Issue:
Policy Manager 15.x にアップグレードした後、Client Security または Server Security ホストが切断ステータスを示すか、Policy Manager コンソールに表示されません。
AsyncSendRequest SSL 失敗: 12175 が pmpselectorplugin.log または nrb.log に記録されます。
I: UpdatablePmCertVerifier::RenewCertificates: HTTP プロキシを使用して 192.168.98.247:9443 から証明書を更新しています ''
*E: UpdatablePmCertVerifier::RenewCertificates: 証明書本体のダウンロードに失敗しました (FsHttpRequest::Error_Certificate、AsyncSendRequest SSL 失敗: 12175 [0x80000000])
.W: PmpSelectorPlugin::Run: ポリシー マネージャーは使用できません
目に見える症状:
- ホストがポリシー マネージャー サーバーからポリシーの更新を受信できません
- ポリシー マネージャー コンソールの一元管理ステータス ページに、ホストとサーバーのポリシー カウンタが一致しない (使用中のポリシーが最新ではない) と表示される
- ポリシー マネージャー コンソールのドメイン ツリーにホストが切断ステータスで表示される
- ホスト上の AUA.log は、HTTP を使用してポリシー マネージャー サーバーに接続して更新をダウンロードできることを示しています
Resolution:
Policy Manager 15.x では、TLS プロトコルの弱い暗号スイート (TLSv1 および TLSv1.1) のサポートが廃止されました。これにより、2015 年 5 月の KB3042058 アップデートなどの古い Windows ホストで接続の問題が発生する可能性があります。Windows 7、8、8.1、Server 2008 R2、Server 2012、または Server 2012 R2 を搭載したホストは、この問題の影響を受けます。
ダウンロード リンクと、KB3042058 の前提条件を含む詳細情報は、 ここから入手できます。このアップデートにより、影響を受けるシステムのデフォルトのリストに暗号スイートが追加され、暗号スイートの優先順位が改善されます。
ホストがポリシー マネージャー サーバー SSL コネクタを使用できるかどうかを確認する最も簡単な方法は、管理対象ホストから Microsoft Internet Explorerを使用して HTTPS (デフォルト設定ではポート 443) 経由でポリシー マネージャー サーバー ページをロードすることです。
- Microsoft Internet Explorerを開く
- アドレス https://<YourPolicyManagerServerAddress>:443 に移動します。
接続が機能している場合は、ポリシー マネージャー サーバーがインストールされ、正常に動作していることを示すメッセージが表示されます。
Microsoft Internet Explorer ブラウザは、Windows 上のクライアントと同じセキュア チャネル ライブラリを使用してポリシー マネージャ サーバとの安全な接続を確立する唯一のブラウザであるため、使用されます。他のブラウザは、KB3042058 がなくても、統合ライブラリを使用して Policy Manager への安全な接続を確立する可能性があります。
新しい Windows オペレーティング システムで問題が見つかった場合は、ポリシー マネージャー サーバーでサポートされている暗号スイートがホストでサポートされているかどうかを確認する必要があります。以下を実行して確認できます。
ポリシー マネージャー サーバーでサポートされている暗号スイートのリストを取得するには、Nmap をインストールし、ポリシー マネージャー サーバーにアクセスできるホストで次のコマンドを実行します。- nmap --script ssl-enum-ciphers -p <ホスト モジュールの HTTPS ポート> <ポリシー マネージャー サーバーのホスト名またはIPアドレス>
ホストでサポートされている暗号スイートのリストを取得するには、Server 2016 以降の Windows PowerShell で次のコマンドを実行します。 KB3042058 更新プログラムがインストールされている場合でも、「schannel」ライブラリが TLS 1.0 を使用しようとすることがあります。 Windows Server が Active Directory ロールで実行されている場合に、この問題が発生する可能性があることが判明しました。 https://support.microsoft.com/en-us/help/3042058/microsoft-security-advisory-update-to-default-cipher-suiteの詳細情報の説明に従って、SSL 暗号スイートの順序グループ ポリシー設定を変更します。 -priority-or#section-2 を指定してサーバーを再起動すると、SSL 暗号スイート順序グループ ポリシー設定値が後でデフォルトにリセットされた場合でも、この問題は修正されます。
ホストに暗号スイート Windows Update をインストールできない場合、または SSL 暗号スイート順序グループ ポリシー設定を修正できない場合の回避策は、次の手順を使用してポリシー マネージャー サーバーに対して TLSv1 および TLSv1.1 を許可することです。- コマンド プロンプト コマンドを使用して、ポリシー マネージャー サーバー サービスを停止します。
- Policy Manager 15 の場合: net stop fsms
- Policy Manager 16 の場合: net stop wspms
- Regedit を開き、次の場所に移動します。
- Policy Manager 15: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\
- Policy Manager 16: HKLM\SOFTWARE\WithSecure\Policy Manager\Policy Manager Server\
- Additional_java_args文字列を開き、 -DenableVistaInteroperability=trueを追加します。
- コマンド プロンプト コマンドを使用して、ポリシー マネージャー サーバー サービスを開始します。
- Policy Manager 15 の場合: net start fsms
- Policy Manager 16 の場合: net start wspms
これで、TLSv1 および TLSv1.1 を使用するホストは再びポリシー マネージャー サーバーに接続し、ポリシーをダウンロードできるようになります。
Article no: 000025934
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.