DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 933430 - Última revisão: quinta-feira, 11 de Outubro de 2007 - Revisão: 3.4

Disponível transferência de hotfix
Ver e solicitar transferências de hotfix
 
 
Importante Este artigo contém informações sobre como modificar o registo. Certifique-se que cópias do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
256986  (http://support.microsoft.com/kb/256986/ ) Descrição do registo do Microsoft Windows

Nesta página

Sintomas

Considere os seguintes cenários.

Cenário 1

  • Tiver um Web site do Microsoft Internet Information Services (IIS) 6.0 que utiliza o protocolo Secure Sockets Layer (SSL) para encriptar ligações de cliente.
  • A opção requerer certificados de cliente está seleccionada na caixa de diálogo Segurança nas comunicações da caixa de diálogo propriedades WebSiteName.
Neste cenário, poderá detectar os seguintes sintomas:
  • Os clientes não poderão estabelecer ligação ao Web site com êxito.
  • O seguinte aviso de evento é registado no computador baseado no Microsoft Windows Server 2003 que aloja o Web site:

    Tipo de evento: aviso
    Origem do evento: Schannel
    Categoria do evento: nenhum
    ID do evento: 36885
    Date: date
    Time: time
    Utilizador:
    Computador: COMPUTERNAME
    Descrição: Quando solicitar a autenticação de cliente, este servidor envia uma lista de autoridades de certificação fidedignas para o cliente. O cliente utiliza esta lista para escolher um certificado de cliente que seja considerado fidedigno pelo servidor. Actualmente, este servidor considera fidedignas tantas autoridades de certificação que a lista se tornou demasiado longa. Esta lista, por conseguinte, foi truncada. O administrador deste computador deverá rever as autoridades de certificação fidedignas para autenticação de clientes e remover aquelas que não necessitam de ser fidedigno.

Nota Por predefinição, não são registados eventos de aviso Secure Channel (Schannel). Para mais informações sobre como configurar o registo para eventos Schannel, consulte a secção "Mais informação".

Cenário 2

Utilizar um computador baseado no Microsoft Windows Server 2003 que esteja a executar o Microsoft Internet Authentication Service (IAS) para suportar a autenticação para uma rede sem fios. Neste cenário, poderá detectar os seguintes sintomas:
  • O servidor IAS com êxito não é possível autenticar os clientes. Como tal, computadores clientes sem fios não podem ligar a rede sem fios com êxito.
  • No servidor IAS é registado um evento de aviso semelhante à seguinte:

    Tipo de evento: aviso
    Origem do evento: IAS
    Categoria do evento: nenhum
    ID do evento: 2
    Date: date
    Time: time
    Utilizador:
    Computador: COMPUTERNAME
    Descrição: Utilizador jsmith@contoso.com foi negado o acesso.
    Totalmente-qualificado-User-Name = CONTOSOS\jsmith NAS-IP-Address = 10.20.30.40
    NAS-Identifier = WL1234-1
    Chamada-Station-Identifier = 0016.462c.1650
    Identificador de estação de chamada = 0012.f05b.a795
    Nome-amigável-cliente = WL1234-1
    Cliente-IP-Address = 10.20.30.40
    NAS-Port-Type = sem fios - IEEE 802.11
    NAS-Port = nome de política de proxy 10037 = utilizar a autenticação do Windows para todos os utilizadores
    Fornecedor de autenticação = Windows
    Servidor de autenticação = <undetermined>
    Nome da política = política de acesso de rede sem fios
    Tipo de autenticação = EAP
    Tipo de EAP = Smart Card ou outro certificado
    Código de razão = 266
    Motivo = A mensagem recebida era inesperada ou mal formatado.
    Para mais informações, consulte o centro de ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.
    Dados: 0000: 26 03 09 80 &...?

  • Poderá ser registado um evento semelhante o seguinte evento de aviso no servidor IAS:

    Tipo de evento: aviso
    Origem do evento: Schannel
    Categoria do evento: nenhum
    ID do evento: 36885
    Date: date
    Time: time
    Utilizador:
    Computador: COMPUTERNAME
    Descrição: Quando solicitar a autenticação de cliente, este servidor envia uma lista de autoridades de certificação fidedignas para o cliente. O cliente utiliza esta lista para escolher um certificado de cliente que seja considerado fidedigno pelo servidor. Actualmente, este servidor considera fidedignas tantas autoridades de certificação que a lista se tornou demasiado longa. Esta lista, por conseguinte, foi truncada. O administrador deste computador deverá rever as autoridades de certificação fidedignas para autenticação de clientes e remover aquelas que não necessitam de ser fidedigno.

Nota Por predefinição, não são registados eventos de aviso Secure Channel (Schannel). Para mais informações sobre como configurar o registo para eventos Schannel, consulte a secção "Mais informação".

Causa

Este problema poderá ocorrer se o servidor Web ou o servidor IAS contém várias entradas na lista de certificação de raiz fidedigna. O servidor envia uma lista de autoridades de certificação fidedignas para o cliente caso se verifiquem as seguintes condições:
  • O servidor utiliza o Transport Layer Security (TLS) / protocolo SSL para encriptar o tráfego de rede.
  • Os certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.
Esta lista de autoridades de certificação fidedigna representa as autoridades a partir do qual o servidor pode aceitar um certificado de cliente. Serem autenticados pelo servidor, o cliente deve ter um certificado que está presente na cadeia de certificados por um certificado raiz do servidor da lista.

Actualmente, o tamanho máximo da lista de autoridades de certificado fidedigno que suporte o pacote de segurança Schannel é 12,228 (0x3000) bytes.

Schannel cria a lista de autoridades de certificação fidedignas procurando o arquivo de autoridades de certificação de raiz fidedigna no computador local. Todos os certificados é fidedigno para fins de autenticação de cliente é adicionado à lista. Se o tamanho desta lista exceder 12,228 bytes, Schannel regista o ID de evento de aviso 36855. Em seguida, Schannel trunca a lista de certificados de raiz fidedigna e envia esta lista truncada para o computador cliente.

Quando o computador cliente recebe a lista de certificados de raiz fidedigna truncada, o computador cliente pode não ter um certificado que existe na cadeia de um emissor de certificados fidedignos. Por exemplo, o computador cliente pode ter um certificado que corresponde a um certificado de raiz fidedigna Schannel truncado da lista de autoridades de certificação fidedignas. Por conseguinte, o servidor IAS não é possível autenticar o cliente.

Resolução

Informações sobre a correcção

Tem já disponível na Microsoft uma correcção suportada. Contudo, destina-se a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que tenham este problema específico. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde o próximo service pack do Windows Server 2003 que contenha esta correcção.

Para resolver este problema imediatamente, contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa dos números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
Nota Em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a perguntas de suporte adicionais e problemas que não se enquadrem na atualização específica em questão.

Pré-requisitos

Para aplicar esta correcção, tem de ter o Windows Server 2003 Service Pack 1 (SP1) ou Windows Server 2003 Service Pack 2 (SP2) instalado no computador.Para obter mais informações sobre como obter o service pack mais recente para o Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
889100  (http://support.microsoft.com/kb/889100/ ) Como obter o service pack mais recente para o Windows Server 2003

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações de ficheiros

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, são convertida para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário no item data e hora no painel de controlo.
Windows Server 2003, x 86-based versões com SP1
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataforma
Schannel.dll5.2.3790.2971144,89610-Jul-200717: 27x 86
Windows Server 2003, x 86-based versões com SP2
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataforma
Schannel.dll5.2.3790.4115147.45610-Jul-200717: 51x 86
Windows Server 2003, versões baseadas em 64 com SP1 x
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaRamo de serviço
Schannel.dll5.2.3790.2971254,46410-Jul-200703: 15x 64Não aplicável
Wschannel.dll5.2.3790.2971144,89610-Jul-200703: 15x 86WOW
Windows Server 2003, versões baseadas em 64 com o SP2 x
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaRamo de serviço
Schannel.dll5.2.3790.2971254,46410-Jul-200703: 15x 64Não aplicável
Wschannel.dll5.2.3790.2971144,89610-Jul-200703: 15x 86WOW
Windows Server 2003, versões baseadas em Itanium com SP1
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaRamo de serviço
Schannel.dll5.2.3790.2971466,43210-Jul-200703: 16IA-64Não aplicável
Wschannel.dll5.2.3790.2971144,89610-Jul-200703: 16x 86WOW
Windows Server 2003, versões baseadas em Itanium com o SP2
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataformaRamo de serviço
Schannel.dll5.2.3790.4115466,43210-Jul-200703: 24IA-64Não aplicável
Wschannel.dll5.2.3790.4115147.45610-Jul-200703: 24x 86WOW

Como contornar

Para contornar este problema, utilize um dos seguintes métodos, conforme adequado à situação.

