Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für ein Problem, bei dem Clients sich nicht mit einem Server authentifizieren können, nachdem Sie ein neues Zertifikat erhalten haben, um ein abgelaufenes Zertifikat auf dem Server zu ersetzen.
Ursprüngliche KB-Nummer: 822406
Symptome
Nachdem Sie ein abgelaufenes Zertifikat durch ein neues Zertifikat auf einem Server ersetzt haben, auf dem Microsoft Internet Authentication Service (IAS) oder Routing und Remotezugriff ausgeführt werden, sind Clients mit extensible Authentication Protocol-Transport Layer Security (EAP-TLS) konfiguriert, um zu überprüfen, ob das Zertifikat des Servers nicht mehr mit dem Server authentifiziert werden kann. Wenn Sie das Systemprotokoll Ereignisanzeige auf dem Clientcomputer anzeigen, wird das folgende Ereignis angezeigt.
Wenn Sie die ausführliche Protokollierung auf dem Server aktivieren, auf dem IAS oder Routing und Remotezugriff ausgeführt werden (z. B. durch Ausführen des netsh ras set tracing * enable Befehls), werden Informationen ähnlich wie die folgende in der Rastls.log Datei angezeigt, die generiert wird, wenn ein Client versucht, sich zu authentifizieren.
Notiz
Wenn Sie IAS als Radius-Server für die Authentifizierung verwenden, wird dieses Verhalten auf dem IAS-Server angezeigt. Wenn Sie Routing und Remotezugriff verwenden und Routing und Remotezugriff für die Windows-Authentifizierung (nicht radiusauthentifizierung) konfiguriert sind, wird dieses Verhalten auf dem Routing- und Remotezugriffsserver angezeigt.
[1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK wird nicht ignoriert.
[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE wird nicht ignoriert.
[1072] 15:47:57:280: Das Stammzertifikat wird nicht auf sperrung überprüft.
[1072] 15:47:57:280: Das Zertifikat wird auf Widerruf überprüft.
[1072] 15:47:57:280:
[1072] 15:47:57:280: EapTlsMakeMessage(Beispiel\Client)
[1072] 15:47:57:280: >> Empfangene Antwort (Code: 2) Paket: ID: 11, Länge: 25, Typ: 0, TLS-Bloblänge: 0. Flags:
[1072] 15:47:57:280: EapTlsSMakeMessage
[1072] 15:47:57:280: EapTlsReset
[1072] 15:47:57:280: Statusänderung in "Initial"
[1072] 15:47:57:280: GetCredentials
[1072] 15:47:57:280: Der Name im Zertifikat lautet: server.example.com
[1072] 15:47:57:312: BuildPacket
[1072] 15:47:57:312: << Senden der Anforderung (Code: 1) Paket: ID: 12, Länge: 6, Typ: 13, TLS-Bloblänge: 0. Flags: S
[1072] 15:47:57:312: Statusänderung in SentStart
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Beispiel\Client)
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Beispiel\Client)
[1072] 15:47:57:452:
[1072] 15:47:57:452: EapTlsMakeMessage(Beispiel\Client)
[1072] 15:47:57:452: >> Empfangene Antwort (Code: 2) Paket: ID: 12, Länge: 80, Typ: 13, TLS-Bloblänge: 70. Kennzeichen: L
[1072] 15:47:57:452: EapTlsSMakeMessage
[1072] 15:47:57:452: MakeReplyMessage
[1072] 15:47:57:452: Reallocating input TLS blob buffer
[1072] 15:47:57:452: SecurityContextFunction
[1072] 15:47:57:671: Statusänderung in SentHello
[1072] 15:47:57:671: BuildPacket
[1072] 15:47:57:671: << Senden der Anforderung (Code: 1) Paket: ID: 13, Länge: 1498, Typ: 13, TLS-Bloblänge: 3874. Flags: LM
[1072] 15:47:57:702:
[1072] 15:47:57:702: EapTlsMakeMessage(Beispiel\client)
[1072] 15:47:57:702: >> Empfangene Antwort (Code: 2) Paket: ID: 13, Länge: 6, Typ: 13, TLS-Bloblänge: 0. Flags:
[1072] 15:47:57:702: EapTlsSMakeMessage
[1072] 15:47:57:702: BuildPacket
[1072] 15:47:57:702: << Senden der Anforderung (Code: 1) Paket: ID: 14, Länge: 1498, Typ: 13, TLS-Bloblänge: 0. Flags: M
[1072] 15:47:57:718:
[1072] 15:47:57:718: EapTlsMakeMessage(Beispiel\Client)
