您目前已離線,請等候您的網際網路重新連線

在您安裝 KB 931125 之後的 SSL/TLS 通訊問題

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

2801679
徵狀
2012 年 12 月 11 日之後,依存 TLS 驗證失敗的應用程式與作業,雖然沒有明顯的設定變更也可能會突然失敗。某些應用程式及可能會失敗的作業包括但不限於:
  • 使用憑證型驗證的無線網路存取
  • 使用憑證型驗證的有線網路存取
  • 連線到 Lync 或 Office 通訊伺服器的用戶端
  • 使用 Exchange Server 與整合通訊的語音信箱
  • 啟用 SSL 的網站存取
  • Outlook 登入
  • 作業系統開機延遲 (慢速開機)
  • 使用者登入延遲 (慢速登入)
登入 Windows 或特定應用程式事件日誌的事件,與該範圍或肯定地識別在本文中所討論的徵狀包括,但不是限於下列表格中所列的事件。
事件記錄檔事件來源事件識別碼事件文字
系統Schannel36885當要求用戶端驗證時,這台伺服器會傳送至用戶端的受信任的憑證授權單位清單。用戶端會使用這個清單來選擇伺服器所信任的用戶端憑證。目前,這台伺服器信任許多憑證授權單位,其清單因而變得太長。這份清單因此被截斷。該電腦的系統管理員應該檢閱受信任的用戶端驗證的憑證授權單位,並移除那些並非真正需要信任的單位。
系統Schannel36887接收到下列的嚴重警示:47
系統NapAgent39網路存取保護代理程式無法判斷要從哪些 HRA 要求健康情況憑證。網路變更或 GP 設定時,設定變更將會提示進一步嘗試取得健康情況憑證。否則不再嘗試將會進行。如需詳細資訊,請連絡 HRA 管理員。
系統RemoteAccess20225在 [連接埠上的點對點通訊協定模組發生下列錯誤: VPN2 509、 使用者名稱: <username>。因為在 RAS/VPN 伺服器上設定原則,所以無法連線。具體來說,伺服器用來確認您的使用者名稱和密碼的驗證方法可能不符合您的連線設定檔中設定的驗證方法。請連絡 RAS 伺服器的系統管理員,並通知他們這個錯誤。 </username>
系統RemoteAccess20271使用者<username>從<IP address="">連線,但因為下列原因嘗試驗證失敗: 因為 RAS/VPN 伺服器上設定原則,所以無法連線。具體來說,伺服器用來確認您的使用者名稱和密碼的驗證方法可能不符合您的連線設定檔中設定的驗證方法。請連絡 RAS 伺服器的系統管理員,並通知他們這個錯誤。 </IP></username>


發生的原因
如果您使用 2012 年 12 月的 KB 931125 更新套件來更新您的第三方所使用的根 Certication 授權,便可能會發生這些問題。最初於 2012 年 12 月 11 日所發佈的 KB 931125 套件只適用於用戶端 SKU。不過,它也曾在 Windows Update 及 WSUS 上為伺服器提供 SKU 一小段時間。

這個封裝安裝了超過 330 個協力廠商的根 Certication 授權。目前 Schannel 安全性套件支援受信任的憑證授權單位清單的最大大小為 16 位元組 (KB)。有大量的協力廠商根 Certication 授權會超過 16k 限制,而使您遇到 TLS/SSL 通訊問題。
解決方案
如果您使用 WSUS 而且未安裝 2012 年 12 月的 KB 931125 更新,則您應該同步 WSUS 伺服器,並核准期限,使其不會安裝更新程式。

如果您安裝年 12 月 2012 KB 931125 的更新套件,您應該移除其他協力廠商根 Certication 授權,現在有大量的協力廠商根 Certication 授權單位的所有伺服器上使用下面的解決方案。

附註本解決方案將移除所有的協力廠商根 Certication 授權。如果您的伺服器有能力連線到 Windows Update,它便會視需要自動將協力廠商根 Certication 授權加回,正如 KB 931125 中所討論。如果受影響的是獨立伺服器,或未與網際網路連線,則您必須以手動方式新增所需的協力廠商根 Certication 授權,以回復您所做過的行為。(不然您可以使用群組原則安裝)。

如果要我們為您修正這個問題,請移至"以下是簡單的修正程式> 一節。如果您想要手動修正此問題,請移至"讓我自行修正此問題> 一節。

以下是簡單的修正程式

若要自動修正此問題,請按一下 [下載] 按鈕。在 [檔案下載] 對話方塊中,按一下 [執行] 或 [開啟],然後遵循輕易解決精靈中的步驟。
  • 務必在系統進行任何變更之前備份所有受影響的機碼和登錄。
  • 此精靈可能以英文顯示 ;不過,自動修正程式也適用於其他語言版本的 Windows。
  • 如果您不在發生問題的電腦上,將簡單的修正程式方案儲存到快閃磁碟機或 CD,,,然後在發生問題的電腦上加以執行。

讓我自行修正此問題

簡單的 fix50974

刪除下列登錄機碼:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

若要執行這項操作,請依照下列步驟執行:
  1. 啟動登錄編輯程式
  2. 找出下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. 以滑鼠右鍵按一下,然後刪除稱為 「 憑證 」的機碼
附註務必於系統進行任何變更之前備份登錄和受影響的機碼。
其他相關資訊
如果 TLS/SSL 伺服器包含受信任的根憑證清單中的許多項目,可能會發生這些問題。如果下列情況成立,伺服器會傳送受信任的憑證授權單位的清單給用戶端:
  • 伺服器會使用傳輸層安全性 (TLS) / SSL 通訊協定加密網路流量。
  • 用戶端憑證所需的驗證,驗證信號交換過程。

這份信任的憑證授權單位表示的伺服器可以接受的用戶端憑證授權單位。若要由伺服器進行驗證,用戶端必須是根憑證伺服器的清單中的憑證鏈結中的憑證。這是因為用戶端憑證是永遠終端實體憑證鏈結的結尾。用戶端憑證未鏈結的一部分。

目前,Schannel 安全性套件支援受信任的憑證授權單位清單的最大大小是在 Windows Server 2008,Windows Server 2008 R2 和 Windows Server 2012 16 KB。

Schannel 會藉由搜尋本機電腦的受信任的根憑證授權單位存放區中建立受信任的憑證授權單位的清單。每個受信任的用戶端驗證用途的憑證新增到清單中。如果此清單的大小超過 16 KB,Schannel 記錄警告事件識別碼 36855。然後,Schannel 截斷的受信任的根憑證清單,並將此截斷的清單傳送到用戶端電腦。

當用戶端電腦收到的受信任的根憑證被截斷的清單時,用戶端電腦可能沒有存在於受信任的憑證簽發者的鏈結中的憑證。例如,用戶端電腦可能會有對應至 Schannel 截斷的受信任的憑證授權單位清單從受信任的根憑證的憑證。因此,伺服器無法驗證用戶端。
fixit 修正 fixme

警告:本文已自動翻譯

內容

文章識別碼:2801679 - 最後檢閱時間:09/25/2015 09:43:00 - 修訂: 8.0

  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
  • kbmt KB2801679 KbMtzh
意見反應