Método 1: Remover alguns certificados de raiz fidedigna

Se alguns dos certificados de raiz fidedigna não são utilizados no seu ambiente, removê-los a partir do servidor Web ou a partir do servidor IAS. Para tal, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva mmc e, em seguida, clique em OK.
  2. No menu ficheiro, clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar.
  3. Na caixa de diálogo Adicionar Snap-in autónomo, clique em certificados e, em seguida, clique em Adicionar.
  4. Clique em conta de computador, clique em seguinte e, em seguida, clique em Concluir.
  5. Clique em Fechar e, em seguida, clique em OK.
  6. Em Raiz da consola snap-in Consola de gestão da Microsoft (MMC), expanda certificados (computador local), expanda Autoridades de certificação de raiz fidedigna e, em seguida, clique em certificados.
  7. Remova certificados raiz fidedignos que não têm de ter. Para tal, clique com o botão direito do rato num certificado, clique em Eliminar e, em seguida, clique em Sim para confirmar a remoção do certificado.
Nota Existem alguns certificados de raiz que são requeridos pelo Windows. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
293781  (http://support.microsoft.com/kb/293781/ ) Certificados de raiz fidedigna que são necessários pelo Windows Server 2003, Windows XP e Windows 2000

Método 2: Configurar a política de grupo para ignorar a lista das autoridades de certificação fidedignas no computador local

Se o servidor IAS ou o servidor Web é um membro de um domínio, pode criar uma política para fazer com que o servidor ignorar à lista de autoridades de certificação fidedignas no computador local. Quando aplica esta política, clientes e servidores afectados apenas confiar em certificados que estão a ser o arquivo de autoridades de certificação de raiz empresarial. Por conseguinte, não é necessário modificar os computadores individuais.

Nota Este método funciona apenas se forem todos os computadores cliente do mesmo domínio do serviço de directório do Active Directory ou floresta do Active Directory. Política de grupo não é aplicada a computadores que não sejam da mesma floresta do Active Directory.

Para criar esta política, siga estes passos.

Passo 1: Criar um objecto de política de grupo

  1. Inicie sessão num controlador de domínio e, em seguida, inicie a ferramenta <a0>computadores e utilizadores do Active Directory. Para tal, clique em Iniciar, clique em Executar, escreva dsa.msc e, em seguida, clique em OK.
  2. Clique com o botão direito do rato no contentor em que pretende configurar o objecto de política de grupo e, em seguida, clique em Propriedades. Por exemplo, clique com o botão direito do rato no contentor de domínio ou clique com o botão direito do rato num contentor de unidade organizacional.
  3. Clique no separador <a0>Política de grupo e, em seguida, clique em Novo.
  4. Escreva um nome descritivo para a política e, em seguida, prima ENTER.
  5. Clique em Editar para iniciar o Editor de objecto de política de grupo.
  6. Expanda Configuração do computador, expanda Definições do Windows, expanda As definições de segurança e, em seguida, clique em <a1>Políticas de chaves públicas.
  7. Clique com o botão direito do rato Das autoridades de certificação de raiz fidedigna e, em seguida, clique em Propriedades.
  8. Clique em Autoridades de certificação de raiz empresarial e, em seguida, clique em ' OK '.
  9. Saia do Editor de objecto de política de grupo.
  10. Clique em OK para fechar a caixa de diálogo propriedades ObjectName.

Passo 2: Adicionar certificados de raiz ao arquivo de certificados "Autoridades de certificação de raiz fidedigna"

  1. Exportar qualquer certificados de raiz necessária do arquivo de computador local do servidor apropriado. Isto inclui a certificados de raiz para autoridades de certificação interna (AC) e certificados de raiz para autoridades de certificação pública que a organização necessita.
  2. Inicie sessão num controlador de domínio e, em seguida, inicie a ferramenta <a0>computadores e utilizadores do Active Directory.
  3. Clique com o botão direito do rato no contentor que contém o objecto de política de grupo que criou do "passo 1: objecto de política de grupo a criar" secção e, em seguida, clique em Propriedades.
  4. Clique no separador <a0>Política de grupo, clique no objecto de política de grupo e, em seguida, clique em Editar.
  5. Expanda Configuração do computador, expanda Definições do Windows, expanda As definições de segurança e, em seguida, clique em <a1>Políticas de chaves públicas.
  6. Clique com o botão direito do rato Das autoridades de certificação de raiz fidedigna ' e, em seguida, clique em Importar.
  7. Siga os passos no Assistente para importar certificados para importar o certificado de raiz ou os certificados que foi exportada no passo 2a.
  8. Saia do Editor de objecto de política de grupo.
  9. Clique em OK para fechar a caixa de diálogo propriedades ObjectName.
Nota Existem alguns certificados de raiz que são requeridos pelo Windows. Tem de adicionar estes certificados à política que criou. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
293781  (http://support.microsoft.com/kb/293781/ ) Certificados de raiz fidedigna que são necessários pelo Windows Server 2003, Windows XP e Windows 2000

Método 3: Configurar o Schannel já não enviar a lista de autoridades de certificação de raiz fidedigna durante o processo de handshake TLS/SSL

Aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação o sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua própria conta e risco.

No servidor que está a executar o IIS ou no servidor IAS no qual tiver este problema, defina a entrada de registo seguinte como falso:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nome do valor: SendTrustedIssuerList
Tipo de valor: REG_DWORD
Dados do valor: 0 (FALSO)
Por predefinição, esta entrada não está listada no registo. Por predefinição, este valor é 1 (verdadeiro). Esta entrada de registo controla o sinalizador que controla se o servidor envia uma lista de autoridades de certificação fidedignas para o cliente. Quando define esta entrada de registo para FALSO, o servidor não envia uma lista de autoridades de certificação fidedignas para o cliente. Este comportamento pode afectar como o cliente responde a um pedido de certificado. Por exemplo, se o Internet Explorer receber um pedido de autenticação de cliente, o Internet Explorer apresenta apenas os certificados de cliente que aparecem na cadeia de uma das autoridades de certificação que se encontram na lista do servidor. No entanto, se o servidor não envia uma lista de autoridades de certificação fidedigna, o Internet Explorer apresenta todos os certificados de cliente que estão instalados no computador cliente.

Para definir esta entrada de registo, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
  2. Localize e, em seguida, clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. No menu Editar, aponte para Novo e, em seguida, clique em <a2>Valor DWORD.
  4. Escreva SendTrustedIssuerList e, em seguida, prima ENTER para a entrada de registo de nomes.
  5. Clique com o botão direito do rato SendTrustedIssuerList e, em seguida, clique em Modificar.
  6. Na caixa dados do valor, escreva 0 se esse valor não estiver visível e, em seguida, clique em OK.
  7. Sair do Editor de registo.
Para mais informações sobre a entrada de registo SCHANNEL, visite o seguinte Web site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx (http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx)

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Windows Server 2003 destina-se a examinar automaticamente a lista das autoridades de certificação fidedigna no Microsoft Windows Update Web site quando actualizar certificados raiz. Em seguida, o Windows instala o certificado raiz adequado depois que o certificado é validado pelo programa de um utilizador.

Nota No Windows Server 2003, a lista de autoridades de certificação não pode exceder 12,228 (0x3000) bytes. Quando actualizar certificados raiz, a lista das autoridades de certificação fidedigna poderá aumentar significativamente. Por conseguinte, a lista poderá ficar demasiado longa. Neste caso, o Windows trunca da lista. Este comportamento pode causar problemas com a autorização. Neste cenário, poderá detectar o problema descrito na secção "Sintomas".

Como configurar o registo para eventos Schannel

Aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação o sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua própria conta e risco.

Para configurar Schannel para registar eventos de aviso no registo do sistema, defina a seguinte chave de registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Nome do valor: EventLogging
Tipo de valor: REG_DWORD
Dados do valor: 0 x 3
Nota Um valor de 0 x 3 configura o Schannel para registar eventos de aviso e eventos de erro.

Para obter mais informações sobre como configurar o registo para eventos Schannel, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
260729  (http://support.microsoft.com/kb/260729/ ) Como activar o registo no IIS de eventos Schannel

Referências

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
931125  (http://support.microsoft.com/kb/931125/ ) Microsoft raiz certificado programa Membros (Janeiro de 2007)
Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
814394  (http://support.microsoft.com/kb/814394/ ) Requisitos de certificados quando utilizar EAP-TLS ou PEAP com EAP-TLS

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbmt kbautohotfix kbeventlog kbtshoot kberrmsg kbprb KB933430 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 933430  (http://support.microsoft.com/kb/933430/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft