Problemi di comunicazione SSL/TLS dopo l'installazione 931125 KB

Traduzione articoli Traduzione articoli
Identificativo articolo: 2801679 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sintomi

Dopo l'11 dicembre 2012, le applicazioni e le operazioni che dipende da errori autenticazioni basate su TLS improvvisamente riesca anche se non dispone di nessuna modifica alla configurazione apparente. Alcune delle applicazioni e le operazioni che possono generare errori includono, ma non sono limitati a, le seguenti operazioni:
  • Accesso alla rete senza fili che utilizza l'autenticazione basata su certificati
  • Accesso alla rete cablata che utilizza l'autenticazione basata su certificati
  • ConnettivitÓ client Lync o di Office Communications Server
  • Posta vocale che utilizza Exchange Server con la messaggistica unificata
  • Accesso sito Web SSL abilitato
  • Accessi di Outlook
  • Ritardi di avvio del sistema operativo (avvio lento)
  • Ritardi di accessi utente (tempi di accesso)
Gli eventi che vengono registrati in Windows o nei registri eventi specifici dell'applicazione e che l'ambito o identificare con certezza il sintomo descritto in questo articolo includono, ma non sono limitati a, gli eventi elencati nella tabella riportata di seguito.


Riduci questa tabellaEspandi questa tabella
Registro eventiOrigine eventiID eventoTesto dell'evento
SistemaSchannel36885Quando richiesto per l'autenticazione client, il server invia un elenco di autoritÓ di certificazione attendibili al client. Il client utilizza questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, molte autoritÓ di certificazione che l'elenco Ŕ diventato troppo lungo ritenute attendibili dal server. Questo elenco Ŕ pertanto stato troncato. L'amministratore del computer deve esaminare le autoritÓ di certificazione attendibili per l'autenticazione client e rimuovere quelli che effettivamente non Ŕ necessario che sia attendibile.
SistemaSchannel36887╚ stato ricevuto il seguente messaggio di errore irreversibile: 47
SistemaNapAgent39L'agente protezione accesso alla rete Ŕ riuscito a determinare quali HRA per richiedere un certificato sanitario da. Una modifica alla rete o se Ŕ stato configurato Criteri di gruppo, una modifica della configurazione richiederÓ ulteriori tentativi di acquisire un certificato sanitario. In caso contrario non verranno eseguiti ulteriori tentativi.Per ulteriori informazioni, contattare l'amministratore dell'AutoritÓ registrazione integritÓ.
SistemaAccesso remoto20225Si Ŕ verificato il seguente errore nel modulo PPP sulla porta: VPN2-509, UserName: <username>. La connessione a causa di un criterio di configurazione del server RAS/VPN. In particolare, il metodo di autenticazione utilizzato dal server per verificare il nome utente e la password potrebbe non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e informarlo dell'errore. </username>
SistemaAccesso remoto20271L'utente <username>connessi da <IP address="">ma non Ŕ riuscito tentativo di autenticazione per il seguente motivo: la connessione a causa di un criterio di configurazione del server RAS/VPN. In particolare, il metodo di autenticazione utilizzato dal server per verificare il nome utente e la password potrebbe non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e informarlo dell'errore. </IP></username>


Cause

Questi problemi possono verificarsi che se Ŕ stato aggiornato di terze parti principali del Certication utilizzando dicembre 2012 KB 931125 pacchetto di aggiornamento. Il pacchetto 931125 KB che Ŕ stato registrato il 11 dicembre 2012, Ŕ stato progettato solo per SKU client. Tuttavia, inoltre offerto per SKU del Server per un breve periodo di tempo su Windows Update e WSUS.

Questo pacchetto installato pi¨ di 330 terze Certication principali. Attualmente, la dimensione massima dell'elenco di autoritÓ di certificazione attendibile che supporta il pacchetto di protezione Schannel Ŕ 16 kilobyte (KB). Aventi una grande quantitÓ di terze parti principali del Certication verrÓ Vai su 16 KB limite e si verificheranno problemi di comunicazione TLS/SSL.

Risoluzione

Se si utilizza WSUS e non Ŕ stato installato dicembre 2012 KB 931125 aggiornamento, Ŕ necessario sincronizzare il server WSUS e quindi approvare le scadenze, in modo che i server non si installano l'aggiornamento.

