổ kiểm nhập. theo mặc định, giá trị này là 1 (đúng). Mục kiểm nhập này kiểm soát các lá cờ kiểm soát cho dù máy chủ gửi một danh sách các cơ quan chứng nhận tin cậy cho khách hàng. Khi bạn thiết lập này mục kiểm nhập để sai, máy chủ không gửi một danh sách các cơ quan chứng nhận tin cậy cho khách hàng. Hành vi này có thể ảnh hưởng như thế nào khách hàng đáp ứng một yêu cầu cho một giấy chứng nhận. Ví dụ, nếu Internet Explorer sẽ nhận được một yêu cầu cho xác thực máy tính khách, Internet Explorer Hiển thị chỉ các chứng chỉ khách hàng xuất hiện trong chuỗi của một trong các nhà chức trách chứng nhận trong danh sách từ hệ phục vụ. Tuy nhiên, nếu máy chủ không gửi một danh sách đáng tin cậy chứng nhận cơ quan, Internet Explorer sẽ hiển thị tất cả các chứng chỉ khách hàng được cài đặt chuyên biệt trên máy.

Để đặt mục nhập kiểm nhập này, làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm chạy, loại regedit, và sau đó nhấp vào OK.
  2. Xác định vị trí và sau đó nhấp vào registry subkey sau đây:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Trên các chỉnh sửa trình đơn, điểm đến mới, và sau đó bấm Giá trị DWORD.
  4. Loại SendTrustedIssuerList, và sau đó nhấn Enter để đặt tên các mục nhập registry.
  5. Bấm chuột phải vào SendTrustedIssuerList, và sau đó bấm sửa đổi.
  6. Trong các giá trị dữ liệu hộp, gõ0 Nếu giá trị là không đã được hiển thị, và sau đó nhấp vào OK.
  7. Thoát khỏi Registry Editor.
Lưu ý Có là một số chứng chỉ gốc được yêu cầu để Windows. Bạn phải thêm các chứng chỉ chính sách mà bạn đã tạo. Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

293781 Đáng tin cậy chứng chỉ gốc được yêu cầu của Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP, và Windows 2000

Thông tin thêm
Mặc dù điều này không được ghi nhận trong phần "Triệu chứng", vấn đề này có thể xảy ra trên tất cả các máy tính đang chạy Windows Server 2003 hoặc Windows Server 2008 và lưu trữ Microsoft Exchange Unified Communications thành phần như các vai trò sau:
  • Máy chủ truy cập khách hàng
  • Hộp thư
  • Máy chủ truyền thông hợp nhất

Các hệ thống điều hành Windows Server có thể sử dụng cơ chế Cập nhật tự động gốc để tải về bản Cập Nhật cơ quan cấp giấy chứng nhận từ các web site Microsoft Windows Cập Nhật khi một khách hàng yêu cầu một kết nối bảo mật TLS. Quá trình cập nhật tự động chứng chỉ này gây ra các máy chủ để tích lũy thông tin thẩm cấp độ quyền giấy chứng nhận bổ sung cần thiết để đảm bảo an toàn UC khách hàng TLS yêu cầu kết nối. Thành phần Windows Server Schannel marshals gốc chứng nhận cơ quan thông tin cho khách hàng UC đòi hỏi kết nối bảo mật TLS. Khách hàng UC sẽ so sánh nội dung của Schannel CTL với riêng của mình danh sách chứng nhận cơ quan thông tin. Quá trình này làm cho chắc chắn rằng kết hợp thông tin chứng chỉ gốc có mặt tại cả hai điểm cuối của kết nối Giao thức Kiểm soát Truyền cho tiếp tục quá trình bắt tay TLS. Tuy nhiên, các thành phần Windows Server Schannel có thể cảnh sát trưởng chỉ có một số lượng hạn chế thông tin cơ quan chứng nhận Windows Server cài đặt chuyên biệt trong CTL trở lại cho khách hàng UC yêu cầu kết nối bảo mật TLS. Trong một số tình huống, điều này làm khách hàng UC bảo mật TLS kết nối yêu cầu thất bại.

Cho biết thêm thông tin về sự khác biệt thiết kế cho mục tin thư thoại gốc tự động, Windows Server 2003 và Windows Server 2008 Cập Nhật cấu hình và về Schannel chứng nhận cơ quan danh sách hạn chế, xem phần sau đây.

Windows Server 2003


Trong Windows Server 2003, danh sách nhà phát hành không thể lớn hơn 12,288 (hoặc 0x3000) byte. cài đặt chuyên biệt Windows Server 2003 SP1 hay Windows Server 2003 SP2 hotfix KB933940 được liệt kê trong phần "Thông tin thêm" cung cấp một công ty phát hành mở rộng danh sách các khả năng của 16,384 (hoặc 0x4000) byte.

Cơ chế Cập nhật tự động gốc không được kích hoạt trong Windows Server 2003. Windows Server 2003 hỗ trợ cơ chế Cập nhật tự động gốc. Để biết thêm chi tiết về bản cập nhật tự động gốc cho Server 2003, hãy vào web site Microsoft TechNet sau đây:


Windows Server 2008 R2 và Windows Server 2008


Trong Windows Server 2008, danh sách nhà phát hành không thể lớn hơn 16,384 (hoặc 0x4000) byte.

theo mặc định, cơ chế Cập nhật tự động gốc được kích hoạt trong Windows Server 2008 và Windows Server 2008 R2. Để biết thêm chi tiết về làm thế nào để quản lý các cơ chế Cập nhật tự động gốc, hãy vào web site Microsoft TechNet sau đây:


Windows Server 2012

Windows Server 2012 không hỗ trợ các chức năng Schannel CTL đã có mặt trong các phiên bản trước của hệ điều hành Windows Server. Để biết thêm chi tiết về làm thế nào Windows Server 2012 quản lý chứng chỉ đáng tin cậy, hãy đọc tiết đoạn "Quản lý của công ty phát hành tin cậy cho chứng thực sử dụng" của bài viết của Microsoft TechNet sau đây:

Để biết thêm chi tiết về vấn đề được mô tả trong phần "Triệu chứng", nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:

933430 Khách hàng không thể thực hiện kết nối nếu bạn yêu cầu chứng chỉ khách hàng trên một web site hoặc nếu bạn sử dụng IAS trong Windows Server 2003

931125 Windows gốc giấy chứng nhận thành viên chương trình

Chứng thực sử dụng TLS xác thực thất bại schannel LM LM2007 LMSC LMCC LM2007Rev YesPartner

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 2464556 - Xem lại Lần cuối: 10/22/2013 07:50:00 - Bản sửa đổi: 3.0

Microsoft Lync Server 2013, Microsoft Lync Server 2010 Enterprise Edition, Microsoft Lync Server 2010 Standard Edition, Microsoft Office Communications Server 2007 R2 Enterprise Edition, Microsoft Office Communications Server 2007 R2 Standard Edition, Microsoft Office Communications Server 2007 Standard Edition, Microsoft Office Communications Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Enterprise, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Standard, Microsoft Exchange Server 2007 Standard Edition, Microsoft Office Live Meeting 2007

  • kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtvi
Phản hồi