Joerg´s IT-Tech Blog

Microsoft Technologien und über den Tellerrand hinaus, Aber vorher das TESTEN nicht vergessen!

Lync Common Area Phones und KB931125 Root CA Update (Dez2012)

Posted by JoergS - 12. Dezember 2012

Hi,

es scheint ein Problem mit den Lync Common Area Phones und dem KB931125 (Dez2012) zu geben:

Log Name:      System
Source:        Schannel
Date:          12.12.2012 09:49:40
Event ID:      36885
Task Category: None
Level:         Warning
Keywords:
User:          SYSTEM
Computer:      LyncFrontEnd.domain.local
Description:
When asking for client authentication, this server sends a list of trusted certificate authorities to the client. The client uses this list to choose a client certificate that is trusted by the server. Currently, this server trusts so many certificate authorities that the list has grown too long. This list has thus been truncated. The administrator of this machine should review the certificate authorities trusted for client authentication and remove those that do not really need to be trusted.

Event Xml:
<Event xmlns=“http://schemas.microsoft.com/win/2004/08/events/event„>
<System>
<Provider Name=“Schannel“ Guid=“{1F678132-5938-4686-9FDC-C8FF68F15C85}“ />
<EventID>36885</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=“2012-12-12T08:49:40.159167400Z“ />
<EventRecordID>184373</EventRecordID>
<Correlation />
<Execution ProcessID=“528″ ThreadID=“584″ />
<Channel>System</Channel>
<Computer>LyncFE.domain.local</Computer>
<Security UserID=“S-1-5-18″ />
</System>
<EventData>
</EventData>
</Event>

Es sind demnach zu viel Trusted Root CA´s im Store des Lync Front End.

Dadurch können sie die Lync Common Area Phones nicht mehr anmelden!

Ich habe jetzt die CA Zertifikate entfernt, die nicht auf einem vergleichbaren Server (unserem Exchange) vorhanden waren, da war das Update zum Glück noch nicht installiert.

Alternativ kann man auch diesen Workaround per Registry anwenden: TLS client authentication fails between Unified Communications peers with a logged Schannel warning

Microsoft hat auch ein KB Artikel bzgl. den zuvielen CA´s im Store:

If you install the root update package on Windows Server SKUs, you may exceed the limit for how many root certificates that Schannel can handle when reporting the list of roots to clients in a TLS or SSL handshake, as the number of root certificates distributed in the root update package exceeds that limit. When you update root certificates, the list of trusted CAs increases significantly in size and may cause the list to grow too long. The list is then truncated and may cause problems with authorization. This behavior may also cause Schannel event ID 36885.  In Windows Server 2003, the issuer list cannot be greater than 0x3000.  For more information about this issue, click the following article number to view the article in the Microsoft Knowledge Base: 933430

 Clients cannot make connections if you require client certificates on a Web site or if you use IAS in Windows Server 2003.
NOTE: These limitations only apply if you have SSL client authentication enabled on Windows Server.

 

Na dann, Viel Spass beim selber Testen!
CU

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

 
%d Bloggern gefällt das: