שתף באמצעות


האטת האתר עקב בדיקת CRL של אישור STS של SharePoint

מאפייני הבעיה

נניח שיש לך יישום אינטרנט המשתמש באימות מבוסס דרישות ב- SharePoint Foundation 2010 או ב- SharePoint Server 2010. לשרת SharePoint אין גישה לאינטרנט, או שהשרת מוגן על-ידי חומת אש שפתוחה בה יציאות מוגבלות. במצב זה, משתמשים נתקלים לסירוגין בעיכובים ארוכים כאשר הם מבצעים פעולות מסוימות, כגון כניסה לאתר או ביצוע חיפוש. המשתמשים עשויים גם להיתקל בלוחות זמנים קצובים של HTTP בעת ביצוע פעולות אלה.

סיבה

SharePoint משתמש באישורים כדי לחתום על אסימוני אבטחה שהונפקו על-ידי שירות אסימון האבטחה (STS). כמו כל האישורים, יש לאמת מעת לעת את חוקיות אישור ה- STS כדי לוודא שהאישור לא בוטל. כברירת מחדל, אישור הבסיס בשרשרת אינו נוסף לאחסון Trusted Root Certificate Authorities של שרתי SharePoint. עקב כך, בדיקת רשימת האישורים המבוטלים (CRL) עבור האישור מתבצעת דרך האינטרנט. אם אין אפשרות להגיע אל שרת CRL המקוון משרת SharePoint מסיבה כלשהי, הזמן הק שהוקצב לפעולה הסתיים לאחר 15 שניות כברירת מחדל. גם אם אימות CRL נכשל לאחר 15 שניות, ייתכן שדף SharePoint עדיין יעובד לאחר ההשהיה.

ניתן לעקוב אחר כשלים באימות אישורים על-ידי הפעלת רישום האירועים של CAPI2 בשרת SharePoint. כאשר רישום אירועים של CAPI2 מופעל ולאימות אישור אינטרנט נכשל, לעתים קרובות תראה את הודעות השגיאה הבאות ביומן האירועים של CAPI2:

  • שגיאת שרשרת גירסאות Build

    מזהה אירוע: 11
    קטגוריית משימה: שרשרת גירסאות Build
    subjectName (נלקח מפרטי אירוע): שירות אסימון האבטחה של SharePoint

  • שגיאת אחזור אובייקט מהרשת

    מזהה אירוע: 53
    קטגוריית משימה: אחזור אובייקט מהרשת

    כתובת URL (נלקחה מפרטי האירוע): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

עיין בסעיף 'מידע נוסף' לקבלת מידע אודות אופן ההפעלה של רישום CAPI2.

פתרון

כדי לפתור בעיה זו, בצע אחת מהדרכים הבאות לעקיפת הבעיה:

פתרון 1

התקן את האישור של רשות הבסיס של SharePoint במאגר רשויות אישורים מהימנות המשמשות כבסיס. לאחר הוספת אישור הבסיס אל מאגר האישורים המקומי, אימות האישור אינו מבוצע עוד דרך האינטרנט. השלבים הבאים עשויים לגרום ל- BuildChain להצליח על-ידי איתור האישור במאגר המקומי, ולכן ביטול הצורך באחזור אובייקט מהרשת. יש להשלים את השלבים הבאים בכל שרת SharePoint בחווה כדי להוסיף את אישור הבסיס במאגר האישורים המקומי:

  1. יצא את האישור של רשות הבסיס של SharePoint כקובץ פיזי (.cer). הפעל את מעטפת הניהול של SharePoint 2010 כמנהל מערכת ולאחר מכן הפעל את הפקודות Windows PowerShell הבאות:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
    $rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte
    

    הערה פעולה זו תייצא את אישור הבסיס הפנימי (.cer) עבור SharePoint לכונן C. באפשרותך להעתיק קובץ זה ולהשתמש בו בכל השרתים בחווה לייבוא מבלי שתצטרך להפעיל שוב את פקודות PowerShell.

  2. יבא את האישור של רשות הבסיס של SharePoint אל מאגר רשויות האישורים המהימנות המשמשות כבסיס. כדי להוסיף את אישור רשות הבסיס של SharePoint לאחסון רשויות אישורים בסיס מהימנות, בצע את הפעולות הבאות:

    הערה "מנהלי מערכת" היא החברות המינימלית הנדרשת בקבוצה כדי להשלים שלבים אלה.

    1. הקש או לחץ על התחל, הקלד mmc בהתחל חיפוש ולאחר מכן הקש Enter.
    2. בתפריט קובץ , לחץ על הוספה/הסרה של יישום Snap-in.
    3. תחת יישום Snap-in זמינים, לחץ על אישורים ולאחר מכן לחץ על הוסף.
    4. תחת יישום Snap-in זה ינהל תמיד אישורים עבור, בחר חשבון מחשב ולאחר מכן לחץ על הבא.
    5. בחר מחשב מקומי ולאחר מכן לחץ על סיום.
    6. אם אין לך עוד יישום Snap-in להוספה לקונסולה, לחץ על אישור.
    7. בעץ המסוף, לחץ פעמיים על אישורים.
    8. לחץ באמצעות לחצן העכבר הימני על מאגר רשויות אישורים מהימנות המשמשות כבסיס.
    9. לחץ על כל המשימות, לחץ על יבא כדי לייבא את האישור ולאחר מכן בצע את השלבים באשף ייבוא האישורים.

