Windows Server 2003 為基礎的企業 CA 發出有不正確的替代主體名稱的憑證,憑證沒有網路存取保護 (NAP)-相容

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

943089
注意事項
此 「 Microsoft 知識庫 」 文件中所述的 Hotfix 是由在 KB961515 Hotfix 所取代。如需有關 KB961515,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
961515在 Windows Server 2003 為基礎的伺服器所發行的電腦憑證主體名稱之後才會設定為使用者主要名稱 (UPN) 電腦帳戶的套用 Hotfix 943089
本文已封存。本文係以「現狀」提供且不會再更新。
徵狀
考慮下列案例:
  • 在 Windows Server 2003 電腦裝載企業憑證授權單位 (CA)。
  • 企業 CA 會使用自訂的憑證範本發出憑證。
  • 憑證範本設定為 [在次要主體名稱中包含使用者主要名稱 (UPN) 或服務主要名稱 (SPN)。
在這種情況下,使用自訂的憑證範本來發行的所有憑證都有不正確的替代主體名稱。替代主體名稱是網域名稱系統 (DNS) 名稱,而非一個 UPN 或 SPN。

這個問題可以防止企業 CA 發出網路存取保護 (NAP)-相容的電腦憑證。
解決方案
如果要解決這個問題,套用 Hotfix 961515。如需有關 Hotfix 961515,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
961515在 Windows Server 2003 為基礎的伺服器所發行的電腦憑證主體名稱之後才會設定為使用者主要名稱 (UPN) 電腦帳戶的套用 Hotfix 943089

Hotfix 資訊

必要條件

如果要套用此 Hotfix,您必須在電腦上安裝了 Windows Server 2003 Service Pack 1 或 Windows Server 2003 Service Pack 2。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
889100如何取得最新的 Service Pack 的 Windows Server 2003

重新啟動需求

套用此 Hotfix 之後,您必須重新啟動電腦。

Hotfix 取代資訊

此 Hotfix 會由 Hotfix 961515 所取代。

檔案資訊

此 Hotfix 的英文版在檔案屬性 (或更新版本的檔案屬性) 如下列表格中所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用在 [日期及時間 中項目控制台中的 [時區] 索引標籤]。
與服務封包 1 x x86 版本的 Windows Server 2003
檔案名稱檔案版本檔案大小日期時間平台
Certpdef.dll5.2.3790.3017118,2722007 年九月 29 日05: 02x86
「 服務套件 2 x x86 版本的 Windows Server 2003
檔案名稱檔案版本檔案大小日期時間平台
Certpdef.dll5.2.3790.4161118,2722007 年九月 29 日05: 11x86
Windows Server 2003 與服務封包 1 Itanium 架構版本
檔案名稱檔案版本檔案大小日期時間平台預存程序需求服務分支
Certpdef.dll5.2.3790.3017300,0322007 年九月 29 日02: 53IA 64sp1不適用
Wcertpdef.dll5.2.3790.3017118,2722007 年九月 29 日02: 53x86sp1
「 服務套件 2 Itanium 架構版本的 Windows Server 2003
檔案名稱檔案版本檔案大小日期時間平台預存程序需求服務分支
Certpdef.dll5.2.3790.4161300,0322007 年九月 29 日03: 16IA 64sp2不適用
Wcertpdef.dll5.2.3790.4161118,2722007 年九月 29 日03: 16x86sp2
x x64 版本的 Windows Server 2003
檔案名稱檔案版本檔案大小日期時間平台預存程序需求服務分支
Certpdef.dll5.2.3790.3017178,6882007 年九月 29 日02: 53x64sp1不適用
Wcertpdef.dll5.2.3790.3017118,2722007 年九月 29 日02: 53x86sp1
「 服務套件 2 x x64 版本的 Windows Server 2003
檔案名稱檔案版本檔案大小日期時間平台預存程序需求服務分支
Certpdef.dll5.2.3790.4161178,6882007 年九月 29 日03: 18x64sp2不適用
Wcertpdef.dll5.2.3790.4161118,2722007 年九月 29 日03: 18x86sp2

此 Hotfix 修正了當 CT_FLAG_SUBJECT_ALT_REQUIRE_UPN 旗標已設定電腦範本中時,就會發生的問題。當設定這個旗標原則模組會將電腦的 DNS 名稱放置在 [主旨 Alt 名稱 (SAN)] 欄位。這並不是預期的行為。安裝 Hotfix 之後,就會發生下列行為:
  • 第一次憑證授權單位 (CA) 的原則模組會查詢在 Active Directory 中電腦的明確的 UPN 屬性。如果找到這個屬性中的項目將會撰寫此項目憑證 SAN 欄位。
  • 如果在電腦的明確的 UPN 屬性中找到項目不,是使用 samAccountName Active Directory 屬性一起使用網域名稱來建立隱含的 UPN。
狀況說明
Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。
其他相關資訊
NAP 是新的平台,執行下列工作:
  • NAP 執行電腦健康情況原則驗證。
  • NAP 可保證持續遵守健康情況原則。
  • NAP 選擇性地限制不符合系統健全狀況需求更正這些電腦的健康狀態之前的電腦的存取。
如需有關 NAP 的詳細資訊,請造訪下列 Microsoft TechNet 網站:如需有關軟體更新術語的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
824684用來描述 Microsoft 軟體更新標準術語的說明
NAP SAN 的替代主體名稱的替代方案

警告:本文為自動翻譯

內容

文章識別碼:943089 - 最後檢閱時間:01/15/2015 18:34:04 - 修訂: 3.0

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • kbnosurvey kbarchive kbmt kbexpertiseinter kbwinserv2003postsp2fix kbbug kbfix kbhotfixserver kbqfe kbpubtypekc KB943089 KbMtzh
意見反應