電子メールおよびサーバーセキュリティ 14.x/15.x Web コンソールへのログインが機能せず、ページが表示されない

Issue:

アドレスhttps://127.0.0.1:25023 または https://localhost:25023 を使用してブラウザ経由で Email and Server Security 14.x または 15.x WebUI (Web コンソール) にログインしようとすると、メッセージが表示されます。ページが表示できないと表示されます。

Resolution:

インターネットインフォメーションサービス (IIS) マネージャーでバインドをセットアップする

ネットワーク内の任意のホストから電子メールおよびサーバーセキュリティの WebUI にアクセスするには、インターネットインフォメーションサービス (IIS) 経由でそれらのホストを許可する必要があります。
すべてのホストに WebUI へのアクセスを許可するには、次の手順に従います。

[管理ツール]で、インターネットインフォメーションサービス (IIS) マネージャーを起動します。
「サイト」 > 「EssWebConsole」に移動します。
バインディングの選択
ポート 25025 127.0.0.1 の行を選択し、 「編集」をクリックします。
[SSL 証明書] で、 [ローカル ESS Web コンソールの自己署名証明書]を選択し、 [OK]を選択します。

電子メールとサーバーセキュリティの SSL 証明書がありません

電子メールとサーバーセキュリティ WebUI が表示されず、証明書が IIS にない場合は、セットアップF-Secure.Ess.Config.exeを実行して、新しい証明書を作成します。
このツールは、C:\Program Files (x86)\F-Secure\Email and Server Security\ui\F-Secure.Ess.Config.exe にあります。

7 ページでは、証明書を選択できます:ローカル ESS Web コンソール自己署名、または自己署名証明書を作成します。
完了すると、 「IIS」 > 「EssWebConsole」 > 「バインディング」で証明書を選択できるようになります。

TLS が有効であり、SChannel ライブラリが正しいことを確認してください。

電子メールおよびサーバーセキュリティホストでTLS 1.0 および TLS 1.1が有効になっていることを確認します。
2008 R2、2012、および 2012 R2 を使用している場合は、この更新プログラム KB3042058 がインストールされていることを確認してください。

注: TLS プロトコルの弱い暗号スイートのサポートは終了しました。これにより、2015 年 5 月の KB3042058 アップデートなどの欠落している古い Windows ホストとの接続の問題が発生する可能性があります。

ホストが指定されたポリシーマネージャーと通信できるかどうかを確認する最も簡単な方法は、管理対象クライアントのホストから Microsoft Internet Explorer 経由でポリシーマネージャーのアドレス:HTTPS ポート (例: https://mypolicymanager.local:443) にアクセスすることです。 Microsoft Internet Explorer は、F-Secure クライアントと同じセキュアチャネルライブラリを使用して、ポリシーマネージャーサーバーへの安全な接続を確立します。他のほとんどのインターネットブラウザは独自の TSL ライブラリを利用しており、クライアントと同じものに依存していないため、検証には無関係です。

場合によっては、KB3042058 更新プログラムがインストールされている場合でも、「SChannel」ライブラリが TLS 1.0 を使用しようとすることがあります。 Windows Server が Active Directory ロールで実行されている場合に、この問題が発生する可能性があることが判明しました。 https://support.microsoft.com/en-us/help/3042058/microsoft-security-advisory-update-to-default-cipher-suiteの詳細情報の説明に従って、SSL 暗号スイートの順序グループポリシー設定を変更します。 -priority-or#section-2 を指定してサーバーを再起動すると、SSL 暗号スイート順序グループポリシー設定値が後でデフォルトにリセットされた場合でも、この問題は修正されます。

回避策

ホストに暗号スイートの Windows アップデートをインストールできない場合、または SSL 暗号スイートの順序グループポリシー設定を修正できない場合の回避策は、次の手順を使用してポリシーマネージャーサーバーに対して TLSv1 および TLSv1.1 を許可することです。

コマンドプロンプトコマンドnet stop fsmsを使用してポリシーマネージャーサーバーサービスを停止します。
Regedit を開き、HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\ に移動します。
Additional_java_args文字列を開き、 -DenableVistaInteroperability=trueを追加します。
コマンドプロンプトコマンドnet start fsmsを使用して、ポリシーマネージャーサーバーサービスを開始します。

これで、TLSv1 および TLSv1.1 を使用するホストは再びポリシーマネージャーサーバーに接続し、ポリシーをダウンロードできるようになります。
注:この回避策は一時的な解決策として考慮する必要があり、システムを最新の TLS バージョンに更新することをお勧めします。

Article no: 000022837

powered by Google Translate
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.