TLS-Fehler nach August Patch 2020 auf Windows Server 2019
Seit Einspielen der August-Patches 2020 auf einem Windows Server 2019 gibt es dort massive Probleme mit der Verwendung von TLS für den IIS.
Im Einzelnen:
Eingespielt wurden die Patches:
Als einzige TLS-Version war die Version 1.2 zugelassen.
Nach den oben aufgezählten Updates ist der Server nicht mehr über TLS-verschlüsselte Verbindungen erreichbar und kann auch selber nicht mehr das Update-Portal erreichen. Die windows-eigene Firewall ist komplett deaktiviert; der Server wird über eine HW-Firewall abgesichert und ist nur über port tcp443 erreichbar und mit Zertifikaten abgesichert.
Das Ereignisprotokoll wimmelt nur von
"Schwerwiegender Fehler beim Erstellen der client-Anmeldeinformationen für TLS. Der interne Fehlerstatus ist 10010." Quelle: Schannel, Ereignis-Id: 36871.
Alle Versuche nach entsprechenden Google-Recherchen, wie etwa
Dazu kommt, dass sich die beiden letztgenannten Patches, die fett markiert sind, nicht wieder deinstallieren lassen, auch nicht per WSUS.
Ich bin hier für jeden Hinweis dankbar, ist ja schließlich nur ein Produktiv-Server...
Im Einzelnen:
Eingespielt wurden die Patches:
- KB4566424,
- KB4569750,
- KB4565349,
- KB4570505.
Als einzige TLS-Version war die Version 1.2 zugelassen.
Nach den oben aufgezählten Updates ist der Server nicht mehr über TLS-verschlüsselte Verbindungen erreichbar und kann auch selber nicht mehr das Update-Portal erreichen. Die windows-eigene Firewall ist komplett deaktiviert; der Server wird über eine HW-Firewall abgesichert und ist nur über port tcp443 erreichbar und mit Zertifikaten abgesichert.
Das Ereignisprotokoll wimmelt nur von
"Schwerwiegender Fehler beim Erstellen der client-Anmeldeinformationen für TLS. Der interne Fehlerstatus ist 10010." Quelle: Schannel, Ereignis-Id: 36871.
Alle Versuche nach entsprechenden Google-Recherchen, wie etwa
- der Einsatz von "IIS Crypto 3.2" von Nartac Software,
- "Lokale Sicherheitsrichtlinie: Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden" ,
- "Erweiterung der Zugriffberechtigungen auf den Ordner C:\ProgramData\Microsoft\Crypto\RSA\RSA\MachineKeys"
Dazu kommt, dass sich die beiden letztgenannten Patches, die fett markiert sind, nicht wieder deinstallieren lassen, auch nicht per WSUS.
Ich bin hier für jeden Hinweis dankbar, ist ja schließlich nur ein Produktiv-Server...
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 596615
Url: https://administrator.de/forum/tls-fehler-nach-august-patch-2020-auf-windows-server-2019-596615.html
Ausgedruckt am: 04.05.2025 um 09:05 Uhr
4 Kommentare
Neuester Kommentar
moin..
ich würde ein restore von deinen Backup machen, und das ganze mit einer TEST VM noch mal Testen...
Frank
ich würde ein restore von deinen Backup machen, und das ganze mit einer TEST VM noch mal Testen...
Frank
Moin Frank,
danke für Deinen Hinweis.
Leider für mich nicht umsetzbar, der betroffene Server ist eine VM in der cloud bei IONOS.
Gerd
danke für Deinen Hinweis.
Leider für mich nicht umsetzbar, der betroffene Server ist eine VM in der cloud bei IONOS.
Gerd
Zitat von @Heidjer:
- "Lokale Sicherheitsrichtlinie: Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden" ,
- "Erweiterung der Zugriffberechtigungen auf den Ordner C:\ProgramData\Microsoft\Crypto\RSA\RSA\MachineKeys"
stell mal die FIPS Richtlinie ganz schnell wieder aus - die braucht man nicht solange man kein Auftragsnhemer der US-REgierung ist... und gängige Hash-Algorithmen wie AES256 sind nicht fips konform, haben aber sehr weite Verwendung, z.B. auch bei TLS 1.2, da müßte müßte man erst Feintuning machen damit ausschließlich FIPS kompatible Hashes und Verschlüsselungen verwendet werden dürfen. Das kann man z.B. im IISCRYPTO einstellen.
Wenn die Schannel Meldung kommt, dann können sich Client (bzw. anfragender Rechner) und der Server (dein 2019) nicht über ein gemeinsames Kommunikatiosnprotokoll einigen.
Sowas kann man über den Microsoft Netzwerkmonitor weiter analysieren, auf Server oder Clientseite installeiren, der spuckt dann meistens den Grund aus, warum TLS 1.2 nicht mehr geht. t.B. hat eine der Cipher Suites einen Bug, daß sie keine Versionsnummer zurückliefert obwohl eine Versionsummer verpflichtend ist...
Moin, GrueneSosseMitSpeck,
Danke für Deinen Hinweis, der mich in die richtige Richtung gestoßen hat.
Die Lösung brachte dann das PowerShell-Skript von Setup Microsoft Windows or IIS for SSL Perfect Forward Secrecy and TLS 1.2.
Gerd
Danke für Deinen Hinweis, der mich in die richtige Richtung gestoßen hat.
Die Lösung brachte dann das PowerShell-Skript von Setup Microsoft Windows or IIS for SSL Perfect Forward Secrecy and TLS 1.2.
Gerd
