heidjer
Aug 15, 2020
view13636
view4
0
Goto Top

TLS-Fehler nach August Patch 2020 auf Windows Server 2019

GermansolvedQuestionWindows ServerMicrosoft
Seit Einspielen der August-Patches 2020 auf einem Windows Server 2019 gibt es dort massive Probleme mit der Verwendung von TLS für den IIS.
Im Einzelnen:

Eingespielt wurden die Patches:
  • KB4566424,
  • KB4569750,
  • KB4565349,
  • KB4570505.

Als einzige TLS-Version war die Version 1.2 zugelassen.

Nach den oben aufgezählten Updates ist der Server nicht mehr über TLS-verschlüsselte Verbindungen erreichbar und kann auch selber nicht mehr das Update-Portal erreichen. Die windows-eigene Firewall ist komplett deaktiviert; der Server wird über eine HW-Firewall abgesichert und ist nur über port tcp443 erreichbar und mit Zertifikaten abgesichert.

Das Ereignisprotokoll wimmelt nur von
"Schwerwiegender Fehler beim Erstellen der client-Anmeldeinformationen für TLS. Der interne Fehlerstatus ist 10010." Quelle: Schannel, Ereignis-Id: 36871.

Alle Versuche nach entsprechenden Google-Recherchen, wie etwa
  • der Einsatz von "IIS Crypto 3.2" von Nartac Software,
  • "Lokale Sicherheitsrichtlinie: Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden" ,
  • "Erweiterung der Zugriffberechtigungen auf den Ordner C:\ProgramData\Microsoft\Crypto\RSA\RSA\MachineKeys"
brachten keine Lösung. Mein Pulver ist erst einmal verschossen.

Dazu kommt, dass sich die beiden letztgenannten Patches, die fett markiert sind, nicht wieder deinstallieren lassen, auch nicht per WSUS.

Ich bin hier für jeden Hinweis dankbar, ist ja schließlich nur ein Produktiv-Server...
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 596615

Url: https://administrator.de/contentid/596615

Printed on: April 16, 2024 at 05:04 o'clock

4 Comments
Latest comment
Goto Top
Member: Vision2015
Vision2015 Aug 15, 2020 at 12:30:06 (UTC)
Goto Top
moin..

ich würde ein restore von deinen Backup machen, und das ganze mit einer TEST VM noch mal Testen...

Frank
Member: Heidjer
Heidjer Aug 15, 2020 at 15:49:20 (UTC)
Goto Top
Moin Frank,

danke für Deinen Hinweis.
Leider für mich nicht umsetzbar, der betroffene Server ist eine VM in der cloud bei IONOS.

Gerd
Member: GrueneSosseMitSpeck
Solution GrueneSosseMitSpeck Aug 15, 2020 updated at 19:38:05 (UTC)
Goto Top
Zitat von @Heidjer:
  • "Lokale Sicherheitsrichtlinie: Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden" ,
  • "Erweiterung der Zugriffberechtigungen auf den Ordner C:\ProgramData\Microsoft\Crypto\RSA\RSA\MachineKeys"

stell mal die FIPS Richtlinie ganz schnell wieder aus - die braucht man nicht solange man kein Auftragsnhemer der US-REgierung ist... und gängige Hash-Algorithmen wie AES256 sind nicht fips konform, haben aber sehr weite Verwendung, z.B. auch bei TLS 1.2, da müßte müßte man erst Feintuning machen damit ausschließlich FIPS kompatible Hashes und Verschlüsselungen verwendet werden dürfen. Das kann man z.B. im IISCRYPTO einstellen.

Wenn die Schannel Meldung kommt, dann können sich Client (bzw. anfragender Rechner) und der Server (dein 2019) nicht über ein gemeinsames Kommunikatiosnprotokoll einigen.

Sowas kann man über den Microsoft Netzwerkmonitor weiter analysieren, auf Server oder Clientseite installeiren, der spuckt dann meistens den Grund aus, warum TLS 1.2 nicht mehr geht. t.B. hat eine der Cipher Suites einen Bug, daß sie keine Versionsnummer zurückliefert obwohl eine Versionsummer verpflichtend ist...
Member: Heidjer
Heidjer Aug 16, 2020 at 12:16:32 (UTC)
Goto Top
Moin, GrueneSosseMitSpeck,

Danke für Deinen Hinweis, der mich in die richtige Richtung gestoßen hat.

Die Lösung brachte dann das PowerShell-Skript von Setup Microsoft Windows or IIS for SSL Perfect Forward Secrecy and TLS 1.2.

Gerd
GermansolvedQuestionWindows ServerMicrosoft