J'ai récemment déployé un serveur Windows 2016 Standard, avec Active Directory et Exchange 2016.
Nous avons désactivé SSL 1.0, 2.0 et 3.0 pour le serveur et le client, et nous avons désactivé TLS 1.0 et TLS 1.1.
Nous obtenons à plusieurs reprises l'entrée suivante dans notre journal système. Quelle en est la cause et comment puis-je y remédier ?
En fait, nous devions activer TLS 1.2 pour .NET 4.x. Cette modification du registre a fonctionné pour moi et a empêché le journal des événements de se remplir de l'erreur Schannel.
Vous trouverez plus d'informations sur la réponse ici
Activez TLS 1.2 au niveau du système (SCHANNEL) :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001(des clés équivalentes sont probablement aussi disponibles pour d'autres versions de TLS)
Indiquez à .NET Framework d'utiliser les versions TLS du système :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001Cela peut ne pas être souhaitable pour les cas limites où les applications .NET Framework 4.x doivent avoir différents protocoles activés et désactivés par rapport au système d'exploitation.
J'ai utilisé IIS Crypto GUI ( nartac.com/Produits/IISCrypto ) pour effectuer ces modifications de registre après avoir rencontré la même erreur. Cliquez simplement sur "Meilleures pratiques" puis sur "Appliquer". Redémarrez. Travail terminé
Ni l'ajout manuel dans le registre ni l'utilisation de IISCrypto n'ont fonctionné pour moi. Je suis toujours à la recherche d'une solution car le fait d'avoir 4 ou ces erreurs toutes les 10 secondes signifie qu'il est presque impossible de vérifier quoi que ce soit d'autre dans le journal des événements.
Set-ItemProperty 'HKL M:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 ' -Name SystemDefaultTlsVersions -Value 1 Set-ItemProperty 'HKL M:\SOFTWARE\wow6432node\Microsoft\.NETFramework\v4.0.303 19' -Name SystemDefaultTlsVersions -Value 1
Après n'avoir apporté aucune modification à un serveur de production, nous avons commencé à recevoir cette erreur. Après avoir essayé plusieurs choses différentes et pensé qu'il y avait peut-être des problèmes de DNS, le redémarrage d'IIS a réglé le problème (le redémarrage du site uniquement n'a pas réglé le problème). Cela ne fonctionnera probablement pas pour tout le monde, mais si nous avions essayé cela en premier, nous aurions gagné beaucoup de temps.
Dans mon cas, le serveur Windows 2016 où cela se produisait était durci pour la conformité de sécurité. Par conséquent, seules des suites de chiffrement spécifiques étaient autorisées. Cela provoquait une incompatibilité lors des connexions HTTPS à des points de terminaison hautement sécurisés (comme Apple Push Notifications API ou APNS).
Pour résoudre ce problème, j'ai téléchargé IIS Crypto et cliqué sur le bouton Suites de chiffrement à gauche, pour afficher la liste des suites de chiffrement activées/désactivées, puis cliqué sur le bouton "Meilleures pratiques" et redémarré le serveur. Problème résolu.
J'ai trouvé ça ici : https://port135.com/schannel-the-internal-error-state-is-10013-solved/
" Permissions de fichiers correctes Corriger les permissions sur le c : \ProgramData\Microsoft\Crypto\RSA\MachineKeys dossier :
Accès pour tous : Spécial S'applique à "Ce dossier uniquement". Accès au service réseau : Read & Execute S'applique à "Ce dossier, ses sous-dossiers et ses fichiers". Accès Administrateurs : Contrôle total S'applique à "Ce dossier, sous-dossiers et fichiers". Accès système : Contrôle total s'applique à "Ce dossier, sous-dossier et fichiers". Accès IUSR : Contrôle total s'applique à 'Ce dossier, sous-dossier et fichiers'. L'état d'erreur interne est 10013 Après ces modifications, redémarrez le serveur. Les erreurs 10013 devraient disparaître."
Je ne sais pas pourquoi celui-ci ne reçoit pas d'amour. Aucun des hacks de registre n'a fonctionné pour moi, mais celui-ci a permis d'éliminer les entrées du journal des événements du système. Cela ne résout toujours pas le problème que j'ai avec les connexions à TLS v1.x utilisant les API .NET dans Windows 11.
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
0 votes
Nous avons également vu exactement la même erreur après la dernière série de mises à jour Windows d'octobre 2018. Nous ne sommes pas encore sûrs de la cause exacte. Sur Windows 10, la seule mise à jour que je vois qui semble avoir de l'importance est KB4462933. La seule autre mise à jour installée pour les correctifs d'octobre est pour Adobe Flash. Je suis presque sûr que cela ne cause rien. Je posterai une réponse ou une mise à jour si je trouve autre chose. Oh, et nous avons également activé FIPS et désactivé SSL 3.0, TLS 1.0 et TLS 1.1. Désactiver FIPS et réactiver TLS 1.0 semble fonctionner pour l'instant comme solution de contournement. N'oubliez pas de redémarrer après les modifications.
1 votes
Je ne peux pas activer TLS 1.0 sinon notre analyse de conformité PCI échoue.
4 votes
Vous devez certainement garder à l'esprit que c'est exactement ce que debe se produire. Vous empêchez les applications d'utiliser une connexion sécurisée de mauvaise qualité. Ensuite, vous devez trouver exactement celles qui génèrent ce diagnostic pour pouvoir les réparer/désinstaller. Trouvez des personnes qui dépannent ce genre de choses tous les jours sur un site comme serverfault.com.