DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 933430 - Última revisão: domingo, 15 de Março de 2015 - Revisão: 4.0

Disponível transferência de hotfix
Ver e solicitar transferências de hotfix
 
 
Importante Este artigo contém informações sobre como modificar o registo. Certifique-se de que faça uma cópia de segurança do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança, restaurar e modificar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
256986  (http://support.microsoft.com/kb/256986/ ) Descrição do registo do Microsoft Windows

Nesta página

Sintomas

Considere os seguintes cenários.

Cenário 1

  • Tem um Web site de serviços de informação Internet (IIS) 6.0 da Microsoft que utiliza o protocolo de camada segura de Sockets (SSL) para encriptar ligações de cliente.
  • A opção exigir certificados de cliente está seleccionada na caixa de diálogo Comunicações seguras dasWebSiteName Caixa de diálogo de propriedades.
Neste cenário, poderá detectar os seguintes sintomas:
  • Os clientes não é possível ligar ao Web site com êxito.
  • O seguinte evento de aviso é registado no computador baseado no Microsoft Windows Server 2003 que aloja o Web site:

    Tipo de evento: aviso
    Origem do evento: Schannel
    Categoria de evento: nenhum
    ID do evento: 36885
    Data: data
    Hora: tempo
    Utilizador:
    Computador: NOME DO COMPUTADOR
    Solicitar a autenticação de cliente, este servidor de descrição: quando envia uma lista de autoridades de certificação fidedignas para o cliente. O cliente utiliza esta lista para escolher um certificado de cliente que seja considerado fidedigno pelo servidor. Actualmente, este servidor considera fidedignas tantas autoridades de certificação que a lista se tornou demasiado longa. Esta lista, por conseguinte, foi truncada. O administrador deste computador deverá rever as autoridades de certificação fidedignas para autenticação de clientes e remover aquelas que não deverão ser consideradas fidedignas.

Nota Por predefinição, não são registados eventos de aviso de Secure Channel (Schannel). Para mais informações sobre como configurar o registo para eventos Schannel, consulte a secção "Mais informação".

Cenário 2

Utilizar um computador baseado no Microsoft Windows Server 2003 que esteja a executar o Microsoft autenticação serviço Internet (IAS) para suportar a autenticação para uma rede sem fios. Neste cenário, poderá detectar os seguintes sintomas:
  • O servidor IAS com êxito não é possível autenticar os clientes. Por conseguinte, computadores clientes sem fios não consegue ligar à rede sem fios com êxito.
  • Um evento de aviso semelhante à seguinte é registado no servidor IAS:

    Tipo de evento: aviso
    Origem do evento: IAS
    Categoria de evento: nenhum
    ID do evento: 2
    Data: data
    Hora: tempo
    Utilizador:
    Computador: NOME DO COMPUTADOR
    Descrição: utilizador jsmith@contoso.com foi negado o acesso.
    Totalmente qualificado nome-de-utilizador = endereço-IP-CONTOSOS\jsmithNAS = 10.20.30.40
    Identificador-NAS = WL1234-1
    Chamada-estação-Identifier = 0016.462c.1650
    Identificador de estação de chamada = 0012.f05b.a795
    Nome-amigável-cliente = WL1234-1
    Endereço de IP de cliente = 10.20.30.40
    NAS-Port-Type = sem fios - IEEE 802.11
    NAS-Port = nome da política de 10037Proxy = utilizar autenticação do Windows para todos os utilizadores
    Fornecedor de autenticação = Windows
    Servidor de autenticação = <undetermined>
    Nome de política = política de acesso de rede sem fios
    Tipo de autenticação = EAP
    Tipo de EAP = Smart Card ou outro certificado
    Código de razão = 266
    Motivo = a mensagem recebida era inesperada ou estava mal formatada.
    Para mais informações, consulte o Centro ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.
    Dados: 0000: 26 03 09 80 &..?</undetermined>

  • Um evento semelhante o seguinte evento de aviso poderá ser registado no servidor IAS:

    Tipo de evento: aviso
    Origem do evento: Schannel
    Categoria de evento: nenhum
    ID do evento: 36885
    Data: data
    Hora: tempo
    Utilizador:
    Computador: NOME DO COMPUTADOR
    Solicitar a autenticação de cliente, este servidor de descrição: quando envia uma lista de autoridades de certificação fidedignas para o cliente. O cliente utiliza esta lista para escolher um certificado de cliente que seja considerado fidedigno pelo servidor. Actualmente, este servidor considera fidedignas tantas autoridades de certificação que a lista se tornou demasiado longa. Esta lista, por conseguinte, foi truncada. O administrador deste computador deverá rever as autoridades de certificação fidedignas para autenticação de clientes e remover aquelas que não deverão ser consideradas fidedignas.

