Issue:
Policy Manager 15.x -versioon päivityksen jälkeen Client Security- tai Server Security -isännät näyttävät katkaistu-tilan tai ne puuttuvat Policy Manager -konsolista.
AsyncSendRequest SSL -virhe: 12175 on kirjattu sisään pmpselectorplugin.log- tai nrb.log-tiedostoon:
I: UpdatablePmCertVerifier::RenewCertificates: Varmenteiden uusiminen osoitteesta 192.168.98.247:9443 HTTP-välityspalvelimella ''
*E: UpdatablePmCertVerifier::RenewCertificates: Varmennerunkojen lataaminen epäonnistui (FsHttpRequest::Error_Certificate, AsyncSendRequest SSL-virhe: 12175 [0x80000000])
.W: PmpSelectorPlugin::Run: Policy Manager ei ole käytettävissä
Näkyviä oireita:
- isäntäkone ei voi vastaanottaa käytäntöpäivityksiä Policy Manager -palvelimelta
- Käytäntöjen hallintakonsoli Keskitetyn hallinnan tilasivu näyttää käytäntölaskurit isäntäkone ja palvelimessa eivät täsmää (käytettävä käytäntö ei ole uusin)
- isäntäkone näkyy katkaistu-tilassa Policy Manager -konsolin toimialuepuussa
- isäntäkone AUA.log osoittaa, että se pystyy muodostamaan yhteyden Policy Manager -palvelimeen HTTP:n avulla päivitysten lataamiseksi
Resolution:
Policy Manager 15.x luopui heikkojen salauspakettien (TLSv1 ja TLSv1.1) tuesta TLS-protokollalle. Tämä voi aiheuttaa yhteysongelmia vanhentuneiden Windows-isäntien kanssa, joista puuttuu esimerkiksi KB3042058-päivityksiä toukokuusta 2015 alkaen. Tämä ongelma koskee isäntiä, joissa on Windows 7, 8, 8.1, Server 2008 R2, Server 2012 tai Server 2012 R2.
Latauslinkit ja lisätietoja, mukaan lukien KB3042058:n edellytykset, ovat saatavilla täältä . Päivitys lisää muita salauspaketteja kyseisten järjestelmien oletusluetteloon ja parantaa salaussarjan prioriteettijärjestystä.
Helpoin tapa varmistaa, pystyykö isäntäkone käyttämään Policy Manager Serverin SSL-liitintä, on ladata Policy Manager Server -sivu HTTPS:n kautta (oletuskokoonpanon portti 443) Microsoft Internet Explorerin avulla hallitusta isäntäkone.
- Avaa Microsoft Internet Explorer
- Siirry osoitteeseen https://<YourPolicyManagerServerAddress>:443
Jos yhteys toimii, sinun pitäisi nähdä viesti, joka kertoo, että Policy Manager -palvelin on asennettu ja toimii hyvin.
Microsoft Internet Explorer -selainta käytetään, koska se on ainoa selain, joka käyttää samaa suojattua kanavakirjastoa kuin Windows-asiakkaat muodostamaan suojatun yhteyden Policy Manager -palvelimeen. Muut selaimet voivat muodostaa suojatun yhteyden käytäntöjen hallintaan integroidulla kirjastolla jopa ilman KB3042058:aa.
Jos ongelma havaitaan uudemmassa Windows-käyttöjärjestelmässä, sinun on tarkistettava, tuetaanko Policy Manager -palvelimen tukemia salauspaketteja isäntäkone. Voit selvittää asian seuraavasti:
Voit hakea luettelon Policy Manager Serverin tukemista salaussarjoista asentamalla Nmapin ja suorittamalla seuraavat komennot isäntäkone , johon Policy Manager Server on tavoitettavissa:- nmap --script ssl-enum-ciphers -p <HTTPS-portti isäntämoduulille> <Policy Manager -palvelimen isäntänimi tai IP-osoite>
Voit hakea luettelon isäntäkone tuetuista salausohjelmistoista suorittamalla seuraavat toiminnot Windows PowerShellissä Server 2016:ssa ja uudemmissa: Joskus kanavakirjasto yrittää käyttää TLS 1.0:aa, vaikka päivitys KB3042058 olisi asennettuna. Havaittiin, että tämä voi tapahtua, jos Windows Server toimii Active Directory -roolissa. Muutosten tekeminen SSL Cipher Suite -tilausryhmäkäytäntöasetukseen kuten on kuvattu kohdassa Lisätietoja osoitteessa https://support.microsoft.com/en-us/help/3042058/microsoft-security-advisory-update-to-default-cipher-suite -priority-or#section-2 ja palvelimen uudelleenkäynnistys korjaa tämän, vaikka SSL Cipher Suite Order Group Policy -asetusarvo palautettaisiin myöhemmin oletusarvoksi.
Jos et pysty asentamaan salausohjelmistopakettien Windows-päivitystä isäntäkone tai korjaamaan SSL-salauspaketin tilausryhmäkäytäntöasetusta, voit kiertää ratkaisun sallimalla TLSv1:n ja TLSv1.1:n Policy Manager -palvelimelle seuraavasti:- Pysäytä Policy Manager Server -palvelu komentokehotekomennolla:
- Policy Manager 15: net stop fsms
- Policy Manager 16: net stop wspms
- Avaa Regedit ja siirry kohtaan:
- Policy Manager 15: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\
- Policy Manager 16: HKLM\SOFTWARE\WithSecure\Policy Manager\Policy Manager Server\
- Avaa extra_java_args- merkkijono ja lisää: -DenableVistaInteroperability=true
- Käynnistä Policy Manager Server -palvelu komentokehotekomennolla:
- Policy Manager 15: net start fsms
- Policy Manager 16: net start wspms
Nyt TLSv1:tä ja TLSv1.1:tä käyttävät isännät voivat jälleen muodostaa yhteyden Policy Manager -palvelimeen ja ladata käytäntöjä.
Article no: 000025934
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.