اعتبارات لتعطيل واستبدال TLS 1.0 في ADFS

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية3194197
الموجز
تبحث العديد من العملاء الخيار لتعطيل بروتوكول RC4 في "خدمات الاتحاد خدمة active Directory" (AD FS) و TLS 1.0، واستبدالها ب TLS 1.1 أو إصدار أحدث. المشاكل التي يمكن أن يحدث إذا قمت بتعطيل TLS 1.0 يناقش هذا المقال، ويوفر إرشادات لمساعدتك على إكمال العملية.
الأعراض
بعد تعطيل TLS 1.0 على ملقم الوكيل (WAP) خ خ الإعلان أو الإعلان، قد تواجه هذه الملقمات بعض الأعراض التالية:

  • فشل اتصال بين وكيل AD FS وخادم AD FS. قد يتسبب أي من الشروط التالية:

    • فشل تكوين الوكيل في المعالج أو باستخدام Windows PowerShell.
    • يتم تسجيل معرف الأحداث 422 على وكلاء الإعلان خ: "تعذر استرداد تكوين الوكيل من خدمة الاتحاد."
    • وكلاء لا يمكن إعادة توجيه حركة المرور إلى ملقمات خ الإعلان ويتم إنشاء رسالة الخطأ التالية:
      خطأ HTTP 503-الخدمة غير متوفرة.
  • ADFS لا يمكن تحديث بيانات التعريف الاتحاد "الاعتماد يثق الطرف" أو "دعاوى يثق الموفر" الذي تم تكوينه.
  • تظهر رسالة خطأ HTTP 503:
    الخدمة غير متوفرة. HTTP 503 الوصول إلى مكتب خدمات 365 لمجالات المتحد ".
  • تظهر رسالة خطأ برنامج التعمير والتنمية:
    فقد اتصال RDP إلى الملقمات.
السبب
تحدث هذه المشكلة إذا كان العملاء تعطيل بروتوكولات القديمة باستخدام SChannel مفاتيح التسجيل. على سبيل مثال هذه الممارسة رؤية النصوص ذات الصلة "مزيد من المعلوماتالمقطع .
الحل
هامة: اتبع الخطوات الموجودة في هذا القسم بعناية. قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. قبل تعديله، النسخ الاحتياطي لاستعادة التسجيل في حالة حدوث مشاكل.

يتم تطوير ADFS باستخدام.NET Framework. لتطبيقات.NET لدعم تشفير قوي (TLS 1.1 فما فوق)، يجب أولاً تثبيت التحديثات الموضحة في النصائح الإرشادية للأمان التالية:
هامة: يجب على العملاء الذين يقومون بتشغيل تطبيقات.NET Framework 3.5 Windows 10 أو تطبيقات 4.5/4.5.1/4.5.2.NET Framework على الأنظمة التي تحتوي 4.6.NET Framework تثبيت اتباع الخطوات المتوفرة في هذا المستند الذي يقدم النصائح لتعطيل RC4 في TLS يدوياً. لمزيد من المعلومات، راجع قسم "الإجراءات المقترحة" النصائح الإرشادية للأمان.

ملاحظات

  • الأنظمة التي تعمل 4.6.NET Framework محمية بشكل افتراضي فقط ولم يتم تحديث.
  • يتطلب خطوات إضافية من النصائح الإرشادية للأمان إنشاء مفتاح التسجيل شوسيسترونجكريبتو ، كما هو موضح في مقالة الاستشارية.

    أمثلة على المفاتيح الفرعية لمفتاح التسجيل الجديد:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]"SchUseStrongCrypto"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]"SchUseStrongCrypto"=dword:00000001

  • لتطبيق التغييرات، يجب إعادة تشغيل الخدمات والتطبيقات التالية:

    • خدمة ADFS (أدفسرف)
    • خدمة تسجيل الجهاز (drs)
    • أي تطبيق.NET أخرى قد تكون قيد التشغيل الخادم
    • تجمع تطبيقات خدمات معلومات إنترنت (IIS) ل ADFS (يطبق فقط على ADFS 2.0 و ADFS 2.1)
معلومات أخرى
هامة: اتبع الخطوات الموجودة في هذا القسم بعناية. قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. قبل تعديله، النسخ الاحتياطي لاستعادة التسجيل في حالة حدوث مشاكل.

تعطيل بروتوكولات القديمة في التسجيل

مثال لتعطيل بروتوكولات القديمة باستخدام مفاتيح التسجيل SChannel سيكون لتكوين القيم الموجودة في مفاتيح التسجيل الفرعية في القائمة التالية. هذه بتعطيل SSL 3.0، TLS 1.0 وبروتوكولات RC4. لأن هذا الوضع ينطبق على القناة، يؤثر على كافة اتصالات SSL/TLS من الخادم.