Nota Por predefinição, não são registados eventos de aviso de Secure Channel (Schannel). Para mais informações sobre como configurar o registo para eventos Schannel, consulte a secção "Mais informação".

Causa

Este problema poderá ocorrer se o servidor Web ou o servidor IAS contém muitas entradas na lista de certificação de raiz fidedigna. O servidor envia uma lista de autoridades de certificação fidedignas para o cliente, caso se verifiquem as seguintes condições:
  • O servidor utiliza o Transport Layer Security (TLS) / protocolo de SSL para encriptar o tráfego de rede.
  • Certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.
Esta lista de autoridades de certificação fidedignas representa as autoridades a partir do qual o servidor pode aceitar um certificado de cliente. Para ser autenticado pelo servidor, o cliente tem de ter um certificado que está presente na cadeia de certificados por um certificado raiz da lista do servidor.

Actualmente, o tamanho máximo da lista de autoridades de certificado fidedigno que o pacote de segurança do Schannel suporta é 12,228 (0x3000) bytes.

Schannel cria a lista de autoridades de certificação fidedigna procurando o arquivo de autoridades de certificação de raiz fidedigna no computador local. Cada certificado que seja fidedigno para fins de autenticação de cliente é adicionado à lista. Se o tamanho desta lista exceder 12,228 bytes, o Schannel regista o ID de evento de aviso 36885. Em seguida, o Schannel trunca a lista de certificados de raiz fidedigna e envia esta lista truncada para o computador cliente.

Quando o computador cliente recebe a lista truncada de certificados de raiz fidedigna, o computador cliente poderá não ter um certificado que existe na cadeia de um emissor de certificados fidedignos. Por exemplo, o computador cliente poderá ter um certificado que corresponde a um certificado de raiz fidedigna que Schannel truncado da lista de autoridades de certificação fidedignas. Por conseguinte, o servidor IAS não consegue autenticar o cliente.

A correcção aumenta a memória intermédia de segurança Schannel a 16k. Se exceder este limite, será ainda problemas que são descritos na secção "Sintomas" deste artigo.Esta alteração também foi incluída no Windows Server 2008 e Windows Server 2008 R2.As soluções descritas abaixo serão aplicadas, bem como para o Windows Server 2008 e Windows Server 2008 R2.


Resolução

Informações sobre correção

Agora tem uma correcção suportada disponível na Microsoft. Contudo, destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que tenham este problema específico. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde o próximo service pack do Windows Server 2003 que contenha esta correcção.

Para resolver este problema imediatamente, contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa dos números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
Nota Em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas que se enquadrem na atualização específica em questão.

Pré-requisitos

Para aplicar esta correcção, tem de ter o Windows Server 2003 Service Pack 1 (SP1) ou Windows Server 2003 Service Pack 2 (SP2) instalado no computador.Para mais informações sobre como obter o service pack mais recente do Windows Server 2003, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
889100  (http://support.microsoft.com/kb/889100/ ) Como obter o service pack mais recente do Windows Server 2003

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição da correção

Esta correcção não substitui quaisquer outras correcções.

Informações de ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário no item data e hora no painel de controlo.
Windows Server 2003, versões baseadas em x86 com SP1
Reduzir esta tabelaExpandir esta tabela
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Schannel. dll5.2.3790.2971144,89610-Jul-200717:27x86
Windows Server 2003, versões baseadas em x86 com SP2
Reduzir esta tabelaExpandir esta tabela
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Schannel. dll5.2.3790.4115147.45610-Jul-200717:51x86
Windows Server 2003, versões baseadas em x64 com SP1
Reduzir esta tabelaExpandir esta tabela
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataformaRamo de serviço
Schannel. dll5.2.3790.2971254,46410-Jul-200703:15x64Não aplicável
Wschannel.dll5.2.3790.2971144,89610-Jul-200703:15x86WOW
Windows Server 2003, versões baseadas em x64 com SP2
Reduzir esta tabelaExpandir esta tabela
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataformaRamo de serviço
Schannel. dll5.2.3790.2971254,46410-Jul-200703:15x64Não aplicável
Wschannel.dll5.2.3790.2971144,89610-Jul-200703:15x86WOW
Windows Server 2003, versões baseadas em Itanium com SP1
Reduzir esta tabelaExpandir esta tabela
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataformaRamo de serviço
Schannel. dll5.2.3790.2971466,43210-Jul-200703:16IA-64Não aplicável
Wschannel.dll5.2.3790.2971144,89610-Jul-200703:16x86WOW
Windows Server 2003, versões baseadas em Itanium com o SP2
Reduzir esta tabelaExpandir esta tabela
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataformaRamo de serviço
Schannel. dll5.2.3790.4115466,43210-Jul-200703:24IA-64Não aplicável
Wschannel.dll5.2.3790.4115147.45610-Jul-200703:24x86WOW

Como contornar

Para contornar este problema, utilize um dos seguintes métodos, conforme adequado à sua situação.

Método 1: Remover alguns certificados de raiz fidedigna

Se alguns dos certificados de raiz fidedigna não forem utilizados no seu ambiente, removê-los a partir do servidor Web ou a partir do servidor IAS. Para tal, siga estes passos:
  1. Clique em Iniciar, clique em Executar, tipo MMCe, em seguida, clique em OK.
  2. No menu ficheiro , clique em Adicionar/Remover Snap-ine, em seguida, clique em Adicionar.
  3. Na caixa de diálogo Adicionar Snap-in autónomo , clique em certificadose, em seguida, clique em Adicionar.
  4. Clique na conta de computador, clique em seguintee, em seguida, clique em Concluir.
  5. Clique em Fechare, em seguida, clique em OK.
  6. Em Raiz da consola do snap-in da consola de gestão da Microsoft (MMC), expanda certificados (computador Local), expanda Autoridades de certificação de raiz fidedignae, em seguida, clique em certificados.
  7. Remova certificados de raiz fidedigna que não é necessário ter. Para tal, um certificado com o botão direito, clique em Eliminare, em seguida, clique em Sim para confirmar a remoção do certificado.
Nota Existem alguns certificados de raiz que são necessários pelo Windows. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
293781  (http://support.microsoft.com/kb/293781/ ) Certificados de raiz fidedigna que são necessários pelo Windows Server 2003, pelo Windows XP e pelo Windows 2000

Método 2: Configurar a política de grupo para ignorar a lista das autoridades de certificação fidedignas no computador local

Se o servidor IAS ou o servidor Web é um membro de um domínio, pode criar uma política para que o servidor ignorar a lista de autoridades de certificação fidedignas no computador local. Quando aplica esta política, os clientes e servidores afectados só considera fidedignos os certificados que se encontram no arquivo de autoridades de certificação de raiz empresarial. Por conseguinte, não é necessário que modificar os computadores individuais.

Nota Este método funciona apenas se todos os computadores cliente forem do mesmo domínio de serviço de directório do Active Directory ou floresta do Active Directory. Política de grupo não é aplicada a computadores que não estejam na mesma floresta do Active Directory.

Para criar esta política, siga estes passos.

Passo 1: Criar um objecto de política de grupo

  1. Inicie sessão para um controlador de domínio e, em seguida, inicie a ferramenta de computadores e utilizadores do Active Directory. Para tal, clique em Iniciar, clique em Executar, tipo DSA. msce, em seguida, clique em OK.
  2. Botão direito do rato no contentor em que pretende configurar o objecto de política de grupo e, em seguida, clique em Propriedades. Por exemplo, o botão direito do rato no contentor de domínio ou um contentor de unidade organizacional com o botão direito.
  3. Clique no separador da Política de grupo e, em seguida, clique em Novo.
  4. Escreva um nome descritivo para a política e, em seguida, prima ENTER.
  5. Clique em Editar para iniciar o Editor de objecto de política de grupo.
  6. Expanda a Configuração do computador, expanda Definições do Windows, expanda Definições de segurançae, em seguida, clique em Políticas de chaves públicas.
  7. Autoridades de certificação de raiz fidedignacom o botão direito e, em seguida, clique em Propriedades.
  8. Clique em Autoridades de certificação de raiz empresariale, em seguida, clique em OK.
  9. Saia do Editor de objecto de política de grupo.
  10. Clique em OK para fechar oNomeObjecto Caixa de diálogo de propriedades.

Passo 2: Adicionar certificados de raiz ao arquivo de certificados "Autoridades de certificação fidedignas"

  1. Exporte qualquer certificados de raiz necessária do arquivo do computador local do servidor adequado. Isto inclui os certificados de raiz interno para autoridades de certificação (ACs) e certificados de raiz para autoridades de certificação pública requeridas pela organização.
  2. Inicie sessão para um controlador de domínio e, em seguida, inicie a ferramenta de computadores e utilizadores do Active Directory.
  3. Botão direito do rato no contentor que contém o objecto de política de grupo que criou no "passo 1: objecto de política de criar um grupo" secção e, em seguida, clique em Propriedades.
  4. Clique no separador ' Política de grupo , clique no objecto de política de grupo e, em seguida, clique em Editar.
  5. Expanda a Configuração do computador, expanda Definições do Windows, expanda Definições de segurançae, em seguida, clique em Políticas de chaves públicas.
  6. Autoridades de certificação fidedignas 'com o botão direito e, em seguida, clique em Importar.
  7. Siga os passos no Assistente para importar certificados para importar o certificado de raiz ou os certificados que foi exportada no passo 2a.
  8. Saia do Editor de objecto de política de grupo.
  9. Clique em OK para fechar oNomeObjecto Caixa de diálogo de propriedades.
Nota Existem alguns certificados de raiz que são necessários pelo Windows. Tem de adicionar estes certificados à política que criou. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
293781  (http://support.microsoft.com/kb/293781/ ) Certificados de raiz fidedigna que são necessários pelo Windows Server 2003, pelo Windows XP e pelo Windows 2000

Método 3: Configurar Schannel já não enviar a lista de autoridades de certificação de raiz fidedigna durante o processo de handshake TLS/SSL

Aviso Poderão ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Modifique o registo por sua conta e risco.

No servidor que está a executar o IIS ou no servidor IAS no qual tiver este problema, defina a seguinte entrada de registo como falso:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nome do valor: SendTrustedIssuerList
Tipo de valor: REG_DWORD
Dados do valor: 0 (FALSO)
Por predefinição, esta entrada não está listada no registo. Por predefinição, este valor é 1 (verdadeiro). Esta entrada de registo controla o sinalizador que controla se o servidor envia uma lista de autoridades de certificação fidedignas para o cliente. Quando define esta entrada de registo como False, o servidor não envia uma lista de autoridades de certificação fidedignas para o cliente. Este comportamento pode afectar a forma como o cliente responde a um pedido de certificado. Por exemplo, se o Internet Explorer receber um pedido de autenticação de cliente, o Internet Explorer apresenta apenas os certificados de cliente que aparecem na cadeia de uma das autoridades de certificação que constam da lista do servidor. No entanto, se o servidor não envia uma lista das autoridades de certificação fidedigna, o Internet Explorer apresenta todos os certificados de cliente que estão instalados no computador cliente.

Para definir esta entrada de registo, siga estes passos:
  1. Clique em Iniciar, clique em Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize e, em seguida, clique na seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. No menu Editar , aponte para Novoe, em seguida, clique em Valor DWORD.
  4. Tipo SendTrustedIssuerList, e, em seguida, prima ENTER para atribuir um nome a entrada de registo.
  5. SendTrustedIssuerListcom o botão direito e, em seguida, clique em Modificar.
  6. Na caixa dados do valor , escreva 0 se que o valor não é já apresentados e, em seguida, clique em OK.
  7. Sair do Editor de Registo.
Para mais informações sobre a entrada de registo SCHANNEL, visite o seguinte Web site da Microsoft:
http://technet2.microsoft.com/windowsserver/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx (http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx)

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Windows Server 2003 foi concebido para examinar automaticamente a lista das autoridades de certificação fidedigna no site da Web do Microsoft Windows Update quando actualizar certificados raiz. Em seguida, o Windows instala o certificado de raiz adequado após esse certificado é validado pelo programa de um utilizador.

Nota No Windows Server 2003, a lista de autoridades de certificação não pode exceder 12,228 (0x3000) bytes. Quando actualiza os certificados de raiz, a lista das autoridades de certificação fidedigna poderá aumentar significativamente. Por conseguinte, a lista poderá ficar demasiado longa. Neste caso, o Windows trunca a lista. Este comportamento pode causar problemas com a autorização. Neste cenário, poderá detectar o problema descrito na secção "Sintomas".

Como configurar o registo para eventos Schannel

Aviso Poderão ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Modifique o registo por sua conta e risco.

Para configurar o Schannel para registar eventos de aviso no registo do sistema, defina a entrada de registo seguinte:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Nome do valor: EventLogging
Tipo de valor: REG_DWORD
Dados do valor: 0x3
Nota Um valor de 0x3 configura Schannel para registar eventos de aviso e eventos de erro.

Para mais informações sobre como configurar o registo para eventos Schannel, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
260729  (http://support.microsoft.com/kb/260729/ ) Como activar o registo no IIS de eventos de Schannel

Referências

Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
931125  (http://support.microsoft.com/kb/931125/ ) Membros do Microsoft root certificate program (Janeiro de 2007)
Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
814394  (http://support.microsoft.com/kb/814394/ ) Requisitos de certificado quando utiliza o EAP-TLS ou PEAP com EAP-TLS

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbautohotfix kbeventlog kbtshoot kberrmsg kbprb kbhotfixserver kbmt KB933430 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 933430  (http://support.microsoft.com/kb/933430/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft