Häufige Probleme beim Aktivieren von TLS 1.2

Dieser Artikel enthält Hinweise zu häufig auftretenden Problemen, wenn Sie tls 1.2-Unterstützung in Configuration Manager aktivieren.

Nicht unterstützte Plattformen

Die folgenden Clientplattformen werden von Configuration Manager unterstützt, in einer TLS 1.2-Umgebung jedoch nicht:

• Apple OS X
• Windows-Geräte, die mit einer lokalen MDM verwaltet werden

Berichte werden in der Konsole nicht angezeigt

Wenn Berichte nicht in der Configuration Manager-Konsole angezeigt werden, stellen Sie sicher, dass Sie den Computer aktualisieren, auf dem Sie die Konsole ausführen. Aktualisieren Sie die .NET Framework, und aktivieren Sie starke Kryptografie.

FIPS-Sicherheitsrichtlinie aktiviert

Wenn Sie die FIPS-Sicherheitsrichtlinieneinstellung für den Client oder einen Server aktivieren, kann die Schannel-Aushandlung (Secure Channel) dazu führen, dass tls 1.0 verwendet wird. Dieses Verhalten tritt auch dann auf, wenn Sie das Protokoll in der Registrierung deaktivieren.

Aktivieren Sie zur Untersuchung die Secure Channel-Ereignisprotokollierung, und überprüfen Sie dann Schannel-Ereignisse im Systemprotokoll. Weitere Informationen finden Sie unter Einschränken der Verwendung bestimmter kryptografischer Algorithmen und Protokolle in Schannel.dll.

SQL Server Kommunikationsfehler

Wenn SQL Server Kommunikation fehlschlägt und einen SslSecurityError-Fehler zurückgibt, überprüfen Sie die folgenden Einstellungen:

• Aktualisieren .NET Framework und Aktivieren einer starken Kryptografie auf jedem Computer
• Aktualisieren SQL Server auf dem Hostserver
• Aktualisieren Sie SQL Server Clientkomponenten auf allen Systemen, die mit SQL kommunizieren. Beispiel: Standortserver, SMS-Anbieter und Standortrollenserver.

Configuration Manager Clientkommunikationsfehler

Wenn der Configuration Manager Client nicht mit Standortrollen kommuniziert, überprüfen Sie, ob Sie Windows aktualisiert haben, um TLS 1.2 für die Client-Server-Kommunikation mithilfe von WinHTTP zu unterstützen. Zu den gängigen Standortrollen gehören Verteilungspunkte, Verwaltungspunkte und Zustandsmigrationspunkte.

Reporting Services-Punkt schlägt fehl und gibt einen erwarteten Fehler zurück.

Wenn der Reporting Services-Punkt keine Berichte konfiguriert, überprüfen Sie SRSRP.log auf den folgenden Fehlereintrag:

The underlying connection was closed: An expected error occurred on a receive.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

1. Aktualisieren Sie .NET Framework, und aktivieren Sie starke Kryptografie auf allen relevanten Computern.

2. Nachdem Sie Updates installiert haben, starten Sie den SMS_Executive-Dienst neu.

Fehler beim Hochladen des Dienstverbindungspunkts

Wenn der Dienstverbindungspunkt keine Daten in SCCMConnectedService hochlädt, aktualisieren Sie die .NET Framework, und aktivieren Sie starke Kryptografie auf jedem Computer. Nachdem Sie die Änderungen vorgenommen haben, denken Sie daran, die Computer neu zu starten.

Configuration Manager-Konsole zeigt das Dialogfeld "Intune-Onboarding" an.

Wenn das Dialogfeld Intune-Onboarding angezeigt wird, wenn die Konsole versucht, eine Verbindung mit dem Microsoft Intune Admin Center herzustellen, aktualisieren Sie die .NET Framework, und aktivieren Sie die starke Kryptografie auf jedem Computer. Nachdem Sie die Änderungen vorgenommen haben, denken Sie daran, die Computer neu zu starten.

Configuration Manager-Konsole zeigt einen Fehler bei der Anmeldung bei Azure an.

Wenn Sie versuchen, Anwendungen in Microsoft Entra ID zu erstellen, tritt beim Onboarding von Azure-Diensten sofort ein Fehler auf, nachdem Sie Anmelden ausgewählt haben, aktualisieren Sie die .NET Framework, und aktivieren Sie die starke Kryptografie. Nachdem Sie die Änderungen vorgenommen haben, denken Sie daran, die Computer neu zu starten.

Configuration Manager Clouddienste und TLS 1.2

Die vom Cloudverwaltungsgateway verwendeten virtuellen Azure-Computer unterstützen TLS 1.2. Unterstützte Clientversionen verwenden automatisch TLS 1.2.

SmsAdminui.log enthält möglicherweise einen Fehler, der dem folgenden Beispiel ähnelt:

Microsoft.ConfigurationManager.CloudBase.AAD.AADAuthenticationException
Service returned error. Check InnerException for more details
at Microsoft.ConfigurationManager.CloudBase.AAD.AADAuthenticationContext.GetAADAuthResultObject
...
Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException
Service returned error. Check InnerException for more details
at Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext.RunAsyncTask
...
System.Net.WebException
The underlying connection was closed: An unexpected error occurred on a receive.
at System.Net.HttpWebRequest.GetResponse

Im System eventLog kann SChannel EventID 36874 mit der folgenden Beschreibung protokolliert werden: An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The TLS connection request has failed.

Zusätzliche Ressourcen

• Bewährte Methoden für transport layer security (TLS) mit dem .NET Framework
• KB-3135244: TLS 1.2-Unterstützung für Microsoft SQL Server
• Technische Referenz zu kryptografischen Steuerelementen

Nächste Schritte

• Aktivieren von TLS 1.2 auf Clients
• Aktivieren von TLS 1.2 auf Siteservern und Remotesitesystemen