ingrimmsch
Goto Top

TLS 1.2 aktivieren auf dem Exchangeserver 2013

Hallo,

wir möchten gerne TLS 1.2 auf unserem Exchangeserver 2013 aktivieren. Sehe ich es richtig, dass wir folgende Schritte durchführen müssen? Oder muss ich noch was weiteres beachten?

Exchange Server 2013

Install CU19 in production for TLS 1.2 support and be ready to upgrade to CU20 after its release if you need to disable TLS 1.0 and TLS 1.1.
Install the newest version of .NET and associated patches supported by your CU (currently 4.7.2).

Enable TLS 1.2 for Schannel

To enable TLS 1.2 for both server (inbound) and client (outbound) connections on an Exchange Server please perform the following.

From Notepad.exe, create a text file named TLS12-Enable.reg.
Copy and paste the following text into the file.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000  
"Enabled"=dword:00000001  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000  
"Enabled"=dword:00000001  


Enable TLS 1.2 for .NET 4.x

This step is only required for Exchange Server 2013 or later installations where .NET 4.x is relied upon.

The SystemDefaultTlsVersions registry value defines which security protocol version defaults will be used by .NET Framework 4.x. If the value is set to 1, then .NET Framework 4.x will inherit its defaults from the Windows Schannel DisabledByDefault registry values. If the value is undefined, it will behave as if the value is set to 0. By configuring .NET Framework 4.x to inherit its values from Schannel we gain the ability to use the latest versions of TLS supported by the OS, including TLS 1.2.

From Notepad.exe, create a text file named NET4X-UseSchannelDefaults.reg.
Copy, and then paste the following text.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001  
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001  

Content-Key: 2825270614

Url: https://administrator.de/contentid/2825270614

Printed on: May 23, 2024 at 14:05 o'clock

Mitglied: 141986
Solution 141986 May 18, 2022 at 09:55:22 (UTC)
Goto Top
Hallo,

Kann Dir folgendes Tool empfehlen: IISCrypto
erledigt alles auf einem Schwung inkl. "Best Practices".

Vielleicht interessant.

Grüße
Member: user217
user217 May 18, 2022 at 13:49:39 (UTC)
Goto Top
dann geb ich auch mal meinen Senf dazu.
1. mache iiscrypto keine .net tls configs und auch keine für iexplorer etc.
2. TLS1.2 ist standardmäßig bereits aktiviert (es liegt am client der das nicht anfordert bzw. am Server erzwingt)
3. würde ich darauf achten welche client du am owa betreibst weil viele alte geräte das gar nicht können. (Android <8 oder so)
- Mit iis crypto kannst du in der hektik viel schnell zurück als per gpo.
- guck dir besser die gpos dazu an, die sind evtl. langlebiger als die regkeys (für .net gibts glaub ich keine gpo- hab die nie gefunden)
- noch ein rat falls irgendwas zickt, einfach den ganz SCHANNEL Baum incl. ciphersuiten etc. im regedit sichern und einmal löschen.
Unter dem Pfad liegen i.d. Regel noch viel mehr versionen.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\
Member: ingrimmsch
ingrimmsch May 18, 2022 updated at 14:24:00 (UTC)
Goto Top
Vielen Dank für eure Rückmeldungen.

Ich habe nun das ISS Crypto 3.2 mal auf dem Exchangeserver geöffnet und unten auf Best Practices geklickt.
Backup der Registry habe ich erstellt. Sicherung vom Server läuft ebenfalls täglich.

Bei Schannel bietet er mir u.a. nun TLS 1.0, TLS 1.1 und TLS 1.2 an. Kann ich das ohne weiteres so belassen?

iis

Bei den Cipher Suites würde ich die Einstellungen so belassen?

iis2

Ich würde die Einstellungen dann heute Abend aktivieren und einen Server Neustart machen.
Welche Probleme könnten eventuell auftreten? Muss ich hinsichtlich des DC's irgendwas beachten?
Mitglied: 141986
141986 May 19, 2022 at 05:11:25 (UTC)
Goto Top
Moin,

Bei Schannel bietet er mir u.a. nun TLS 1.0, TLS 1.1 und TLS 1.2 an. Kann ich das ohne weiteres so belassen?
Habe nur noch min 1.2 aktiv.

3. würde ich darauf achten welche client du am owa betreibst weil viele alte geräte das gar nicht können. (Android <8 oder so)

Jap - allerdings würde ich aus Prinzip solch alte Geräte nicht mehr akzeptieren.

Bei den Cipher Suites würde ich die Einstellungen so belassen?
Hier kannst Du ganz gut prüfen, welche Geräte bzw. OS welche Ciphersuites nutzen und welche abgelehnt werden:
SSL Labs

Ich pers. habe ich meine Server ziemlich limitiert was CS angeht.

Grüße
Member: user217
user217 May 19, 2022 at 06:51:32 (UTC)
Goto Top
Geh in templates und wähle entweder strict oder fips, alles andere ist alter mist
Member: Dani
Dani May 19, 2022 at 22:14:12 (UTC)
Goto Top
@user217
1. mache iiscrypto keine .net tls configs und auch keine für iexplorer etc.
Ich meine der IE nutzt WinHTTP und Schannel. Was beides durch IIS Crypto angepasst wird.

@141986
Jap - allerdings würde ich aus Prinzip solch alte Geräte nicht mehr akzeptieren.
Nicht nur an Geräte denken, sondern auch evtl. an Software welche über den Mail-Server E-Mails verschickt. Meistens werden dort nämlich alte Bibliotheken genutzt.

@wieoderwas
Welche Probleme könnten eventuell auftreten? Muss ich hinsichtlich des DC's irgendwas beachten?
Das können wir aus der Ferne nicht beurteilen. Wir kennen deine Umgebung nicht und damit ist jede Antwort eigentlich geraten.


Gruß,
Dani