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client" /v Enabled /t REG_DWORD /d 00000000 reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v Enabled /t REG_DWORD /d 00000000 reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" /v Enabled /t REG_DWORD /d 00000000 reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 00000000 reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128" /v Enabled /t REG_DWORD /d 00000000 reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128" /v Enabled /t REG_DWORD /d 00000000 reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128" /v Enabled /t REG_DWORD /d 00000000

ملاحظة: يجب إعادة تشغيل الكمبيوتر بعد تغيير هذه القيم.

للتحقق من أن ملقم متصل بالإنترنت قام بتعطيل بروتوكولات القديم بنجاح، يمكنك استخدام أي محقق اختبار SSL على الإنترنت مثل شركة Qualys Labs SSL. لمزيد من المعلومات، راجع موقع شركة Qualys التالي على الويب:

الحل البديل

كبديل لاستخدام مفتاح التسجيل شوسيسترونجكريبتو ، يمكنك استخدام مفتاح التسجيل سيستيمديفاولتلسفيرسيونس عند استخدام.NET Framework 3.5.1.

يتوفر سيستيمديفاولتلسفيرسيونس بعد تثبيت تحديث 3154518.

بعد أن يتم تعيين مفاتيح التسجيل، يمنح خدمة ADFS افتراضيات القناة والعمل.

آثار جانبية معروفة

تطبيقات العميل لا يمكن الاتصال بالملقم ADFS أو وكيل ADFS للمصادقة

عند تعطيل TLS 1.0 والاصدارات السابقة على ملقمات ADFS والوكلاء، يجب أن تدعم تطبيقات العميل التي تحاول الاتصال بها TLS 1.1 أو الإصدارات الأحدث.

وهذا ينطبق، على سبيل المثال، الروبوت 4.1.1 المحمول عند استخدام تطبيق "مدخل الشركة إينتوني" لتسجيل هذا الجهاز. لا يمكن إظهار التطبيق إينتوني صفحة تسجيل الدخول ADFS.

ومن المتوقع في هذا الإصدار الروبوت ل TLS 1.1 معطلة بشكل افتراضي.

يمكنك الحصول على المزيد من التفاصيل حول هذه المشاكل المحتملة عن طريق جمع التعقب الشبكة على ملقم ADFS أو الوكلاء أثناء إعادة إنشاء فشل الاتصال. في هذا السيناريو، يمكنك العمل مع مورد نظام تشغيل عميل أو مورد التطبيق للتحقق من أحدث إصدارات TLS معتمدة. لا يمكن تحديث بيانات التعريف الاتحاد ADFS.

السيناريو 1


  • لا يمكن تلقائياً استرداد ADFS Federationmetadata.xml من الاعتماد يثق الطرف أو دعاوى يثق موفر.
  • عند محاولة تحديث ملف XML يدوياً، تتلقى رسالة الخطأ التالية:
    حدث خطأ أثناء محاولة قراءة بيانات التعريف الاتحاد.




  • أو، تتلقى رسالة الخطأ التالية عند استخدام Windows PowerShell:
    تم إغلاق الاتصال الأساسي. حدث خطأ غير متوقع عند المتلقي.


من خلال تحليل الاستثناء الأساسي أوثق، يمكننا أن نرى المعلومات التالية:

PS C:\> Update-AdfsRelyingPartyTrust -TargetName "Microsoft Office 365 Identity Platform"Update-AdfsRelyingPartyTrust : The underlying connection was closed: An unexpected error occurred on a receive.At line:1 char:1+ Update-AdfsRelyingPartyTrust -TargetName "Microsoft Office 365 Identity Platform ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (Microsoft.Ident...lyingPartyTrust:RelyingPartyTrust) [Update-AdfsRelyingP   artyTrust], WebException    + FullyQualifiedErrorId : The underlying connection was closed: An unexpected error occurred on a receive.,Microso   ft.IdentityServer.Management.Commands.UpdateRelyingPartyTrustCommand PS C:\> $error[0] | fl * -fwriteErrorStream      : TruePSMessageDetails      :Exception             : System.Net.WebException: The underlying connection was closed: An unexpected error occurred on                        a receive. ---> System.ComponentModel.Win32Exception: The client and server cannot                        communicate, because they do not possess a common algorithm                           at System.Net.SSPIWrapper.AcquireCredentialsHandle(SSPIInterface SecModule, String package,                        CredentialUse intent, SecureCredential scc)                           at System.Net.Security.SecureChannel.AcquireCredentialsHandle(CredentialUse credUsage,                        SecureCredential& secureCredential)                           at System.Net.Security.SecureChannel.AcquireClientCredentials(Byte[]& thumbPrint)                           at System.Net.Security.SecureChannel.GenerateToken(Byte[] input, Int32 offset, Int32 count,                        Byte[]& output)                           at System.Net.Security.SecureChannel.NextMessage(Byte[] incoming, Int32 offset, Int32 count)                           at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count,                        AsyncProtocolRequest asyncRequest)                           at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer,                        AsyncProtocolRequest asyncRequest)                           at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)                           at System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext,                        ContextCallback callback, Object state, Boolean preserveSyncCtx)                           at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback                        callback, Object state, Boolean preserveSyncCtx)                           at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback                        callback, Object state)                           at System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)                           at System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)                           at System.Net.ConnectStream.WriteHeaders(Boolean async)                           --- End of inner exception stack trace ---                           at System.Net.HttpWebRequest.GetResponse()                           at Microsoft.IdentityServer.Management.Resources.Managers.RelyingPartyTrustManager.ApplyMeta                        dataFromUrl(RelyingPartyTrust party, Uri metadataUrl, String& warnings)                           at Microsoft.IdentityServer.Management.Commands.UpdateRelyingPartyTrustCommand.OperateOnRely                        ingPartyTrust(RelyingPartyTrust party)                           at                        Microsoft.IdentityServer.Management.Commands.RemoveRelyingPartyTrustCommand.ProcessRecord()TargetObject          : Microsoft.IdentityServer.Management.Resources.RelyingPartyTrustCategoryInfo          : NotSpecified: (Microsoft.Ident...lyingPartyTrust:RelyingPartyTrust)                        [Update-AdfsRelyingPartyTrust], WebExceptionFullyQualifiedErrorId : The underlying connection was closed: An unexpected error occurred on a                        receive.,Microsoft.IdentityServer.Management.Commands.UpdateRelyingPartyTrustCommandErrorDetails          : The underlying connection was closed: An unexpected error occurred on a receive.InvocationInfo        : System.Management.Automation.InvocationInfoScriptStackTrace      : at <ScriptBlock>, <No file>: line 1PipelineIterationInfo : {0, 1}


عندما نحلل عمليات تتبع الشبكات، لا نرى أي كلينثيلو. أيضا، يتم إغلاق العميل نفسه (ADF) الاتصال (TCP FIN) عند ننتظر أن يرسل في كلينثيلو:

3794   16:22:31 31/05/2016 4.0967400    (4588)      adfs1  nexus.microsoftonline-p.com.nsatc.net  TCP    8192   TCP: [Bad CheckSum]Flags=CE....S., SrcPort=56156, DstPort=HTTPS(443) 4013   16:22:32 31/05/2016 4.1983176    (0)   nexus.microsoftonline-p.com.nsatc.net   adfs1  TCP    2097152      TCP:Flags=...A..S., SrcPort=HTTPS(443), DstPort=56156 4021   16:22:32 31/05/2016 4.1983388    (0)   adfs1  nexus.microsoftonline-p.com.nsatc.net     TCP    131328 TCP: [Bad CheckSum]Flags=...A...., SrcPort=56156, DstPort=HTTPS(443)4029   16:22:32 31/05/2016 4.1992083    (4588)      adfs1  nexus.microsoftonline-p.com.nsatc.net  TCP    131328 TCP: [Bad CheckSum]Flags=...A...F, SrcPort=56156, DstPort=HTTPS(443)4057   16:22:32 31/05/2016 4.2999711    (0)   nexus.microsoftonline-p.com.nsatc.net   adfs1  TCP    0      TCP:Flags=...A.R.., SrcPort=HTTPS(443), DstPort=56156

والسبب في ذلك أن مفاتيح التسجيل SChannel قد تم إنشاؤها. إزالة هذه اعتماد SSL 3.0 أو TLS 1.0 كعميل.

ومع ذلك، لم يتم إنشاء مفتاح شوسيسترونجكريبتو . حتى بعد نقوم بتأسيس جلسة عمل TCP/IP، يجب إرسال كلينثيلو وجود هذه الشروط:

  • .NET باستخدام تشفير ضعيف (فقط TLS 1.0 والإصدارات السابقة)
  • القناة التي تم تكوينها لاستخدام TLS 1.1 أو الإصدارات الأحدث
الحل: تطبيق شوسيسترونجكريبتو وإعادة تشغيل الكمبيوتر.