Se Ŕ stato installato dicembre 2012 KB 931125 pacchetto di aggiornamento, Ŕ necessario utilizzare la seguente risoluzione per rimuovere ulteriori terze Certication principali su tutti i server che hanno subito una grande quantitÓ di terze parti principali del Certication.

Nota. Questa soluzione consente di rimuovere tutte le autoritÓ di Certication radice di terze parti. Se il server dispone di connettivitÓ a Windows Update, aggiungerÓ automaticamente back terze Certication autoritÓ principale come necessario, come anche discusso in 931125 KB. Se un server interessato Ŕ isolato o disonnected da Internet, Ŕ necessario manualmente Ŕ necessario aggiungere le necessarie autoritÓ Certication principali di terze nuovamente come sarebbe Ŕ fatto in precedenza. (O, Ŕ possibile installarli utilizzando criteri di gruppo.)

Per risolvere il problema, visitare il "correzione per me" sezione. Se si preferisce risolvere il problema autonomamente, andare alla sezione "Consenti la correzione manuale".

Risolvere il problema per me

Per risolvere il problema automaticamente, fare clic sui Fix it pulsante o collegamento, fare clic su Esegui nella finestra di dialogo Download del File e quindi seguire le istruzioni della procedura guidata Fix it .


Risolvere il problema
Correzione Microsoft 50974
Note

  • Assicurarsi di effettuare un backup del Registro di sistema e di tutte le chiavi interessate prima di apportare eventuali modifiche al sistema.
  • Questa procedura guidata potrebbe essere solo in lingua inglese. Tuttavia, la correzione automatica funziona anche per le versioni di Windows in altre lingue.
  • Se non si Ŕ sul computer che presenta il problema, salvare la soluzione Ŕ la soluzione a un'unitÓ memoria flash o un CD e quindi eseguire la soluzione sul computer che presenta il problema.

Risolvere il problema manualmente

Eliminare la seguente chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

A tale scopo, attenersi alla seguente procedura:
  1. Avviare l'Editor del Registro di sistema
  2. Individuare la seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Pulsante destro del mouse e quindi eliminare la chiave viene chiamata "Certificati"
Nota. Assicurarsi di effettuare un backup del Registro di sistema e chiavi coinvolte prima di apportare eventuali modifiche al sistema.

Informazioni

Questi problemi possono verificarsi se un server TLS/SSL contiene molte voci nell'elenco di certificazione principale attendibile. Il server invia un elenco di autoritÓ di certificazione attendibili al client se sono vere le seguenti condizioni:
  • Il server utilizza la protezione TLS (Transport Layer) / protocollo SSL per crittografare il traffico di rete.
  • I certificati client sono necessari per l'autenticazione durante il processo di handshake di autenticazione.

Questo elenco di autoritÓ di certificazione attendibili rappresenta le autoritÓ da cui il server pu˛ accettare un certificato client. Per essere autenticato dal server, il client deve disporre di un certificato Ŕ presente nella catena di certificati a un certificato radice dall'elenco del server. Infatti, il certificato client Ŕ sempre il certificato finale alla fine della catena. Il certificato client non fa parte della catena.

Attualmente, la dimensione massima dell'elenco di autoritÓ di certificazione attendibile che supporta il pacchetto di protezione Schannel Ŕ 16 KB in Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.

SChannel crea l'elenco delle autoritÓ di certificazione attendibile per la ricerca nell'archivio AutoritÓ di certificazione radice attendibili sul computer locale. Ogni certificato Ŕ attendibile per scopi di autenticazione del client viene aggiunto all'elenco. Se la dimensione dell'elenco supera i 16 KB, Schannel registrato ID di evento di avviso 36855. Quindi, Schannel Tronca l'elenco dei certificati principali attendibili e invia questo elenco troncato al computer client.

Quando il computer client riceve l'elenco dei certificati principali attendibili troncato, Ŕ possibile che il computer client non dispone di un certificato presente nella catena di un'autoritÓ di certificazione attendibile. Ad esempio, il computer client potrebbe essere un certificato che corrisponde a un certificato principale attendibile che Schannel troncato dall'elenco di autoritÓ di certificazione attendibili. Di conseguenza, il server non pu˛ autenticare il client.

ProprietÓ

Identificativo articolo: 2801679 - Ultima modifica: giovedý 17 ottobre 2013 - Revisione: 3.0
Le informazioni in questo articolo si applicano a:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Chiavi:á
kbmt KB2801679 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2801679
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com