[1072] 15:47:57:718: >> Empfangene Antwort (Code: 2) Paket: ID: 14, Länge: 6, Typ: 13, TLS-Bloblänge: 0. Flags:
[1072] 15:47:57:718: EapTlsSMakeMessage
[1072] 15:47:57:718: BuildPacket
[1072] 15:47:57:718: << Senden der Anforderung (Code: 1) Paket: ID: 15, Länge: 900, Typ: 13, TLS-Bloblänge: 0. Flags:
[1072] 15:48:12:905:
[1072] 15:48:12:905: EapTlsMakeMessage(Beispiel\client)
[1072] 15:48:12:905: >> Empfangene Antwort (Code: 2) Paket: ID: 15, Länge: 6, Typ: 13, TLS-Bloblänge: 0. Flags:
[1072] 15:48:12:905: EapTlsSMakeMessage
[1072] 15:48:12:905: MakeReplyMessage
[1072] 15:48:12:905: SecurityContextFunction
[1072] 15:48:12:905: Statusänderung in "Gesendet abgeschlossen". Fehler: 0x80090318
[1072] 15:48:12:905: Aushandlung erfolglos
[1072] 15:48:12:905: BuildPacket
[1072] 15:48:12:905: << Senden eines Fehlers (Code: 4) Paket: ID: 15, Länge: 4, Typ: 0, TLS blob le
Ursache
Dieses Problem kann auftreten, wenn alle folgenden Bedingungen erfüllt sind:
- Der IAS- oder Routing- und Remotezugriffsserver ist ein Domänenmitglied, aber die Funktion für automatische Zertifikatanforderungen (automatische Registrierung) ist in der Domäne nicht konfiguriert. Oder der IAS- oder Routing- und Remotezugriffsserver ist kein Domänenmitglied.
- Sie fordern manuell ein neues Zertifikat für den IAS- oder Routing- und Remotezugriffsserver an und erhalten es.
- Sie entfernen das abgelaufene Zertifikat nicht vom IAS- oder Routing- und Remotezugriffsserver. Wenn ein abgelaufenes Zertifikat auf dem IAS- oder Routing- und Remotezugriffsserver zusammen mit einem neuen gültigen Zertifikat vorhanden ist, ist die Clientauthentifizierung nicht erfolgreich. Das Ergebnis "Error 0x80090328", das im Ereignisprotokoll auf dem Clientcomputer angezeigt wird, entspricht "Abgelaufenes Zertifikat".
Problemumgehung
Um dieses Problem zu umgehen, entfernen Sie das abgelaufene (archivierte) Zertifikat. Gehen Sie dazu wie folgt vor:
- Öffnen Sie das Microsoft Management Console (MMC)-Snap-In, in dem Sie den Zertifikatspeicher auf dem IAS-Server verwalten. Wenn Sie noch nicht über ein MMC-Snap-In zum Anzeigen des Zertifikatspeichers verfügen, erstellen Sie eins. Gehen Sie folgendermaßen vor:
Wählen Sie "Start" aus, wählen Sie "Ausführen", geben Sie "mmc" in das Feld "Öffnen" ein, und wählen Sie dann "OK" aus.
Wählen Sie im Menü "Konsole" (menü "Datei" in Windows Server 2003) die Option "Snap-In hinzufügen/entfernen" und dann "Hinzufügen" aus.
Wählen Sie in der Liste "Verfügbare eigenständige Snap-Ins" die Option "Zertifikate" aus, wählen Sie "Hinzufügen", "Computerkonto" aus, wählen Sie "Weiter" und dann "Fertig stellen" aus.
Notiz
Sie können auch das Zertifikat-Snap-In für das Benutzerkonto und für das Dienstkonto zu diesem MMC-Snap-In hinzufügen.
Klicken Sie auf Schließen und anschließend auf OK.
- Wählen Sie unter Konsolenstamm Zertifikate (lokaler Computer) aus.
- Wählen Sie im Menü "Ansicht" die Option "Optionen" aus.
- Klicken Sie, um das Kontrollkästchen "Archivierte Zertifikate" zu aktivieren, und wählen Sie dann "OK" aus.
- Erweitern Sie "Persönlich", und wählen Sie dann "Zertifikate" aus.
- Klicken Sie mit der rechten Maustaste auf das abgelaufene (archivierte) digitale Zertifikat, wählen Sie "Löschen" aus, und wählen Sie dann "Ja " aus, um das Entfernen des abgelaufenen Zertifikats zu bestätigen.
- Beenden Sie das MMC-Snap-In. Sie müssen den Computer oder dienste nicht neu starten, um dieses Verfahren abzuschließen.
Weitere Informationen
Microsoft empfiehlt, automatische Zertifikatanforderungen für die Verlängerung digitaler Zertifikate in Ihrer Organisation zu konfigurieren. Weitere Informationen finden Sie unter Zertifikat autoenrollment in Windows XP