Issue:
Après la mise à niveau vers Policy Manager 15.x, les hôtes Client Security ou Server Security affichent un état déconnecté ou sont manquants dans la console Policy Manager.
Échec SSL d'AsyncSendRequest : 12175 est enregistré dans pmpselectorplugin.log ou nrb.log :
I : UpdatablePmCertVerifier::RenewCertificates : Renouvellement des certificats à partir de 192.168.98.247:9443 avec proxy HTTP ''
*E : UpdatablePmCertVerifier::RenewCertificates : échec du téléchargement des corps de certificat (FsHttpRequest ::Error_Certificate, échec SSL AsyncSendRequest : 12175 [0x80000000])
.W : PmpSelectorPlugin : Exécuter : Policy Manager indisponible
Symptômes visibles :
- L' hôte n'est pas en mesure de recevoir les mises à jour de stratégie du serveur Policy Manager.
- La page d'état de la gestion centralisée de la console Policy Manager affiche que les compteurs de stratégie sur l' hôte et sur le serveur ne correspondent pas (la stratégie utilisée n'est pas la plus récente)
- L' hôte apparaît à l'état déconnecté dans l'arborescence des domaines de la console Policy Manager.
- Le fichier AUA.log sur l' hôte indique qu'il est capable de se connecter au serveur Policy Manager via HTTP pour télécharger les mises à jour.
Resolution:
Policy Manager 15.x a abandonné la prise en charge des suites de chiffrement faibles (TLSv1 et TLSv1.1) pour le protocole TLS. Cela peut entraîner des problèmes de connectivité avec des hôtes Windows obsolètes qui manquent, par exemple les mises à jour KB3042058 de mai 2015. Les hôtes avec Windows 7, 8, 8.1, Server 2008 R2, Server 2012 ou Server 2012 R2 sont concernés par ce problème.
Les liens de téléchargement et plus d’informations, y compris les conditions préalables pour KB3042058, sont disponibles ici . La mise à jour ajoute des suites de chiffrement supplémentaires à la liste par défaut sur les systèmes concernés et améliore l'ordre de priorité des suites de chiffrement.
Le moyen le plus simple de vérifier si l' hôte est capable d'utiliser ou non le connecteur SSL de Policy Manager Server consiste à charger la page Policy Manager Server via HTTPS (port 443 dans la configuration par défaut) avec Microsoft Internet Explorer à partir de l' hôte géré.
- Ouvrez Microsoft Internet Explorer
- Accédez à l'adresse https://<YourPolicyManagerServerAddress>:443
Si la connexion fonctionne, vous devriez voir un message vous indiquant que Policy Manager Server est installé et fonctionne correctement.
Le navigateur Microsoft Internet Explorer est utilisé car il s'agit du seul navigateur utilisant la même bibliothèque de canaux sécurisés que les clients sous Windows pour établir une connexion sécurisée avec le serveur Policy Manager. D'autres navigateurs peuvent établir cette connexion sécurisée avec une bibliothèque intégrée à Policy Manager même sans KB3042058.
Si le problème est détecté sur un système d'exploitation Windows plus récent, vous devrez vérifier si les suites de chiffrement prises en charge sur le serveur Policy Manager sont prises en charge sur l' hôte. Vous pouvez procéder comme suit pour le savoir :
Pour récupérer la liste des suites de chiffrement prises en charge pour Policy Manager Server, installez Nmap et exécutez ce qui suit sur un hôte où Policy Manager Server est accessible :- nmap --script ssl-enum-ciphers -p <port HTTPS pour le module hôte> <nom d'hôte ou adresse IP du serveur Policy Manager >
Pour récupérer une liste des suites de chiffrement prises en charge sur l' hôte, exécutez la commande suivante dans Windows PowerShell sur Server 2016 et versions ultérieures : Parfois, la bibliothèque « schannel » tente d'utiliser TLS 1.0 même avec la mise à jour KB3042058 installée. Il a été découvert que cela peut se produire si le serveur Windows s'exécute dans un rôle Active Directory. Apporter des modifications au paramètre de stratégie de groupe de commande de SSL Cipher Suite comme décrit dans Plus d'informations sur https://support.microsoft.com/en-us/help/3042058/microsoft-security-advisory-update-to-default-cipher-suite -priority-or#section-2 et le redémarrage du serveur corrigent ce problème, même si la valeur du paramètre de stratégie de groupe de commande de SSL Cipher Suite est ultérieurement réinitialisée par défaut.
Si vous ne parvenez pas à installer la mise à jour Windows des suites de chiffrement sur l' hôte ou à corriger le paramètre de stratégie de groupe d'ordre de la suite de chiffrement SSL, une solution de contournement consisterait à autoriser TLSv1 et TLSv1.1 pour le serveur Policy Manager en procédant comme suit :- Arrêtez le service Policy Manager Server à l'aide de la commande d'invite de commande :
- Pour Policy Manager 15 : net stop fsms
- Pour Policy Manager 16 : net stop wspms
- Ouvrez Regedit et accédez à :
- Policy Manager 15: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\
- Policy Manager 16: HKLM\SOFTWARE\WithSecure\Policy Manager\Policy Manager Server\
- Ouvrez la chaîne supplement_java_args et ajoutez : -DenableVistaInteroperability=true
- Démarrez le service Policy Manager Server à l'aide de la commande d'invite de commande :
- Pour Policy Manager 15 : net start fsms
- Pour Policy Manager 16 : net start wspms
Désormais, les hôtes utilisant TLSv1 et TLSv1.1 pourront à nouveau se connecter au serveur Policy Manager et télécharger des stratégies.
Article no: 000025934
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.