Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für SSL/TLS-Kommunikationsprobleme, die nach der Installation von KB-931125 auftreten.
Ursprüngliche KB-Nummer: 2801679
Symptome
Nach dem 11. Dezember 2012 können Anwendungen und Vorgänge, die von TLS-basierten Authentifizierungen abhängig sind, plötzlich fehlschlagen, obwohl sie keine offensichtliche Konfigurationsänderung aufweisen. Einige der Anwendungen und Vorgänge, die fehlschlagen können, sind jedoch nicht beschränkt auf Folgendes:
- Drahtlosnetzwerkzugriff, der zertifikatbasierte Authentifizierung verwendet
- Kabelnetzwerkzugriff, der zertifikatbasierte Authentifizierung verwendet
- Clientkonnektivität mit Lync oder office Communications Server
- Voicemail, die Exchange Server zusammen mit Unified Messaging verwendet
- SSL-aktivierter Websitezugriff
- Outlook-Anmeldungen
- Betriebssystemstartverzögerungen (langsamer Start)
- Verzögerungen bei benutzeranmeldungen (langsame Anmeldung)
Ereignisse, die in Windows- oder anwendungsspezifischen Ereignisprotokollen protokolliert werden, und dass entweder bereichs- oder endgültig das in diesem Artikel behandelte Symptom identifizieren, umfassen, sind jedoch nicht beschränkt auf Ereignisse, die in der folgenden Tabelle aufgeführt sind.
Ereignisprotokoll | Ereignisquelle | Ereignis-ID | Fehlermeldungstext |
---|---|---|---|
System | Schannel | 36885 | Beim Anfordern der Clientauthentifizierung sendet dieser Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das vom Server als vertrauenswürdig eingestuft wird. Derzeit vertraut dieser Server so vielen Zertifizierungsstellen, dass die Liste zu lang gewachsen ist. Diese Liste wurde daher gekürzt. Der Administrator dieses Computers sollte die vertrauenswürdigen Zertifizierungsstellen für die Clientauthentifizierung überprüfen und diejenigen entfernen, die nicht wirklich vertrauenswürdig sein müssen. |
System | Schannel | 36887 | Die folgende tödliche Warnung wurde empfangen: 47 |
System | NapAgent | 39 | Der Netzwerkzugriffsschutz-Agent konnte nicht ermitteln, von welchen HRAs ein Integritätszertifikat angefordert werden soll. Eine Netzwerkänderung oder wenn GP konfiguriert ist, fordert eine Konfigurationsänderung weitere Versuche auf, ein Integritätszertifikat zu erwerben. Andernfalls werden keine weiteren Versuche unternommen. Wenden Sie sich an den HRA-Administrator, um weitere Informationen zu erfahren. |
System | RemoteAccess | 20225 | Der folgende Fehler ist im Point to Point Protocol-Modul am Port aufgetreten: VPN2-509, UserName: <username>. Die Verbindung wurde aufgrund einer auf dem RAS-/VPN-Server konfigurierten Richtlinie verhindert. Genauer gesagt: Die Authentifizierungsmethode, die vom Server zur Überprüfung Ihres Benutzernamens und Kennworts verwendet wurde, entspricht möglicherweise nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie sie über diesen Fehler. |
System | RemoteAccess | 20271 | Der von der IP-Adresse> verbundene Benutzerbenutzerbenutzername <> hat jedoch einen Authentifizierungsversuch aufgrund des folgenden Grunds fehlgeschlagen: Die Verbindung wurde aufgrund einer auf Ihrem RAS/VPN-Server konfigurierten Richtlinie verhindert.< Genauer gesagt: Die Authentifizierungsmethode, die vom Server zur Überprüfung Ihres Benutzernamens und Kennworts verwendet wurde, entspricht möglicherweise nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie sie über diesen Fehler. |
Ursache
Diese Probleme können auftreten, wenn Sie Ihre Stammzertifizierungsstellen von Drittanbietern mithilfe des Updatepakets vom Dezember 2012 KB 931125 aktualisiert haben. Das KB-931125-Paket, das am 11. Dezember 2012 veröffentlicht wurde, war nur für Client-SKUs vorgesehen. Es wurde jedoch auch für Server-SKUs für kurze Zeit unter Windows Update und WSUS angeboten.
