Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Vấn đề kết nối SSL/TLS sau khi bạn cài đặt chuyên biệt KB 931125

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 2801679
Triệu chứng
Sau ngày 11 tháng 10 năm 2012, ứng dụng và các hoạt động phụ thuộc vào TLS dựa trên ́c thực thất bại có thể bất ngờ thất bại mặc dù chúng có sự thay đổi cấu hình rõ ràng. Một số ứng dụng và các hoạt động có thể không bao gồm, nhưng không giới hạn sau:
  • Truy nhập mạng không dây sử dụng xác thực dựa trên chứng chỉ
  • Truy nhập mạng có dây sử dụng xác thực dựa trên chứng chỉ
  • Kết nối máy tính khách Lync hoặc Office Communications Server
  • thư thoại sử dụng Exchange Server với thư thoại tin tức thời hợp nhất
  • Truy cập web site hỗ trợ SSL
  • kí nhập Outlook
  • hệ điều hành khởi động chậm trễ (khởi động chậm)
  • Người dùng kí nhập chậm trễ (đăng nhập chậm)
Sự kiện đã được ghi trong Windows hoặc trong Nhật ký sự kiện ứng dụng cụ thể, và có phạm vi hoặc definitively xác định hiện tượng được thảo luận trong bài viết này, bao gồm, nhưng không giới hạn, sự kiện được liệt kê trong bảng sau.
Nhật ký sự kiệnSự kiện nguồnID sự kiệnSự kiện văn bản
Hệ thốngSCHANNEL36885Khi yêu cầu xác thực máy tính khách, máy chủ gửi một danh sách các chứng chỉ tin cậy cho khách hàng. Khách hàng sử dụng danh sách này để chọn chứng chỉ máy tính khách được tin cậy của máy chủ. Hiện nay, máy chủ tin rất nhiều cơ quan chứng nhận danh sách đã phát triển quá dài. Danh sách này do đó bị cắt bớt. Quản trị viên của máy tính này nên xem xét các nhà chức trách chứng chỉ tin cậy để xác thực máy tính khách và loại bỏ những người không thực sự phải được tin cậy.
Hệ thốngSCHANNEL36887Nhận được cảnh báo nghiêm trọng sau đây: 47
Hệ thốngNapAgent39Nhân viên bảo vệ truy cập mạng không thể xác định HRAs yêu cầu chứng chỉ sự cố từ. Thay đổi mạng hoặc nếu GP được cấu hình, thay đổi cấu hình sẽ nhắc tiếp tục nỗ lực để lấy chứng chỉ sự cố. Nếu không thì không nỗ lực sẽ được thực hiện. Liên hệ với quản trị viên HRA để biết thêm thông tin.
Hệ thốngBộ20225Lỗi sau xảy ra trong mô-đun giao thức điểm tới điểm trên cổng: VPN2-509, tên người dùng: <username>. Kết nối bị ngăn cản bởi chính sách cấu hình trên máy chủ RAS/VPN. Cụ thể, phương pháp xác thực được sử dụng bởi máy chủ xác minh tên người dùng và mật khẩu của bạn có thể không phù hợp với phương pháp xác thực được cấu hình trong hồ sơ kết nối của bạn. Vui lòng liên hệ với quản trị viên máy phục vụ RAS và thông báo lỗi này. </username>
Hệ thốngBộ20271<username>Người dùng kết nối từ <IP address="">nhưng không thể xác thực lần vì lý do sau: kết nối bị ngăn cản bởi chính sách cấu hình trên máy chủ RAS/VPN. Cụ thể, phương pháp xác thực được sử dụng bởi máy chủ xác minh tên người dùng và mật khẩu của bạn có thể không phù hợp với phương pháp xác thực được cấu hình trong hồ sơ kết nối của bạn. Vui lòng liên hệ với quản trị viên máy phục vụ RAS và thông báo lỗi này. </IP></username>


Nguyên nhân
Các sự cố có thể xảy ra nếu bạn cập nhật của bên thứ ba cơ quan Certication gốc bằng cách sử dụng tháng 12 năm 2012 KB 931125 Cập Nhật gói. Gói KB 931125 đã được đăng ngày 11 tháng 12 năm 2011, chỉ dành cho khách hàng SKU. Tuy nhiên, nó cũng cung cấp cho các SKU Server trong một thời gian ngắn trên Windows Update và WSUS.

Gói này cài đặt chuyên biệt nhiều hơn 330 cơ quan Certication gốc bên thứ ba. Hiện tại, kích thước tối đa của danh sách nhà chức trách chứng chỉ tin cậy Schannel bảo mật gói hỗ trợ là 16 kilobyte (KB). Có một số lượng lớn của bên thứ ba gốc Certication quyền đi qua 16k giới hạn, và bạn sẽ gặp sự cố kết nối TLS/SSL.
Giải pháp
Nếu bạn sử dụng WSUS, và bạn không cài đặt chuyên biệt bản Cập Nhật tháng 12 năm 2012 KB 931125, bạn phải đồng bộ hoá máy chủ WSUS, và sau đó chấp nhận các hết hạn để máy chủ của bạn không cài đặt chuyên biệt bản Cập Nhật.

Nếu bạn cài đặt chuyên biệt tháng 12 năm 2012 KB 931125 gói Cập Nhật, bạn nên sử dụng giải pháp để loại bỏ các bên thứ ba Certication cơ quan gốc trên tất cả các máy chủ hiện có một số lượng lớn của cơ quan Certication gốc của bên thứ ba.

Lưu ý Giải pháp này loại bỏ tất cả các cơ quan Certication gốc bên thứ ba. Nếu máy chủ của bạn đã kết nối với Windows Update, nó sẽ tự động thêm phía bên thứ ba Certication cơ quan gốc nếu cần thiết, cũng như được thảo luận trong KB 931125. Nếu máy chủ bị ảnh hưởng được cách ly hoặc disonnected từ Internet, bạn phải thêm bằng tay cần của bên thứ ba gốc Certication cơ quan trở lại khi bạn đã làm trong quá khứ. (Hoặc, bạn có thể cài đặt chuyên biệt chúng bằng cách sử dụng chính sách Nhóm)

Để được chúng tôi khắc phục sự cố này cho bạn, hãy đi tới phần "Đây là một sửa chữa dễ dàng"phần. Nếu bạn muốn tự khắc phục sự cố này, hãy đi tới phần "Để tôi tự khắc phục sự cố"phần.

Đây là một sửa chữa dễ dàng

Để khắc phục sự cố này tự động, bấm vào nút chọn một tải xuống . Trong hộp thoại Tải tệp xuống , bấm chạy hoặc mở, và sau đó làm theo các bước trong thuật sỹ khắc phục dễ dàng.
  • Đảm bảo rằng bạn sao lưu sổ kiểm nhập và tất cả các phím bị ảnh hưởng trước khi bạn thực hiện bất kỳ thay đổi hệ thống của bạn.
  • Thuật sỹ này có thể chỉ bằng tiếng Anh. Tuy nhiên, bản sửa lỗi tự động cũng hoạt động đối với các phiên bản ngôn ngữ khác của Windows.
  • Nếu bạn không sử dụng máy tính có sự cố, hãy lưu giải pháp khắc phục dễ dàng vào ổ đĩa flash hoặc CD và rồi chạy trên máy tính có sự cố.

Để tôi tự khắc phục sự cố

Dễ dàng fix50974

Xoá khoá kiểm nhập sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Để thực hiện việc này, hãy làm theo các bước sau:
  1. Khởi động Registry Editor
  2. Định vị khoá con kiểm nhập sau:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Bấm chuột phải vào và sau đó xoá khoá được gọi là "Chứng chỉ"
Lưu ý Đảm bảo rằng bạn sao lưu sổ kiểm nhập và phím bị ảnh hưởng trước khi bạn thực hiện bất kỳ thay đổi hệ thống của bạn.
Thông tin thêm
Các sự cố có thể xảy ra nếu máy chủ TLS/SSL chứa nhiều mục trong danh sách chứng chỉ gốc tin cậy. Máy chủ gửi một danh sách các chứng chỉ tin cậy cho khách hàng nếu các điều kiện sau là đúng:
  • Sử dụng máy chủ Transport Layer Security (TLS) / SSL giao thức mã hóa lưu lượng truy cập mạng.
  • Chứng chỉ máy tính khách được yêu cầu xác thực trong quá trình xác thực bắt tay.

Danh sách đáng tin cậy chứng chỉ đại diện cho cơ quan mà máy chủ có thể chấp nhận chứng chỉ máy tính khách. Để được xác thực bởi máy chủ, khách hàng phải chứng chỉ có trong Chuỗi chứng chỉ đến một chứng chỉ gốc từ danh sách máy chủ. Điều này là do chứng chỉ máy tính khách luôn là chứng thực thể kết thúc vào chuỗi. Chứng chỉ máy tính khách không phải là một phần của chuỗi.

Hiện tại, kích thước tối đa của danh sách nhà chức trách chứng chỉ tin cậy Schannel bảo mật gói hỗ trợ là 16 KB trong Windows Server 2008, Windows Server 2008 R2 và Windows Server 2012.

SCHANNEL tạo danh sách các chứng chỉ tin cậy bằng cách tra cứu cửa hàng cơ quan chứng nhận gốc tin cậy trên máy tính cục bộ. Tất cả chứng chỉ được tin cậy cho mục đích xác thực máy tính khách được thêm vào danh sách. Nếu kích thước của danh sách này vượt 16 KB, Schannel ghi chú ý ID sự kiện 36855. Sau đó, Schannel truncates danh sách các chứng chỉ gốc tin cậy và gửi cắt bớt danh sách này vào máy tính khách.

Khi máy tính khách hàng nhận được cắt bớt danh sách các chứng chỉ gốc tin cậy, máy tính khách không có chứng chỉ trong chuỗi phát hành chứng chỉ tin cậy. Ví dụ: máy tính có một chứng chỉ tương ứng với một chứng chỉ gốc tin cậy Schannel cắt bớt từ danh sách các chứng chỉ tin cậy. Do đó, máy chủ không thể xác thực máy tính khách.
Fixit fix it fixme

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 2801679 - Xem lại Lần cuối: 09/25/2015 09:48:00 - Bản sửa đổi: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Standard without Hyper-V, Windows Small Business Server 2008 Premium, Windows Small Business Server 2008 Standard, Windows Small Business Server 2011 Essentials, Windows Small Business Server 2011 Premium Add-On, Windows Small Business Server 2011 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbmt KB2801679 KbMtvi
Phản hồi