Issue:
Efter uppgradering till Policy Manager 15.x visar Client Security- eller Server Security-värdar frånkopplad status eller saknas i Policy Manager-konsolen.
AsyncSendRequest SSL-fel: 12175 är inloggad i pmpselectorplugin.log eller nrb.log:
I: UpdatablePmCertVerifier::RenewCertificates: Förnyar certifikat från 192.168.98.247:9443 med HTTP-proxy ''
*E: UpdatablePmCertVerifier::RenewCertificates: Det gick inte att ladda ned certifikatkroppar (FsHttpRequest::Error_Certificate, AsyncSendRequest SSL fail: 12175 [0x80000000])
.W: PmpSelectorPlugin::Kör: Policyhanteraren är inte tillgänglig
Synliga symtom:
- värd kan inte ta emot policyuppdateringar från Policy Manager-servern
- Policy Manager-konsolen Centraliserad hanteringsstatussida visar policyräknaren på värd och på servern matchar inte (policyn som används är inte den senaste)
- värd visas i frånkopplad status i domänträdet för Policy Manager Console
- AUA.log på värd visar att den kan ansluta till Policy Manager Server med HTTP för att ladda ner uppdateringar
Resolution:
Policy Manager 15.x tog bort stödet för svaga chiffersviter (TLSv1 och TLSv1.1) för TLS-protokoll. Detta kan resultera i anslutningsproblem med föråldrade Windows-värdar som saknas t.ex. KB3042058-uppdateringar från maj 2015. Värdar med Windows 7, 8, 8.1, Server 2008 R2, Server 2012 eller Server 2012 R2 påverkas av detta problem.
Nedladdningslänkarna och mer information, inklusive förutsättningar för KB3042058 finns här . Uppdateringen lägger till ytterligare chiffersviter till standardlistan på berörda system och förbättrar chiffersviternas prioritetsordning.
Det enklaste sättet att verifiera om värd kan använda Policy Manager Server SSL-anslutningen eller inte, är att ladda sidan Policy Manager Server via HTTPS (port 443 i standardkonfiguration) med Microsoft Internet Explorer från den hanterade värd.
- Öppna Microsoft Internet Explorer
- Gå till adressen https://<YourPolicyManagerServerAddress>:443
Om anslutningen fungerar bör du se ett meddelande som talar om för dig att Policy Manager-servern är installerad och fungerar bra.
Webbläsaren Microsoft Internet Explorer används eftersom det är den enda webbläsaren som använder samma säkra kanalbibliotek som klienterna under Windows för att upprätta en säker anslutning med Policy Manager-servern. Andra webbläsare kan upprätta den säkra anslutningen med ett integrerat bibliotek till policyhanteraren även utan KB3042058.
Om problemet upptäcks på ett nyare Windows-operativsystem måste du verifiera om chiffersviterna som stöds på Policy Manager-servern stöds på värd. Du kan göra följande för att ta reda på det:
För att hämta en lista över chiffersviter som stöds för Policy Manager Server, installera Nmap och kör följande på en värd där Policy Manager Server är tillgänglig:- nmap --script ssl-enum-ciphers -p <HTTPS-port för värdmodul> <Policy Manager Server värdnamn eller IP-adress>
För att hämta en lista över krypteringssviter som stöds på värd, kör följande i Windows PowerShell på Server 2016 och nyare: Ibland försöker "schannel"-biblioteket använda TLS 1.0 även med KB3042058-uppdateringen installerad. Det upptäcktes att detta kan hända om Windows Server körs i en Active Directory-roll. Göra ändringar i SSL Cipher Suite Order Group Policy-inställning enligt beskrivningen i Mer information på https://support.microsoft.com/en-us/help/3042058/microsoft-security-advisory-update-to-default-cipher-suite -priority-or#section-2 och omstart av servern fixar detta, även om SSL Cipher Suite Order Group Policy-inställningsvärdet senare återställs till standard.
Om du inte kan installera chiffersviternas Windows-uppdatering på värd eller fixa SSL Cipher Suite Order Group Policy-inställningen, skulle en lösning vara att tillåta TLSv1 och TLSv1.1 för Policy Manager Server genom att använda dessa steg:- Stoppa Policy Manager Server-tjänsten med kommandotolken:
- För Policy Manager 15: net stop fsms
- För Policy Manager 16: net stop wspms
- Öppna Regedit och navigera till:
- Policy Manager 15: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\
- Policy Manager 16: HKLM\SOFTWARE\WithSecure\Policy Manager\Policy Manager Server\
- Öppna additional_java_args- strängen och lägg till: -DenableVistaInteroperability=true
- Starta tjänsten Policy Manager Server med hjälp av kommandotolken:
- För Policy Manager 15: net start fsms
- För Policy Manager 16: net start wspms
Nu kommer värdar som använder TLSv1 och TLSv1.1 igen att kunna ansluta till Policy Manager-servern och ladda ner policyer.
Article no: 000025934
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.