Dieses Paket hat mehr als 330 Stammzertifizierungsstellen von Drittanbietern installiert. Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket unterstützt, 16 Kb (KB). Wenn Sie eine große Anzahl von Stammzertifizierungsstellen von Drittanbietern haben, wird der Grenzwert von 16k überschritten, und Sie treten probleme mit TLS/SSL-Kommunikation auf.
Lösung
Wenn Sie WSUS verwenden und das Update vom Dezember 2012 KB 931125 nicht installiert haben, sollten Sie die WSUS-Server synchronisieren und dann die Ablaufzeiten genehmigen, damit die Server das Update nicht installieren.
Wenn Sie das Updatepaket vom Dezember 2012 KB 931125 installiert haben, sollten Sie die folgende Lösung verwenden, um zusätzliche Stammzertifizierungsstellen von Drittanbietern auf allen Servern zu entfernen, die jetzt über eine große Menge von Stammzertifizierungsstellen von Drittanbietern verfügen.
Notiz
Diese Lösung entfernt alle Stammzertifizierungsstellen von Drittanbietern. Wenn Ihr Server über eine Verbindung mit Windows Update verfügt, wird er bei Bedarf automatisch die Stammzertifizierungsstellen von Drittanbietern hinzufügen, wie in KB 931125 erläutert. Wenn ein betroffener Server isoliert oder vom Internet getrennt ist, müssen Sie die erforderlichen Stammzertifizierungsstellen von Drittanbietern manuell wie in der Vergangenheit hinzufügen. (Sie können sie auch mithilfe von Gruppenrichtlinien installieren.)
Um dieses Problem zu beheben, löschen Sie den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
Gehen Sie dazu wie folgt vor:
- Registrierungs-Editor starten
- Suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
- Klicken Sie mit der rechten Maustaste, und löschen Sie dann den Schlüssel, der als Zertifikate bezeichnet wird.
Notiz
Stellen Sie sicher, dass Sie eine Sicherung der Registrierung und der betroffenen Schlüssel vornehmen, bevor Sie Änderungen am System vornehmen.
Weitere Informationen
Diese Probleme können auftreten, wenn ein TLS/SSL-Server viele Einträge in der Liste der vertrauenswürdigen Stammzertifizierung enthält. Der Server sendet eine Liste der vertrauenswürdigen Zertifizierungsstellen an den Client, wenn die folgenden Bedingungen erfüllt sind:
- Der Server verwendet das TLS (Transport Layer Security)/SSL-Protokoll zur Verschlüsselung des Netzwerkverkehrs.
- Für die Authentifizierung beim Authentifizierungshandshakeprozess sind Clientzertifikate erforderlich.
Diese Liste der vertrauenswürdigen Zertifizierungsstellen stellt die Behörden dar, von denen der Server ein Clientzertifikat akzeptieren kann. Um vom Server authentifiziert zu werden, muss der Client über ein Zertifikat verfügen, das in der Zertifikatkette auf ein Stammzertifikat aus der Liste des Servers zurückgeht. Dies liegt daran, dass das Clientzertifikat immer das Endentitätszertifikat am Ende der Kette ist. Das Clientzertifikat ist nicht Teil der Kette.
Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket unterstützt, 16 KB in Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012.
Schannel erstellt die Liste der vertrauenswürdigen Zertifizierungsstellen durch Durchsuchen des Speichers für vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Computer. Jedes Zertifikat, das für Clientauthentifizierungszwecke vertrauenswürdig ist, wird der Liste hinzugefügt. Wenn die Größe dieser Liste 16 KB überschreitet, protokolliert Schannel die Warnungsereignis-ID 36855. Anschließend kürzt Schannel die Liste vertrauenswürdiger Stammzertifikate und sendet die gekürzte Liste an den Clientcomputer.
Wenn der Clientcomputer die abgeschnittene Liste der vertrauenswürdigen Stammzertifikate empfängt, verfügt der Clientcomputer möglicherweise nicht über ein Zertifikat, das in der Kette eines vertrauenswürdigen Zertifikatausstellers vorhanden ist. Beispielsweise verfügt der Clientcomputer möglicherweise über ein Zertifikat, das einem vertrauenswürdigen Stammzertifikat entspricht, das Schannel aus der Liste der vertrauenswürdigen Zertifizierungsstellen abgeschnitten hat. Daher kann der Server den Client nicht authentifizieren.