Přístup k hraničním službám Lync Serveru nemůže vyjednat připojení TLS s federovaným klientem AOL

Příznaky

Klienti poskytovatele veřejného připojení k internetu (PIC) služby America Online (AOL) nemůžou navázat připojení k místní síti Lync Serveru, která je nakonfigurovaná pro federaci s AOL jako veřejným poskytovatelem. K tomuto problému může dojít za následujících okolností:

  • Vzdálený federovaný klient se nachází v síti America Online (AOL).
  • Služba Lync Server Access Edge je hostovaná v operačním systému Windows Server 2008.

Příčina

Operační systém Windows Server 2008 (OS) poskytuje vylepšený seznam sad AES (Advanced Encryption Standard) pro používání připojení klientů HTTPS a TLS. Tato připojení jsou pro síťové služby, které vyžadují zabezpečené připojení. Nové sady AES cypher používají operační systém Windows Server 2008 s prioritou ve srovnání se staršími sadami Cypher podle našeho závazku k lepším standardům zabezpečení pro internet. Poskytovatel AOL PIC nepodporuje použití šifrovacích sad AES pro připojení TLS se svými federovanými partnery a očekává použití starší TLS_RSA_WITH_RC4_128_MD5 šifrovací sady pro zabezpečené připojení TLS přes internet.

Další informace o systému Windows Server 2008 a jeho implementaci AES naleznete v následující dokumentaci na webu Microsoft TechNet:

Vylepšení kryptografických služeb TLS/SSL

Řešení

Následující kroky poskytují alternativní řešení problému popsaného v části Příznaky v tomto článku znalostní báze.

Poznámka

Alternativním řešením, který je tady uvedený, je vyřešit pouze problém popsaný v částech Příznaky a Příčina. Jiné problémy s připojením k AOL PIC může zobrazit příznaky, které se podobají tomu, který tento článek znalostní báze obsahuje.

Pomocí těchto kroků nakonfigurujte server Windows Server 2008, který je hostitelem služby Lync Server Edge Server Access Edge, a nastavte prioritu používání sady TLS_RSA_WITH_RC4_128_MD5 Cypher pomocí místního Zásady skupiny počítače serveru. Tyto kroky zajistí, aby se pro připojení TLS s hraniční službou vzdáleného poskytovatele AOL PIC používala správná sada Cypher Suite.

Z konzoly serveru Windows Server 2008, který je hostitelem služby Lync Server Edge Server Access Edge:

  1. Klikněte na tlačítko Start.

  2. Do vyhledávacího okna zadejte gpedit.msc.

  3. Klikněte pravým tlačítkem myši na ikonu gpedit v podokně Podrobností hledání a pak vyberte Spustit jako správce, abyste otevřeli instanci místního editoru Zásady skupiny s oprávněními místního správce.

  4. Rozbalte uzel Konfigurace počítače uvedený v části Zásady místního počítače.

  5. Rozbalte uzel Šablony pro správu a potom rozbalte uzel Síť .

  6. Vyhledejte a vyberte uzel Nastavení konfigurace PROTOKOLU SSL .

  7. V podokně podrobností Editoru místních Zásady skupiny klikněte pravým tlačítkem na zásadu objednávkysady SSL Cypher Suite a pak v místní nabídce zvolte Upravit.

  8. V dialogovém okně Pořadí šifrovací sady SSL vyberte možnost Povoleno.

  9. V okně s popiskem SSL Cypher Suites: klikněte pravým tlačítkem myši a pak v místní nabídce vyberte Vybrat vše .

  10. Klikněte pravým tlačítkem myši na vybraný text v okně SSL Cypher Suites: a pak v místní nabídce vyberte kopírovat .

  11. Vložte seznam sad SSL cypher do otevřeného textového dokumentu. Například textový editor notepad.exe

    Poznámka

    Informace o sadě SSL jsou ve formátu odděleném čárkami. Každá položka sady Cypher skončí čárkami (,) na pravé straně. Musíte se ujistit, že seznam sad cypher SSL zůstane ve formátu s pevnými oddělovači.

  12. Vyhledejte položku TLS_RSA_WITH_RC4_128_MD5 v textovém dokumentu a pomocí funkcí vyjmutí a vložení textového editoru přesuňte položku TLS_RSA_WITH_RC4_128_MD5 na začátek seznamu sad SSL. Ujistěte se, že položka TLS_RSA_WITH_RC4_128_MD5 je následovaná čárkou a že se ze seznamu odeberou všechny další čárky.

    Poznámka

    Pokud je TLS_RSA_WITH_RC4_128_MD5 cypher suite uvedená v prvních pěti popisovačích cypher suite(s) v seznamu, pak to není příčinou vašeho problému s připojením TLS k AOL PIC.

  13. Pomocí textového editoru vyberte upravený seznam sad SSL cypher a zkopírujte ho do schránky Windows.

  14. Vložte obsah schránky systému Windows (upravený seznam sad SSL cypher) zcela přes stávající informace, které jsou v okně SSL Cypher Suites: . Tím se nahradí stávající informace o sadě SSL cypher pomocí aktualizovaného seznamu sad CYPHER SSL, který bude začínat TLS_RSA_WITH_RC4_128_MD5.

  15. Ujistěte se, že je pro zásadu SSL Cypher Suite vybraná možnost Povoleno , a potom klikněte na tlačítko OK .

  16. Tato aktualizace zásad vyžaduje restartování serveru Windows Server 2008, který je hostitelem služby Lync Server Edge Server Access Edge.

Další informace

Další informace o konfiguraci certifikátu, která je požadována pro AOL PIC, najdete v dokumentaci zde:

Nastavení certifikátů pro externí hraniční rozhraní pro Lync Server 2013

Další informace o tom, jak Windows Server 2012 spravuje vyjednávání o sadě SSL a TLS, najdete v dokumentaci k Microsoft TechNetu, která je tady uvedená:

Novinky v protokolu TLS/SSL (Schannel SSP) ve Windows Serveru a Windows

Další informace o tom, jak počítače se systémem Windows Server a klientské počítače s Windows spravují sady CYPHER SSL a TLS, najdete v dokumentaci k Microsoft TechNetu, která je tady uvedená:

245030 Jak omezit použití určitých kryptografických algoritmů a protokolů v Schannel.dll

Stále potřebujete pomoc? Přejděte na web Microsoft Community.