פתרון 2

הפוך את העדכון האוטומטי של אישורי בסיס בשרתי SharePoint ללא זמין. לשם כך, בצע את הפעולות הבאות:

  1. תחת הצומת תצורת מחשב בתיבת הדו-מדיניות קבוצתית עורך, לחץ פעמיים על פריטי מדיניות.
  2. לחץ פעמיים על הגדרות Windows, לחץ פעמיים על הגדרות אבטחה ולאחר מכן לחץ פעמיים על פריטי מדיניות של מפתח ציבורי.
  3. בחלונית פרטים, לחץ פעמיים על הגדרות אימות נתיב אישור.
  4. לחץ על הכרטיסיה אחזור רשת, בחר בתיבת הסימון הגדר הגדרות מדיניות אלה ולאחר מכן נקה את תיבת הסימון עדכן אישורים באופן אוטומטי בתוכנית אישורי הבסיס של Microsoft (מומלץ).
  5. לחץ על אישור ולאחר מכן סגור את הכרטיסיה מדיניות קבוצתית עורך.
  6. הפעל את gpupdate/force כדי לגרום למדיניות להיכנס לתוקף באופן מיידי.

הערה כאשר עדכון אוטומטי אינו זמין, ייתכן שתצטרך לנטר אם יש מהדורות חדשות ולאחר מכן לעדכן באופן ידני את אמון האישור כ הנדרש.

ההשלכות של הפיכת עדכונים אוטומטיים של אישורי בסיס ללא זמינים

לא אמורות להיות השלכות ספציפיות ל- SharePoint מכיוון שאנו משתמשים באישורים בחתימה עצמית ומנהלים אותם בעצמנו. לאישורי SharePoint יש פג תוקף, אך קיים כלל תקינות הצופה באפשרות זו ולאחר מכן מזהיר את מנהל המערכת לעדכן או לפרוס אותם מחדש.

ההיבט העיקרי שיש לשקול הוא עבור אישורים אחרים המשמשים במחשב (כגון אישורי SSL, אישורים לתת אמון בחבילות הורדה או עבור מדיניות בטוחה יותר וכן הלאה) אשר מונפקים מאישורים המשורשרים לאלה שבחנות Trusted Root Certification Authorities.

מידע נוסף

הפיכת יומן הרישום של CAPI2 לזמין ושמור אותו מציג האירועים המשתמש

  1. פתח את מציג האירועים. כדי לפתוח מציג האירועים, לחץ עלהתחל, לחץ לוח הבקרה, לחץ פעמיים על כלי ניהול ולאחר מכן לחץ פעמיים על כלי מציג האירועים.
  2. אם תיבת הדו-שיח בקרת חשבון משתמש מופיעה, ודא שהפעולה המוצגת היא הפעולה שברצונך לבצע ולאחר מכן לחץ על המשך.
  3. בחלונית מסוף, הרחב את מציג האירועים, הרחב את יומני רישום של יישומים ושירותים, הרחב את Microsoft, הרחב את Windows ולאחר מכן הרחב את CAPI2.
  4. כעת באפשרותך לבצע את הפעולות הבאות:
    • כדי להפוך רישום CAPI2 לזמין, לחץ באמצעות לחצן העכבר הימני על תפעולי ולאחר מכן בחר הפוך יומן רישום לזמין.

    • כדי לשמור את יומן הרישום בקובץ, לחץ באמצעות לחצן העכבר הימני על תפעולי ולאחר מכן בחר שמור אירועים בשם. באפשרותך לשמור את קובץ יומן הרישום בתבנית EVTX (שניתן לפתוח באמצעות מציג האירועים) או בתבנית XML.

    • כדי להפוך רישום CAPI2 ללא זמין, לחץ באמצעות לחצן העכבר הימני על תפעולי ולאחר מכן בחר הפוך יומן רישום ללא זמין.

    • אם קיימים נתונים ביומן הרישום לפני שתנסה לשחזר את הבעיה, מומלץ לנקות את יומן הרישום. הדבר מאפשר איסוף רק של הנתונים הרלוונטיים לתרחיש הבעיה מ יומן הרישום שנשמר. כדי לנקות את יומן הרישום, לחץ באמצעות לחצן העכבר הימני על תפעול ולאחר מכן בחר נקה יומן רישום.

    • עבור אבחון CAPI2, יומן הרישום יכול לגדול במהירות, ואנו ממליצים להגדיל את גודל יומן הרישום ל- 4 מגה-בתים (MB) לפחות כדי ללכוד אירועים רלוונטיים. כדי להגדיל את גודל יומן הרישום, לחץ באמצעות לחצן העכבר הימני על תפעולי ולאחר מכן בחר מאפיינים. בממאפיינים של יומן הרישום, הגדל את גודל יומן הרישום המרבי.

      הערה גודל ברירת המחדל עבור יומן האירועים הוא 1 MB.

עדיין זקוק לעזרה? עבור אל קהילת SharePoint.