HTTP 503 في الوصول إلى خدمات Office 365

السيناريو 2

  • يتم اعتماد TLS 1.1 أو الإصدارات الأحدث في سيرفيسيوفيسي ADFS.
  • لديك مجال O365 متحدة.
  • العميل يقوم بالوصول إلى بعض الخدمات O365 يستخدم بروكسيداوثينتيكيشن: تطبيق العميل إرسال بيانات الاعتماد استخدام HTTP الأساسية، وخدمة O365 استخدام بيانات الاعتماد تلك في اتصال جديد إلى ADFS لمصادقة المستخدم.
  • ترسل خدمة سحابة TLS 1.0 ب ADFS و ADFS بإغلاق الاتصال.
  • يتلقى العميل استجابة HTTP 503.
على سبيل المثال، يكون هذا صحيحاً عند الوصول إلى الاكتشاف التلقائي. في هذا السيناريو، تتأثر عملاء Outlook. وهذا يمكن بسهولة إنتاجها بفتح مستعرض ويب والانتقال إلى https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.

إرسال إكسملريكويست:

GET https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml HTTP/1.1Host: autodiscover-s.outlook.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflate, brConnection: keep-aliveAuthorization: Basic (REMOVED FOR PRIVACY)
الرد الوارد من خدمة Exchange عبر الإنترنت:

HTTP/1.1 503 Service UnavailableCache-Control: privateRetry-After: 30Server: Microsoft-IIS/8.0request-id: 33c23dc6-2359-44a5-a819-03f3f8e85aaeX-CalculatedBETarget: db4pr04mb394.eurprd04.prod.outlook.comX-AutoDiscovery-Error: LiveIdBasicAuth:FederatedStsUnreachable:<X-forwarded-for:179.159.146.135><FederatedSTSFailure>System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send.;X-DiagInfo: DB4PR04MB394X-BEServer: DB4PR04MB394X-AspNet-Version: 4.0.30319Set-Cookie: X-BackEndCookie2=; expires=Tue, 27-May-1986 11:30:37 GMT; path=/Autodiscover; secure; HttpOnlySet-Cookie: X-BackEndCookie=; expires=Tue, 27-May-1986 11:30:37 GMT; path=/Autodiscover; secure; HttpOnlyX-Powered-By: ASP.NETX-FEServer: AM3PR05CA0056Date: Fri, 27 May 2016 11:30:38 GMTContent-Length: 0

تحليل آثار شبكة الاتصال في ملقم WAP، يمكننا أن نرى اتصالات عديدة قادمة من مجموعة النظراء أو كما يلي. وآب ينهي (TCP الأولى) هذه الاتصالات قريبا من تلقيه "العميل مرحبا".

3282   13:30:37 27/05/2016 10.8024332   (0)   132.245.225.68      62047 (0xF25F)      10.10.1.5       443 (0x1BB)  TCP    52 (0x34)    32     8192   TCP:Flags=CE....S., SrcPort=62047, DstPort=HTTPS(443), PayloadLen=0, Seq=1681718623, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 81923285   13:30:37 27/05/2016 10.8025263   (0)   10.10.1.5    443 (0x1BB)  132.245.225.68      62047 (0xF25F)     TCP    52 (0x34)    32     8192   TCP: [Bad CheckSum]Flags=.E.A..S., SrcPort=HTTPS(443), DstPort=62047, PayloadLen=0, Seq=3949992650, Ack=1681718624, Win=8192 ( Negotiated scale factor 0x8 ) = 81923286   13:30:37 27/05/2016 10.8239153   (0)   132.245.225.68      62047 (0xF25F)      10.10.1.5       443 (0x1BB)  TCP    40 (0x28)    20     517    TCP:Flags=...A...., SrcPort=62047, DstPort=HTTPS(443), PayloadLen=0, Seq=1681718624, Ack=3949992651, Win=5173293   13:30:37 27/05/2016 10.8244384   (0)   132.245.225.68      62047 (0xF25F)      10.10.1.5       443 (0x1BB)  TLS    156 (0x9C)   136    517    TLS:TLS Rec Layer-1 HandShake: Client Hello.3300   13:30:37 27/05/2016 10.8246757   (4)   10.10.1.5    443 (0x1BB)  132.245.225.68      62047 (0xF25F)     TCP    40 (0x28)    20     0      TCP: [Bad CheckSum]Flags=...A.R.., SrcPort=HTTPS(443), DstPort=62047, PayloadLen=0, Seq=3949992651, Ack=1681718740, Win=0 (scale factor 0x0) = 0

ونرى أيضا أن "العميل مرحبا" باستخدام TLS 1.0:
 Frame: Number = 3293, Captured Frame Length = 271, MediaType = NetEvent+ NetEvent: + MicrosoftWindowsNDISPacketCapture: Packet Fragment (170 (0xAA) bytes)+ Ethernet: Etype = Internet IP (IPv4),DestinationAddress:[00-0D-3A-24-43-98],SourceAddress:[12-34-56-78-9A-BC]+ Ipv4: Src = 132.245.225.68, Dest = 10.10.1.5, Next Protocol = TCP, Packet ID = 31775, Total IP Length = 156+ Tcp: Flags=...AP..., SrcPort=62047, DstPort=HTTPS(443), PayloadLen=116, Seq=1681718624 - 1681718740, Ack=3949992651, Win=517  TLSSSLData: Transport Layer Security (TLS) Payload Data- TLS: TLS Rec Layer-1 HandShake: Client Hello.  - TlsRecordLayer: TLS Rec Layer-1 HandShake:     ContentType: HandShake:   - Version: TLS 1.0      Major: 3 (0x3)      Minor: 1 (0x1)     Length: 111 (0x6F)   - SSLHandshake: SSL HandShake ClientHello(0x01)      HandShakeType: ClientHello(0x01)      Length: 107 (0x6B)    - ClientHello: TLS 1.0     + Version: TLS 1.0     + RandomBytes:        SessionIDLength: 0 (0x0)       CipherSuitesLength: 14     + TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA      { 0xC0,0x14 }     + TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA      { 0xC0,0x13 }     + TLSCipherSuites: TLS_RSA_WITH_AES_256_CBC_SHA            { 0x00, 0x35 }     + TLSCipherSuites: TLS_RSA_WITH_AES_128_CBC_SHA            { 0x00, 0x2F }     + TLSCipherSuites: TLS_RSA_WITH_3DES_EDE_CBC_SHA           { 0x00,0x0A }     + TLSCipherSuites: TLS_RSA_WITH_RC4_128_SHA                { 0x00,0x05 }     + TLSCipherSuites: TLS_RSA_WITH_RC4_128_MD5                { 0x00,0x04 }       CompressionMethodsLength: 1 (0x1)       CompressionMethods: 0 (0x0)       ExtensionsLength: 52 (0x34)     - ClientHelloExtension: Server Name(0x0000)        ExtensionType: Server Name(0x0000)        ExtensionLength: 19 (0x13)        NameListLength: 17 (0x11)        NameType: Host Name (0)        NameLength: 14 (0xE)        ServerName: sts.contoso.net     + ClientHelloExtension: Elliptic Curves(0x000A)     + ClientHelloExtension: EC Point Formats(0x000B)    + ClientHelloExtension: SessionTicket TLS(0x0023)     + ClientHelloExtension: Unknown Extension Type     + ClientHelloExtension: Renegotiation Info(0xFF01)
في هذا السيناريو، من المتوقع أن ADFS الوكيل يتم رفض الاتصال. هذه المشكلة قد أبلغ الفريق Exchange عبر إنترنت وقيد التحقيق.

الحلول:

  • استخدام مصادقة الحديثة.

    ملاحظة: لم يتم اختبار هذا. وبشكل تصوري، الاتصال ADFS غير مباشرة من تطبيق العميل. ولذلك، يجب أن يعمل إذا كان يدعم TLS 1.1.
  • إعادة تمكين TLS 1.0 الملقم الوكيل آب/ADFS.
مراجع
دفع بطاقة الصناعة (PCI) الأمان القياسي (DSS) المستوى 1 خدمة موفر البيانات

إضافة: الأمان: الانتقال من TLS 1.0 إلى TLS 1.1 و TLS 1.2

تعطيل TLS 1.0 والاصدارات السابقة في "وكيل تطبيق ويب"

تنويه معلومات من جهة خارجية

منتجات الجهات الأخرى المذكورة في هذه المقالة تابعة لشركات مستقلة عن Microsoft. لا تقدم Microsoft أي ضمان، سواء ضمنياً أو صريحا، بخصوص أداء هذه المنتجات أو كفاءتها.


تنويه معلومات من جهة خارجية

توفر Microsoft معلومات الاتصال خارجية لمساعدتك في الحصول على الدعم التقني. قد تتغير معلومات جهة الاتصال هذه دون إشعار. لا تضمن Microsoft دقة معلومات جهة الاتصال لهذه الجهات الأخرى.

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 3194197 - آخر مراجعة: 10/17/2016 22:04:00 - المراجعة: 1.0

  • kbmt KB3194197 KbMtar
تعليقات