最近部署了带有 Active Directory 和 Exchange 2016 的 Windows 2016 标准服务器。
我们为服务器和客户端禁用了 SSL 1.0、2.0 和 3.0,并禁用了 TLS 1.0 和 TLS 1.1。
我们在系统日志中反复获得以下条目。是什么原因造成的,我该如何解决。
最近部署了带有 Active Directory 和 Exchange 2016 的 Windows 2016 标准服务器。
我们为服务器和客户端禁用了 SSL 1.0、2.0 和 3.0,并禁用了 TLS 1.0 和 TLS 1.1。
我们在系统日志中反复获得以下条目。是什么原因造成的,我该如何解决。
基本上我们必须为 .NET 4.x 启用 TLS 1.2。更改此注册表对我有用,并停止了填充 Schannel 错误的事件日志。
有关答案的更多信息可以在这里找到
在系统 (SCHANNEL) 级别启用 TLS 1.2:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
(等效密钥可能也可用于其他 TLS 版本)
告诉 .NET Framework 使用系统 TLS 版本:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
对于 .NET Framework 4.x 应用程序需要启用和禁用与操作系统不同的协议的边缘情况,这可能是不可取的。
在对生产服务器未进行任何更改后,我们开始收到此错误。在尝试了几种不同的方法并认为可能存在 DNS 问题后,重新启动 IIS 解决了问题(仅重新启动站点并没有解决问题)。它可能不会对每个人都有效,但如果我们先尝试它会节省很多时间。
就我而言,发生这种情况的 Windows 2016 服务器已针对安全合规性进行了强化。结果,只允许使用特定的密码套件。在与高度安全的端点(如 Apple Push Notifications API aka APNS)建立 HTTPS 连接时,这会导致不兼容
为了解决这个问题,我下载了IIS Crypto并单击左侧的密码套件按钮,以显示启用/禁用的密码套件列表,然后单击“最佳实践”按钮并重新启动服务器。问题已解决。
我在这里找到了这个:https ://port135.com/schannel-the-internal-error-state-is-10013-solved/
"更正文件权限 更正 c:\ProgramData\Microsoft\Crypto\RSA\MachineKeys 文件夹的权限:
每个人 访问:特殊 适用于“仅此文件夹” 网络服务访问:读取和执行 适用于“此文件夹、子文件夹和文件” 管理员访问:完全控制 适用于“此文件夹、子文件夹和文件” 系统访问:完全控制 适用于“此文件夹、子文件夹和文件”IUSR 访问权限:完全控制适用于“此文件夹、子文件夹和文件”内部错误状态为 10013 进行这些更改后,重新启动服务器。10013 错误应该会消失。”