DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 933430 - Última revisão: quinta-feira, 11 de outubro de 2007 - Revisão: 3.4

Download do Hotfix Disponível
Visualizar e solicitar downloads de hotfix
 
 
Importante Este artigo contém informações sobre como modificar o registro. Certifique-se de fazer backup do registro antes de modificá-lo. Certifique-se de que você sabe como restaurá-lo se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
256986  (http://support.microsoft.com/kb/256986/ ) Descrição do registro do Microsoft Windows

Nesta página

Sintomas

Considere os cenários a seguir.

Cenário 1

  • Você tiver um site do Microsoft Internet Information Services (IIS) 6.0 que usa o protocolo SSL (Secure Sockets Layer) para criptografar conexões de cliente.
  • A opção exigir certificados de cliente está selecionada na caixa de diálogo Comunicações de segurança da caixa de diálogo propriedades WebSiteName.
Nesse cenário, poderá detectar os seguintes sintomas:
  • Os clientes não poderão se conectar ao site da Web com êxito.
  • O seguinte evento de aviso é registrado no computador com Microsoft Windows Server 2003 que hospeda o site:

    Tipo de evento: aviso
    Fonte do evento: Schannel
    Categoria do evento: nenhuma
    IDENTIFICAÇÃO de evento: 36885
    Date: date
    Time: time
    Usuário:
    Computador: COMPUTERNAME
    Descrição: Ao solicitar a autenticação do cliente, este servidor envia uma lista de autoridades de certificação confiáveis ao cliente. O cliente usa essa lista para escolher um certificado de cliente é confiável para o servidor. Atualmente, este servidor confia em tantas autoridades de certificado que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aqueles que não é preciso confiável.

Observação: Por padrão, os eventos de aviso de canal seguro (Schannel) não estão conectados. Para obter mais informações sobre como configurar o log do Schannel eventos, consulte a seção "Mais informação".

Cenário 2

Você usar um computador baseado no Microsoft Windows Server 2003 que esteja executando o Microsoft Internet Authentication Service (IAS) para oferecer suporte à autenticação de uma rede sem fio. Nesse cenário, poderá detectar os seguintes sintomas:
  • O servidor IAS com êxito não é possível autenticar os clientes. Portanto, se os computadores cliente sem fio não é possível conectar à rede sem fio com êxito.
  • Um evento de aviso semelhante à seguinte é registrado no servidor IAS:

    Tipo de evento: aviso
    Fonte do evento: IAS
    Categoria do evento: nenhuma
    IDENTIFICAÇÃO de evento: 2
    Date: date
    Time: time
    Usuário:
    Computador: COMPUTERNAME
    Descrição: Jsmith@contoso.com usuário teve acesso negado.
    Totalmente-qualificado-User-Name = CONTOSOS\jsmith NAS-IP-address = 10.20.30.40
    NAS-Identifier = WL1234 1
    Chamado-Station-Identifier = 0016.462c.1650
    Identificador de estação de chamada = 0012.f05b.a795
    Cliente-Friendly-Name = WL1234 1
    Endereço de IP do cliente = 10.20.30.40
    NAS-Port-Type = Wireless - IEEE 802.11
    NAS-Port = 10037-nome da diretiva de proxy-= usar autenticação do Windows para todos os usuários
    Provedor de autenticação = Windows
    Servidor de autenticação = <undetermined>
    Nome da diretiva = diretiva de acesso de rede sem fio
    Tipo de autenticação = EAP
    Tipo de EAP = Smartcard ou outro certificado
    Código de motivo = 266
    Motivo = A mensagem recebida foi inesperada ou formatada incorretamente.
    Para obter mais informações, consulte o Centro de ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.
    Dados: 0000: 26 03 09 80 &..?

  • Um evento semelhante ao seguinte evento de aviso pode ser registrado no servidor IAS:

    Tipo de evento: aviso
    Fonte do evento: Schannel
    Categoria do evento: nenhuma
    IDENTIFICAÇÃO de evento: 36885
    Date: date
    Time: time
    Usuário:
    Computador: COMPUTERNAME
    Descrição: Ao solicitar a autenticação do cliente, este servidor envia uma lista de autoridades de certificação confiáveis ao cliente. O cliente usa essa lista para escolher um certificado de cliente é confiável para o servidor. Atualmente, este servidor confia em tantas autoridades de certificado que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aqueles que não é preciso confiável.

Observação: Por padrão, os eventos de aviso de canal seguro (Schannel) não estão conectados. Para obter mais informações sobre como configurar o log do Schannel eventos, consulte a seção "Mais informação".

Causa

Esse problema pode ocorrer se o servidor Web ou o servidor IAS contém muitas entradas na lista de certificação raiz confiável. O servidor envia uma lista de autoridades de certificação confiáveis ao cliente se as seguintes condições forem verdadeiras:
  • O servidor usa o TLS (Transport Layer Security) / protocolo SSL para criptografar o tráfego da rede.
  • Certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.
Essa lista de autoridades de certificação confiáveis representa as autoridades do qual o servidor pode aceitar um certificado de cliente. Para ser autenticado pelo servidor, o cliente deve ter um certificado que está presente na cadeia de certificados para um certificado raiz de lista do servidor.

Atualmente, o tamanho máximo da lista de autoridades de certificados confiáveis que ofereça suporte a pacote de segurança Schannel é 12,228 (0x3000) bytes.

Schannel cria a lista de autoridades de certificação confiáveis ao pesquisar o armazenamento de autoridades de certificação raiz confiável no computador local. Cada certificado é confiável para fins de autenticação de cliente é adicionado à lista. Se o tamanho desta lista exceder 12,228 bytes, o Schannel registra a identificação de evento de aviso 36855. Em seguida, o Schannel trunca a lista de certificados raiz confiáveis e envia essa lista truncada para o computador cliente.

Quando o computador cliente recebe truncada lista de certificados raiz confiáveis, o computador cliente não pode ter um certificado que existe na cadeia de um emissor de certificados confiáveis. Por exemplo, o computador cliente pode ter um certificado que corresponde a um certificado de raiz confiável Schannel truncado da lista de autoridades de certificação confiáveis. Portanto, o servidor IAS não pode autenticar o cliente.

Resolução

Informações sobre hotfix

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, destina-se a corrigir o problema descrito neste artigo. Aplique-o somente nos sistemas que apresentarem esse problema específico. Esta correcção pode ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que aguarde o próximo service pack do Windows Server 2003 que contém esse hotfix.

Para resolver esse problema imediatamente, contate o atendimento ao cliente Microsoft para obter o hotfix. Para obter uma lista completa de números de telefone do serviços de suporte ao cliente da Microsoft e informações sobre os custos de suporte, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
Observação: Em alguns casos, taxas cobradas pelas ligações para o suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam à atualização específica em questão.

Pré-requisitos

Para aplicar esse hotfix, você deve ter o Windows Server 2003 Service Pack 1 (SP1) ou Windows Server 2003 Service Pack 2 (SP2) instalado no computador.Para obter mais informações sobre como obter o service pack mais recente para o Windows Server 2003, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
889100  (http://support.microsoft.com/kb/889100/ ) Como obter o service pack mais recente para o Windows Server 2003

Requisito de reinicialização

Você precisa reiniciar o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações de arquivo

A versão em inglês deste hotfix apresenta os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas em UTC (hora coordenada universal COORDENADO). Quando você exibe as informações do arquivo, ele é convertido em hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.
Windows Server 2003, versões com base em 86 x com SP1
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataforma
Schannel.dll5.2.3790.2971144.89610 De julho de 200717: 27x 86
Windows Server 2003, versões com base em 86 x com SP2
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataforma
Schannel.dll5.2.3790.4115147.45610 De julho de 200717: 51x 86
Windows Server 2003, versões com base em 64 x com SP1
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaRamificação do serviço
Schannel.dll5.2.3790.2971254,46410 De julho de 200703: 15x 64Não aplicável
Wschannel.dll5.2.3790.2971144.89610 De julho de 200703: 15x 86UAU
Windows Server 2003, versões com base em 64 x com SP2
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaRamificação do serviço
Schannel.dll5.2.3790.2971254,46410 De julho de 200703: 15x 64Não aplicável
Wschannel.dll5.2.3790.2971144.89610 De julho de 200703: 15x 86UAU
Windows Server 2003, versões com base em Itanium com SP1
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaRamificação do serviço
Schannel.dll5.2.3790.2971466,43210 De julho de 200703: 16IA-64Não aplicável
Wschannel.dll5.2.3790.2971144.89610 De julho de 200703: 16x 86UAU
Windows Server 2003, versões com base em Itanium com SP2
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataformaRamificação do serviço
Schannel.dll5.2.3790.4115466,43210 De julho de 200703: 24IA-64Não aplicável
Wschannel.dll5.2.3790.4115147.45610 De julho de 200703: 24x 86UAU

Como Contornar

Para contornar esse problema, use um dos seguintes métodos, conforme apropriado para sua situação.

Método 1: Remover alguns certificados raiz confiáveis

Se alguns dos certificados raiz confiáveis não são usados em seu ambiente, remova-os do servidor Web ou do servidor IAS. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar, clique em Executar, digite mmc e, em seguida, clique em OK.
  2. No menu arquivo, clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar.
  3. Na caixa de diálogo Adicionar Snap-in autônomo, clique em certificados e, em seguida, clique em Adicionar.
  4. Clique em conta de computador, clique em Avançar e, em seguida, clique em Concluir.
  5. Clique em Fechar e, em seguida, clique em OK.
  6. Em Console Root no snap-in Microsoft Management Console (MMC), expanda certificados (computador local), expanda Autoridades de certificação raiz confiáveis e, em seguida, clique em certificados.
  7. Remova certificados raiz confiáveis não é necessário ter. Para fazer isso, clique com o botão direito do mouse em um certificado, clique em Excluir e, em seguida, clique em Sim para confirmar a remoção do certificado.
Observação: Há alguns certificados raiz que são exigidos pelo Windows. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
293781  (http://support.microsoft.com/kb/293781/ ) Certificados raiz confiáveis necessários pelo Windows Server 2003, Windows XP e Windows 2000

Método 2: Configurar a diretiva de grupo para ignorar a lista de autoridades de certificação confiáveis no computador local

Se o servidor IAS ou o servidor Web for membro de um domínio, você pode criar uma diretiva para fazer com que o servidor ignorar a lista de autoridades de certificação confiável no computador local. Quando você aplica essa diretiva, clientes e servidores afetados confiam somente certificados que estejam no armazenamento de autoridades de certificação raiz corporativas. Portanto, não é necessário modificar os computadores individuais.

Observação: Esse método funciona somente se todos os computadores clientes forem do mesmo domínio do serviço de diretório do Active Directory ou floresta do Active Directory. Diretiva de grupo não será aplicada a computadores que não estão na mesma floresta do Active Directory.

Para criar esta diretiva, execute estas etapas.

Etapa 1: Criar um objeto de diretiva de grupo

  1. Faça logon um controlador de domínio e inicie a ferramenta Active Directory Users and Computers. Para fazer isso, clique em Iniciar, clique em Executar, digite dsa.msc e, em seguida, clique em OK.
  2. Clique com o botão direito do mouse no recipiente no qual você deseja configurar o objeto de diretiva de grupo e, em seguida, clique em Propriedades. Por exemplo, clique com o botão direito do mouse no recipiente de domínio ou clique com o botão direito do mouse em um recipiente de unidade organizacional.
  3. Clique na guia Diretiva de grupo e clique em novo.
  4. Digite um nome descritivo para a diretiva e, em seguida, pressione ENTER.
  5. Clique em Editar para iniciar ao Editor de objeto de diretiva de grupo.
  6. Expanda Configuração do computador, expanda Windows Settings, expanda Configurações de segurança e, em seguida, clique em Diretivas de chave pública.
  7. Clique com o botão direito do mouse Autoridades de certificação raiz confiáveis e, em seguida, clique em Propriedades.
  8. Clique em Autoridades de certificação raiz corporativas e, em seguida, clique em OK.
  9. Saia do Editor de objeto de diretiva de grupo.
  10. Clique em OK para fechar a caixa de diálogo Propriedades de ObjectName.

Etapa 2: Adicionar certificados raiz ao armazenamento de certificado "Autoridades de certificação raiz confiáveis"

  1. Exporte todos os certificados raiz necessários do armazenamento do computador local do servidor apropriado. Isso inclui certificados raiz para autoridades de certificação interna e certificados raiz para autoridades de certificação pública que sua organização.
  2. Faça logon um controlador de domínio e inicie a ferramenta Active Directory Users and Computers.
  3. Clique com o botão direito do mouse no recipiente que contém o objeto de diretiva de grupo que você criou na "etapa 1: criar um GPO" seção e, em seguida, clique em Propriedades.
  4. Clique na guia Diretiva de grupo, clique no objeto de diretiva de grupo e, em seguida, clique em Editar.
  5. Expanda Configuração do computador, expanda Windows Settings, expanda Configurações de segurança e, em seguida, clique em Diretivas de chave pública.
  6. Clique com o botão direito do mouse Autoridades de certificação raiz confiáveis ' e, em seguida, clique em Importar.
  7. Siga as etapas no Assistente de importação de certificado para importar o certificado raiz ou os certificados que você exportou na etapa 2a.
  8. Saia do Editor de objeto de diretiva de grupo.
  9. Clique em OK para fechar a caixa de diálogo Propriedades de ObjectName.
Observação: Há alguns certificados raiz que são exigidos pelo Windows. Você deve adicionar esses certificados à diretiva que você criou. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
293781  (http://support.microsoft.com/kb/293781/ ) Certificados raiz confiáveis necessários pelo Windows Server 2003, Windows XP e Windows 2000

Método 3: Configurar Schannel para não enviar a lista de autoridades de certificação raiz confiável durante o processo de handshake de TLS/SSL

Aviso Podem ocorrer problemas graves se modificar o registro incorretamente usando o Editor do registro ou utilizando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.

No servidor que está executando o IIS ou no servidor IAS em que você enfrentar esse problema, defina a seguinte entrada do registro como false:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nome do valor: SendTrustedIssuerList
Tipo de valor: REG_DWORD
Dados do valor: 0 (FALSO)
Por padrão, essa entrada não está listada no registro. Por padrão, esse valor é 1 (verdadeiro). Essa entrada do registro controla o sinalizador que controla se o servidor envia uma lista de autoridades de certificação confiáveis ao cliente. Quando você definir essa entrada do registro como False, o servidor não envia uma lista de autoridades de certificação confiáveis ao cliente. Esse comportamento pode afetar como o cliente responde a uma solicitação de certificado. Por exemplo, se o Internet Explorer receber uma solicitação de autenticação de cliente, o Internet Explorer exibe somente os certificados de cliente que aparecem na cadeia de uma das autoridades de certificação que estão na lista do servidor. No entanto, se o servidor não envia uma lista de autoridades de certificação confiáveis, o Internet Explorer exibe todos os certificados de cliente que estão instalados no computador cliente.

Para definir essa entrada do registro, execute as seguintes etapas:
  1. Clique em Iniciar, clique em Executar, digite regedit e, em seguida, clique em OK.
  2. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. No menu Editar, aponte para novo e, em seguida, clique em Valor DWORD.
  4. Digite SendTrustedIssuerList e, em seguida, pressione ENTER para nomear a entrada do registro.
  5. Clique com o botão direito do mouse SendTrustedIssuerList e, em seguida, clique em Modificar.
  6. Na caixa dados do valor, digite 0 se esse valor não for exibido e, em seguida, clique em OK.
  7. Feche o Editor do registro.
Para obter mais informações sobre a entrada de registro SCHANNEL, visite o seguinte site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx (http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx)

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Mais Informações

Windows Server 2003 foi projetado para examina automaticamente a lista de autoridades de certificação confiável no site Microsoft Windows Update quando você atualizar certificados raiz. Em seguida, o Windows instala o certificado de raiz apropriado depois que o certificado é validado pelo programa do usuário.

Observação: No Windows Server 2003, a lista de autoridades de certificação não pode exceder 12,228 (0x3000) bytes. Quando você atualizar certificados raiz, a lista de autoridades de certificação confiáveis pode aumentar significativamente. Portanto, a lista pode se tornar muito longa. Nesse caso, o Windows trunca a lista. Esse comportamento pode causar problemas com a autorização. Nesse cenário, você pode passar pelo problema descrito na seção "Sintomas".

Como configurar o log de eventos Schannel

Aviso Podem ocorrer problemas graves se modificar o registro incorretamente usando o Editor do registro ou utilizando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.

Para configurar Schannel para registrar eventos de aviso no log do sistema, defina a entrada do registro a seguir:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Nome do valor: EventLogging
Tipo de valor: REG_DWORD
Dados do valor: 0 x 3
Observação: Um valor de 0 x 3 configura Schannel para registrar eventos de aviso e eventos de erro.

Para obter mais informações sobre como configurar o log do Schannel eventos, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
260729  (http://support.microsoft.com/kb/260729/ ) Como habilitar o log do IIS de eventos Schannel

Referências

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
931125  (http://support.microsoft.com/kb/931125/ ) Membros do programa de certificado Microsoft raiz (janeiro de 2007)
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
814394  (http://support.microsoft.com/kb/814394/ ) Requisitos de certificados quando você usa o EAP-TLS ou PEAP com EAP-TLS

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbmt kbautohotfix kbeventlog kbtshoot kberrmsg kbprb KB933430 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 933430  (http://support.microsoft.com/kb/933430/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft