Issue:
Nach dem Upgrade auf Policy Manager 15.x zeigen Client Security- oder Server Security-Hosts den Status „Getrennt“ an oder fehlen in der Policy Manager-Konsole.
AsyncSendRequest SSL-Fehler: 12175 ist im pmpselectorplugin.log oder nrb.log protokolliert:
I: UpdatablePmCertVerifier::RenewCertificates: Zertifikate von 192.168.98.247:9443 mit HTTP-Proxy erneuern ''
*E: UpdatablePmCertVerifier::RenewCertificates: Zertifikatskörper konnten nicht heruntergeladen werden (FsHttpRequest::Error_Certificate, AsyncSendRequest SSL-Fehler: 12175 [0x80000000])
.W: PmpSelectorPlugin::Run: Policy Manager nicht verfügbar
Sichtbare Symptome:
- Der Host kann keine Richtlinienaktualisierungen vom Policy Manager Server empfangen
- Auf der zentralisierten Verwaltungsstatusseite der Policy Manager-Konsole wird angezeigt, dass die Richtlinienzähler auf dem Host und auf dem Server nicht übereinstimmen (die verwendete Richtlinie ist nicht die neueste).
- Der Host wird im Domänenbaum der Policy Manager-Konsole im Status „Getrennt“ angezeigt
- AUA.log auf dem Host zeigt an, dass er über HTTP eine Verbindung zum Policy Manager Server herstellen kann, um Updates herunterzuladen
Resolution:
Policy Manager 15.x hat die Unterstützung für schwache Cipher Suites (TLSv1 und TLSv1.1) für das TLS-Protokoll eingestellt. Dies kann zu Verbindungsproblemen mit veralteten Windows-Hosts führen, denen beispielsweise KB3042058-Updates vom Mai 2015 fehlen. Hosts mit Windows 7, 8, 8.1, Server 2008 R2, Server 2012 oder Server 2012 R2 sind von diesem Problem betroffen.
Die Download-Links und weitere Informationen, einschließlich der Voraussetzungen für KB3042058, finden Sie hier . Das Update fügt der Standardliste auf betroffenen Systemen zusätzliche Cipher-Suites hinzu und verbessert die Prioritätsreihenfolge der Cipher-Suites.
Der einfachste Weg, um zu überprüfen, ob der Host den Policy Manager Server-SSL-Connector verwenden kann oder nicht, besteht darin, die Policy Manager Server-Seite über HTTPS (Port 443 in der Standardkonfiguration) mit Microsoft Internet Explorer vom verwalteten Host zu laden.
- Öffnen Sie den Microsoft Internet Explorer
- Gehen Sie zur Adresse https://<YourPolicyManagerServerAddress>:443
Wenn die Verbindung funktioniert, sollten Sie eine Meldung sehen, die Ihnen mitteilt, dass der Policy Manager Server installiert ist und einwandfrei funktioniert.
Der Browser Microsoft Internet Explorer wird verwendet, da er der einzige Browser ist, der dieselbe sichere Kanalbibliothek wie die Clients unter Windows verwendet, um eine sichere Verbindung mit dem Policy Manager Server herzustellen. Andere Browser könnten diese sichere Verbindung mit einer integrierten Bibliothek zum Policy Manager auch ohne KB3042058 herstellen.
Wenn das Problem auf einem neueren Windows-Betriebssystem auftritt, müssen Sie überprüfen, ob die auf dem Policy Manager Server unterstützten Cipher Suites auch auf dem Host unterstützt werden. Um das herauszufinden, können Sie Folgendes tun:
Um eine Liste der für Policy Manager Server unterstützten Verschlüsselungssammlungen abzurufen, installieren Sie Nmap und führen Sie Folgendes auf einem Host aus, auf dem Policy Manager Server erreichbar ist:- nmap --script ssl-enum-ciphers -p <HTTPS-Port für Hostmodul> <Hostname oder IP-Adresse des Policy Manager-Servers >
Um eine Liste der auf dem Host unterstützten Verschlüsselungssammlungen abzurufen, führen Sie Folgendes in Windows PowerShell auf Server 2016 und höher aus: Manchmal versucht die „schannel“-Bibliothek, TLS 1.0 zu verwenden, selbst wenn das Update KB3042058 installiert ist. Es wurde festgestellt, dass dies passieren kann, wenn der Windows Server in einer Active Directory-Rolle ausgeführt wird. Nehmen Sie Änderungen an der Gruppenrichtlinieneinstellung „SSL Cipher Suite Order“ vor, wie in Weitere Informationen unter https://support.microsoft.com/en-us/help/3042058/microsoft-security-advisory-update-to-default-cipher-suite beschrieben -priority-or#section-2 und ein Neustart des Servers behebt dieses Problem, auch wenn der Wert der Gruppenrichtlinieneinstellung „SSL Cipher Suite Order“ später auf den Standardwert zurückgesetzt wird.
Wenn Sie das Windows-Update der Cipher Suites nicht auf dem Host installieren oder die Gruppenrichtlinieneinstellung „SSL Cipher Suite Order“ nicht korrigieren können, besteht eine Problemumgehung darin, TLSv1 und TLSv1.1 für den Policy Manager Server zuzulassen, indem Sie die folgenden Schritte ausführen:- Stoppen Sie den Policy Manager Server-Dienst mit dem Eingabeaufforderungsbefehl:
- Für Policy Manager 15: net stop fsms
- Für Policy Manager 16: net stop wspms
- Öffnen Sie Regedit und navigieren Sie zu:
- Policy Manager 15: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\
- Policy Manager 16: HKLM\SOFTWARE\WithSecure\Policy Manager\Policy Manager Server\
- Öffnen Sie die Zeichenfolge „additional_java_args“ und fügen Sie hinzu: -DenableVistaInteroperability=true
- Starten Sie den Policy Manager Server-Dienst mit dem Eingabeaufforderungsbefehl:
- Für Policy Manager 15: net start fsms
- Für Policy Manager 16: net start wspms
Jetzt können Hosts, die TLSv1 und TLSv1.1 verwenden, wieder eine Verbindung zum Policy Manager-Server herstellen und Richtlinien herunterladen.
Article no: 000025934
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.