Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst TLS-Fehler nach August Patch 2020 auf Windows Server 2019

Mitglied: Heidjer

Heidjer (Level 1) - Jetzt verbinden

15.08.2020 um 13:29 Uhr, 593 Aufrufe, 4 Kommentare

Seit Einspielen der August-Patches 2020 auf einem Windows Server 2019 gibt es dort massive Probleme mit der Verwendung von TLS für den IIS.
Im Einzelnen:

Eingespielt wurden die Patches:
  • KB4566424,
  • KB4569750,
  • KB4565349,
  • KB4570505.

Als einzige TLS-Version war die Version 1.2 zugelassen.

Nach den oben aufgezählten Updates ist der Server nicht mehr über TLS-verschlüsselte Verbindungen erreichbar und kann auch selber nicht mehr das Update-Portal erreichen. Die windows-eigene Firewall ist komplett deaktiviert; der Server wird über eine HW-Firewall abgesichert und ist nur über port tcp443 erreichbar und mit Zertifikaten abgesichert.

Das Ereignisprotokoll wimmelt nur von
"Schwerwiegender Fehler beim Erstellen der client-Anmeldeinformationen für TLS. Der interne Fehlerstatus ist 10010." Quelle: Schannel, Ereignis-Id: 36871.

Alle Versuche nach entsprechenden Google-Recherchen, wie etwa
  • der Einsatz von "IIS Crypto 3.2" von Nartac Software,
  • "Lokale Sicherheitsrichtlinie: Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden" ,
  • "Erweiterung der Zugriffberechtigungen auf den Ordner C:\ProgramData\Microsoft\Crypto\RSA\RSA\MachineKeys"
brachten keine Lösung. Mein Pulver ist erst einmal verschossen.

Dazu kommt, dass sich die beiden letztgenannten Patches, die fett markiert sind, nicht wieder deinstallieren lassen, auch nicht per WSUS.

Ich bin hier für jeden Hinweis dankbar, ist ja schließlich nur ein Produktiv-Server...
Mitglied: Vision2015
15.08.2020 um 14:30 Uhr
moin..

ich würde ein restore von deinen Backup machen, und das ganze mit einer TEST VM noch mal Testen...

Frank
Bitte warten ..
Mitglied: Heidjer
15.08.2020 um 17:49 Uhr
Moin Frank,

danke für Deinen Hinweis.
Leider für mich nicht umsetzbar, der betroffene Server ist eine VM in der cloud bei IONOS.

Gerd
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
LÖSUNG 15.08.2020, aktualisiert um 21:38 Uhr
Zitat von Heidjer:
  • "Lokale Sicherheitsrichtlinie: Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden" ,
  • "Erweiterung der Zugriffberechtigungen auf den Ordner C:\ProgramData\Microsoft\Crypto\RSA\RSA\MachineKeys"

stell mal die FIPS Richtlinie ganz schnell wieder aus - die braucht man nicht solange man kein Auftragsnhemer der US-REgierung ist... und gängige Hash-Algorithmen wie AES256 sind nicht fips konform, haben aber sehr weite Verwendung, z.B. auch bei TLS 1.2, da müßte müßte man erst Feintuning machen damit ausschließlich FIPS kompatible Hashes und Verschlüsselungen verwendet werden dürfen. Das kann man z.B. im IISCRYPTO einstellen.

Wenn die Schannel Meldung kommt, dann können sich Client (bzw. anfragender Rechner) und der Server (dein 2019) nicht über ein gemeinsames Kommunikatiosnprotokoll einigen.

Sowas kann man über den Microsoft Netzwerkmonitor weiter analysieren, auf Server oder Clientseite installeiren, der spuckt dann meistens den Grund aus, warum TLS 1.2 nicht mehr geht. t.B. hat eine der Cipher Suites einen Bug, daß sie keine Versionsnummer zurückliefert obwohl eine Versionsummer verpflichtend ist...
Bitte warten ..
Mitglied: Heidjer
16.08.2020 um 14:16 Uhr
Moin, GrueneSosseMitSpeck,

Danke für Deinen Hinweis, der mich in die richtige Richtung gestoßen hat.

Die Lösung brachte dann das PowerShell-Skript von Setup Microsoft Windows or IIS for SSL Perfect Forward Secrecy and TLS 1.2.

Gerd
Bitte warten ..
Ähnliche Inhalte
Windows Update
Windows: August 2019 Patchday-Probleme
Ticker von kgbornWindows Update6 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Windows Server

Win2012R2, Fineprint-10.25, KB4556846 (Kumulativer Patch Mai-2020)

Frage von usercrashWindows Server10 Kommentare

Hallo allerseits, auf einem Win2012R2-Server mit aktivierten Terminaldiensten (RDP) läuft seit Jahren Fineprint-8.x für das Druckmanagement. Nach Installation des ...

Sicherheits-Tools

Kaspersky Internet Security 2019-2020 startet Datenbankupdate nicht automatisch

gelöst Frage von d4rkn3ssSicherheits-Tools4 Kommentare

Guten Abend zusammen, ich habe vor kurzem 2 Rechner mit Win 10 Pro neu aufgesetzt. Auf beiden Rechnern läuft ...

Vmware

VCenter 6.7.0 Appliance Patch schlägt fehl

gelöst Frage von Looser27Vmware10 Kommentare

Moin, ich versuche seit gestern unsere vCenter Appliance 6.7.0 auf den letzten Stand zu patchen. Leider schlägt das immer ...

Neue Wissensbeiträge
Microsoft
Manage USB Devices on Windows Hosts
Ticker von Dani vor 2 StundenMicrosoft1 Kommentar

Raven is a Miniature Schnauzer that doesn’t like small critters in the yard unless they can fly. This gives ...

Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 3 TagenMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 3 TagenVirtualisierung1 Kommentar

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 3 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Heiß diskutierte Inhalte
Backup
Gesicherter Backupserver gesucht
solved Question by lcer00Backup17 Comments

Hallo zusammen, ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: DerWoWusste Danke für den Link ...

Windows Server
Win Server2016 Datacenter Installation Frage
Question by UschadeWindows Server15 Comments

Hallo vereehrte Kolleginnen und Kollegen, Ich versuche einen Win Server2016 Datacenter zu installieren. Das Blech ist ein Fujitsu Primergy ...

Routers & Routing
VPN Performance verbessern
Question by JseidiRouters & Routing15 Comments

Hallo zusammen, Ich benötige einmal ein paar Tips von euch. Die Ausgangssitustion ist wie folgt: Standort 1: VDSL100 mit ...

Windows Server
Hochstufen zum DC aufgrund Replikationsproblemen nicht möglich
Question by FlinxitWindows Server9 Comments

Hallo, Wir haben ein Netzwerk übernommen, in welchem ein DC momentan aktiv ist, ein weiterer im AD angegebener DC ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN