Deaktivieren von TLS 1.0/1.1 in Skype for Business Server 2015

Dieser Artikel hilft Ihnen bei der Vorbereitung und Implementierung der Deaktivierung von TLS 1.0 und 1.1 in Ihren Umgebungen. Dieser Prozess erfordert eine umfangreiche Planung und Vorbereitung. Überprüfen Sie sorgfältig alle Informationen in diesem Artikel, während Sie Ihren Plan zum Deaktivieren von TLS 1.0 und 1.1 für Ihre Organisation erstellen. Es gibt viele externe Abhängigkeiten und Konnektivitätsbedingungen, die durch das Deaktivieren von TLS 1.0/1.1 beeinträchtigt werden können. Daher ist eine umfangreiche Planung und Tests erforderlich.

• Hintergrund und Bereich
• Voraussetzungen und Prozess
• Erweiterte Bereitstellungsszenarien

Hintergrund und Bereich

Die wichtigsten Treiber für die Bereitstellung von TLS 1.0 und 1.1 deaktivieren die Unterstützung für Skype for Business Server Lokal sind die Anforderungen des Payment Card Industry (PCI) Security Standards Council und der Federal Information Processing Standards. Weitere Informationen zu PCI-Anforderungen finden Sie hier. Microsoft kann keine Anleitung dazu geben, ob Ihre Organisation diese oder andere Anforderungen erfüllen muss. Sie müssen ermitteln, ob die Deaktivierung von TLS 1.0 und/oder 1.1 in Ihren Umgebungen erforderlich ist.

Microsoft hat ein Whitepaper zu TLS erstellt, das hier verfügbar ist, und wir empfehlen auch die In diesem Exchange-Blog verfügbaren Hintergrundleseprogramme.

Umfang der Unterstützung

Bereich bezieht sich auf Unterstützungsgrenzen. Vollständig getestet und unterstützt bedeutet, dass wir die Deaktivierung von TLS 1.0 und 1.1 für die aufgeführten Produktversionen vollständig unterstützen und getestet haben. Die derzeit untersuchte Methode bedeutet genau das; wir arbeiten aktiv daran, diese Produkte in den Umfang der TLS-Deaktivierungsunterstützung zu bringen. Außerhalb des Gültigkeitsbereichs bedeutet, dass diese Produktversionen das Deaktivieren von TLS 1.0 oder 1.1 nicht unterstützen und mit den angegebenen Ausnahmen nicht funktionieren.

Vollständig getestete und unterstützte Server

• Skype for Business Server 2019 CU1 17.0.2046.123 (Juni 2019) oder höher
• Skype for Business Server 2015 CU9 6.0.9319.548 (Mai 2019) oder höher auf Windows Server 2012 (mit KB-3140245 oder abgelöstem Update), 2012 R2 oder 2016.
• Direktes Upgrade Skype for Business Server 2015 mit CU9 6.0.9319.548 (Mai 2019) oder höher unter Windows Server 2008 R2, 2012 (mit KB-3140245 oder ersetztem Update) oder 2012 R2.
• Exchange Connectivity and Outlook Web App with Exchange Server 2010 SP3 RU19 or higher, guidance here
• Survivable Branch Appliance (SBA) mit Skype for Business Server 2015 CU6 HF2 oder höher (bestätigen Sie bei Ihrem Anbieter, dass er die entsprechenden Updates verpackt hat und für Ihre Appliance verfügbar gemacht wurde)
• Survivable Branch Server (SBS) mit Skype for Business Server 2015 CU6 HF2 oder höher
• Lync Server 2013 Edge Role Only, this is because Edge role does not have a dependency on Windows Fabric 1.0.

Vollständig getestete und unterstützte Clients

• Lync 2013 (Skype for Business) Desktopclient, MSI und C2R, einschließlich Basic 15.0.5023.1000 oder höher
• Skype for Business 2016-Desktopclient, MSI 16.0.4678.1000 oder höher, einschließlich Basic
• Skype for Business 2016 Click to Run Require the April 2018 Aktualisierungen:
  • Monatlich und Semi-Annual gezielt, 16.0.9126.2152 oder höher
  • Semi-Annual und verzögerter Kanal, 16.0.8431.2242 oder höher
• Skype for Business unter Mac 16.15 oder höher
• Skype for Business für iOS und Android 6.19 oder höher
• Microsoft Teams-Räume (früher bekannt als Skype Room System V2 SRS V2) 4.0.64.0 (Dezember 2018) oder höher
• Surface Hub-Update für Team edition basierend auf KB4499162 (Mai 2019, Betriebssystembuild 15063.1835) oder höher
• Skype Web App 2015 CU6 HF2 oder höher (wird mit Server ausgeliefert)

Derzeit wird untersucht

• Anrufqualitäts-Dashboard (neue Installation nach der Deaktivierung von TLS 1.0, 1.1, siehe unten)*

Nicht inbegriffen

Sofern nicht anders angegeben, sind die folgenden Produkte nicht im Bereich der TLS 1.0/1.1-Deaktivierungsunterstützung und funktionieren nicht in einer Umgebung, in der TLS 1.0 und 1.1 deaktiviert wurden. Was dies bedeutet: Wenn Sie weiterhin Server oder Clients außerhalb des Gültigkeitsbereichs verwenden, müssen Sie diese aktualisieren oder entfernen, wenn Sie TLS 1.0/1.1 an einer beliebigen Stelle in Ihrer Skype for Business Server lokalen Bereitstellung deaktivieren müssen.

• Lync Server 2013
• Lync Server 2010
• Windows Server 2008 oder niedriger
• Lync für Mac 2011
• Lync 2013 for Mobile – iOS, iPad, Android oder Windows Phone
• Lync-Windows Store-Client "MX"
• Lync Room System (auch SRSv1 genannt). LRS hat den Support am 9. Oktober 2018 beendet und wird nicht aktualisiert, um TLS 1.2 zu unterstützen.
• Alle Lync 2010-Clients
• Lync Phone Edition – Aktualisierte Anleitung hier.
• Survivable Branch Appliance (SBA) oder Survivable Branch Server (SBS) mit Sitz in 2013
• Cloud Connector Edition (CCE)
• Skype for Business für Windows Phone

Ausnahmen

Lync Server 2013

Lync Server 2013 ist von Windows Fabric Version 1.0 abhängig. In der Entwurfsphase für Lync Server 2013 wurde Windows Fabric 1.0 für seine überzeugende und neue verteilte Architektur ausgewählt, um Replikation, hohe Verfügbarkeit und Fehlertoleranz bereitzustellen. Im Laufe der Zeit haben sowohl Skype for Business Server als auch Windows Fabric diese gemeinsame Architektur erheblich verbessert und in nachfolgenden Versionen erheblich umgestalten können. Der aktuelle Skype for Business 2015 Server verwendet beispielsweise Windows Fabric 3.0.

Leider unterstützt Windows Fabric 1.0 TLS 1.2 nicht. Wir werden Lync Server 2013 jedoch aktualisieren, um mit TLS 1.2 zu arbeiten. Dies wird im nächsten kumulativen Update für Lync Server 2013 verfügbar sein. Wir bieten TLS 1.2-Unterstützung, um Koexistenz-, Migrations-, Verbund- und Hybridszenarien zu ermöglichen.

Wenn Ihre Organisation TLS 1.0 und 1.1 deaktivieren muss und Sie derzeit Lync Server 2013 verwenden, empfehlen wir Ihnen, den Planungsprozess mit der Möglichkeit zu beginnen, dass Sie ein direktes Upgrade oder eine parallele Migration (neue Pools, Verschieben von Benutzern) zu Skype for Business Server 2015 oder höher durchführen müssen. Oder Sie möchten die Migration zu Skype for Business Online beschleunigen.

Dashboard für Anrufqualität

Das lokale Anrufqualitätsdashboard ist derzeit während der Neuinstallation von TLS 1.0 abhängig (beim ersten Installieren in Ihren lokalen Umgebungen). Wir untersuchen derzeit dieses Problem und planen, in naher Zukunft einen Fix zu veröffentlichen. Wenn Sie beabsichtigen, CQD zu installieren und auch TLS 1.0 zu deaktivieren, empfehlen wir, zuerst die CQD-Installation abzuschließen und dann mit der Deaktivierung von TLS 1.0 fortzufahren.

Skype for Business SDN-Manager

Skype for Business SDN-Manager, der SQL verwendet, ist eine Datenbank während der Neuinstallation von TLS 1.0 abhängig. Wenn Sie beabsichtigen, Skype for Business SDN-Manager mitHILFE von SQL eine Datenbank zu installieren und auch TLS 1.0 zu deaktivieren, sollten Sie zuerst Skype for Business SDN-Manager abschließen und dann mit der TLS 1.0-Deaktivierung fortfahren. Falls TLS 1.0 vor der Installation deaktiviert wurde, sollten Sie TLS 1.0 vorübergehend wieder in SQL Server Back-End-Server aktivieren, der zum Hosten Skype for Business SDN Manager SQL-Datenbank verwendet wird.

Geräte von Drittanbietern

Überprüfen Sie auf Drittanbietergeräten wie 3PIP-Telefonen, Videokonferenzen, Reverse-Proxys und Lastenausgleichsgeräten die TLS 1.2-Unterstützung, testen Sie sorgfältig, und wenden Sie sich bei Bedarf an den Anbieter.

Überlegungen zum Verbund beim Deaktivieren von TLS 1.0/1.1 auf Edgeservern

Sie müssen sorgfältig planen und die Auswirkungen der Deaktivierung von TLS 1.0/1.1 auf Ihren Edgeservern berücksichtigen. Sobald TLS 1.0 und 1.1 deaktiviert sind, stellen Sie möglicherweise fest, dass andere Organisationen nicht mehr in der Lage sind, mit Ihrer Organisation zusammenzustehen.

Sie können tls 1.0/1.1 auf Ihren Edgeservern aktiviert lassen, um die Abwärtskompatibilität mit nicht gepatchten (SfB 2015, Lync 2013) oder älteren externen Systemen (2010) aufrechtzuerhalten.

Microsoft kann keine Ratschläge oder Empfehlungen dazu geben, ob Ihr Edgenetzwerk (oder ein Netzwerk) unter den PCI-Standard fällt. die von der jeweiligen Gesellschaft bestimmt werden müssen.

Skype for Business Online ist heute in der Lage, TLS 1.2 zu verwenden, sodass keine Auswirkungen auf Hybrid/Verbund mit Online erwartet werden.

PIC (Public Chat Connectivity) to Skype Consumer service: Wir erwarten nicht, dass die Deaktivierung von TLS 1.0/1.1 auswirkungen auf die Skype-Konnektivität hat; Microsoft PIC-Gateways sind bereits TLS 1.2-fähig.

Voraussetzungen und Prozess

Außer wenn oben erwähnt, funktionieren Clients und Geräte nach der Deaktivierung von TLS 1.0 und 1.1 außerhalb des Gültigkeitsbereichs länger oder überhaupt nicht mehr. Dies kann bedeuten, dass Sie anhalten und auf aktualisierte Anleitungen von Microsoft warten müssen. Sobald Sie alle Anforderungen erfüllt haben und einen Plan zum Beheben von Lücken haben, fahren Sie fort.

Während Skype for Business Server 2019 für die Installation bereit ist, müssen Sie Skype for Business Server 2015 cu9 installieren, erforderliche Updates auf .NET und SQL anwenden, erforderliche Registrierungsschlüssel bereitstellen und schließlich eine separate Runde von Betriebssystemkonfigurationsupdates (d. h. Deaktivieren von TLS 1.0 und 1.1 über den Registrierungsdateiimport). Es ist von entscheidender Bedeutung, dass Sie die Installation aller Erforderlichen abschließen, einschließlich Skype for Business Server 2015 CU6 HF2, bevor Sie TLS 1.0 und 1.1 auf einem beliebigen Server in Ihrer Umgebung deaktivieren. Für jeden Skype for Business Server, einschließlich Edgerolle und SQL-Back-Ends, sind die Updates erforderlich. Stellen Sie außerdem sicher, dass alle unterstützten Clients (im Umfang) auf die erforderlichen Mindestversionen aktualisiert wurden. Vergessen Sie nicht, auch Verwaltungsarbeitsstationen zu aktualisieren.

Wir möchten die übliche Reihenfolge der Vorgänge "inside out" für das Upgrade Skype for Business Servern einhalten. Behandeln Sie Directorpools, beständigen Chat und gekoppelte Pools auf die gleiche Weise wie normalerweise. Hier und hier werden die Bestellungen und Methoden für das Upgrade behandelt.

Prozess auf hoher Ebene

1. Testen Sie alle Schritte in Ihrem Labor vor dem Konfigurieren von Produktionsservern.
2. Sichern Und bewahren Sie eine Kopie der exportierten Registrierung auf jedem einzelnen Server auf, der aktualisiert werden soll. Sie können keine Registrierungen zwischen Servern teilen. sie enthalten eindeutige computerbasierte Schlüssel.
3. Führen Sie ein Upgrade aller Skype for Business 2015-Server auf CU9 oder höher durch. Führen Sie für Skype for Business Server 2019 ein Upgrade auf CU1 oder höher durch.
4. Installieren Sie alle erforderlichen Komponenten auf allen Servern.
5. Bereitstellen der erforderlichen Registrierungsschlüssel.
6. Stellen Sie sicher, dass alle In-Scope-Clients aktualisiert werden.
7. Deaktivieren Sie TLS 1.0 und 1.1 über den Registrierungsimport.
8. Überprüfen Sie, ob Workloads wie erwartet funktionieren.
   • Wenn Probleme auftreten, behandeln und beheben Sie oder
   • Wiederherstellen der Registrierung aus Schritt 2 zum erneuten Aktivieren von TLS 1.0 und 1.1
9. Überprüfen Sie, ob nur TLS 1.2 verwendet wird.

Installieren der erforderlichen Komponenten auf allen Servern

Bevor Sie mit der Deaktivierung von TLS 1.0 und 1.1 auf Betriebssystemebene in Ihren Skype for Business Server 2015-Bereitstellungen beginnen, sind umfangreiche Abhängigkeitsaktualisierungen erforderlich. Es folgen die Mindestversionen, die TLS 1.2 unterstützen können. Stellen Sie alle erforderlichen Updates auf jedem Skype for Business Server in Ihrer Umgebung bereit, bevor Sie mit der Deaktivierung von TLS 1.0 und 1.1 beginnen.

• Skype for Business Server 2015 CU9 6.0.9319.548 (Mai 2019) oder höher
• .NET Framework 4.7 oder höher, wobei SchUseStrongCrypto in der Registrierung aktiviert ist (siehe unten)
• SQL muss auf allen Skype for Business 2015-Servern und -Back-Ends aktualisiert werden. Aktualisieren Sie zuerst Enterprise Edition Pool-SQL-Back-Ends und dann die entsprechenden FEs.
  • SQL Server 2014 SP1 + CU5 oder höher / SQL Server 2012 SP2 + CU16 oder höher / SQL Server 2014 RTM + CU12 oder höher / SQL Server 2014 SP2
  • SQL Server Native Client für SQL Server 2012
  • Microsoft ODBC-Treiber 11 für SQL Server oder höher
  • Freigegebene Verwaltungsobjekte für SQL Server 2014 SP2
  • SQLSysClrTypes für SQL Server 2014 SP2

Grundlegende Schritte zum Installieren von Voraussetzungen in der empfohlenen Reihenfolge der Vorgänge

1. Installieren Sie das Skype for Business Server CU9-Update auf allen Servern.
   1. Installieren Sie das Update mithilfe des Updaters auf Komponenten.
   2. Aktualisieren von Datenbanken nach dokumentierten Verfahren. Informationen zum Skype for Business Server 2015 finden Sie unter KB 3061064.
   3. Überprüfen Sie die Produktfunktionalität in der Bereitstellung, bevor Sie mit anderen Änderungen fortfahren.
2. Laden Sie das .NET 4.7-Offlineinstallationsprogramm herunter.
   1. Referenz: .NET Framework 4.7
   2. Stellen Sie sicher, dass Skype for Business Server 2015-Dienste auf dem Front-End-Server beendet werden.
   3. Verweis: https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
   4. Ex (Standard Edition): Stop-CsWindowsService
   5. Beispiel (Enterprise Edition):Invoke-CsComputerFailover
   6. Führen Sie das Installationspaket aus.
   7. Starten Sie den Server neu.
3. Aktualisieren Sie SQL Express 2014 auf allen Servern.
   1. Verweis: https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server
   2. SQL 2014 SP2 herunterladen
      • Verweis: https://www.microsoft.com/download/details.aspx?id=53168
   3. Kopieren des Installationsmediums in einen Ordner auf dem Server (Beispiel: C:\01_2014SqlSp2)
   4. Sicherstellen, dass Skype for Business Server 2015-Dienste auf dem Front-End-Server beendet werden
      • Ex (Standard Edition): Stop-CsWindowsService
      • Beispiel (Enterprise Edition):Invoke-CsComputerFailover
   5. Öffnen einer Admin Eingabeaufforderung und Aktualisieren aller installierten Komponenten und Instanzen
      • Beispiel: C:\01_2014SqlSp2\SQLServer2014SP2-KB3171021-x64-ENU.exe /qs /IAcceptSQLServerLicenseTerms /Action=Patch /AllInstances
4. Aktualisieren sie SQL Native Client.
   1. Referenz: https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server.
   2. Herunterladen von https://www.microsoft.com/download/details.aspx?id=50402
   3. Stellen Sie sicher, dass Skype for Business Server 2015-Dienste auf dem Front-End-Server beendet werden.
      • Ex (Standard Edition): Stop-CsWindowsServices
      • Beispiel (Enterprise Edition):Invoke-CsComputerFailover
   4. Beenden der Ausführung der installierten SQL-Instanzen
      • Ex: Get-Service 'MSSQL$RTCLOCAL' | Stop-Service
      • Ex: Get-Service 'MSSQL$LYNCLOCAL' | Stop-Service
      • Ex (nur Standard Edition): Get-Service 'MSSQL$RTC' | Stop-Service
   5. Installieren Sie das Update.
5. Aktualisieren Sie ODBC-Treiber 11 für SQL Server so, dass unterstützung für TLS 1.2 (KB 3135244) enthalten ist.
   1. Laden Sie ODBC-Treiber 11 für SQL Server – Windows herunter.
   2. Stellen Sie sicher, dass Skype for Business Server 2015-Dienste auf dem Front-End-Server beendet werden.
      • Beispiel (Standard Edition): Stop-CsWindowsService
      • Beispiel (Enterprise Edition):Invoke-CsComputerFailover
   3. Installieren Sie das Update.
6. Bereitstellen der erforderlichen Registrierungsschlüssel.

Erforderliche Registrierungsschlüssel

Kopieren/fügen Sie den folgenden Test in Editor ein, benennen Sie TLSPreReq.reg oder einen Namen Ihrer Wahl um, und importieren Sie dann:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

Für SQL-Back-Ends für Enterprise Edition Pools sollten voraussetzungen und TLS-Deaktivierung wie sql- oder Betriebssystemupdates behandelt werden. Weitere Informationen finden Sie unter:https://learn.microsoft.com/skypeforbusiness/manage/topology/patch-or-update-a-back-end-or-standard-edition-server

Obwohl sowohl die erforderlichen Anwendungs- als auch die TLS-Deaktivierungsschritte kombiniert werden können, wird dringend empfohlen, alle Voraussetzungen anzuwenden, bevor Sie mit der Deaktivierung von TLS 1.0 und 1.1 auf Betriebssystemebene fortfahren. Die bewährte Methode wäre, die Umgebung vorzubereiten, indem alle Voraussetzungen bereitgestellt werden, überprüft wird, ob alle Workloads ordnungsgemäß und erwartungsgemäß funktionieren, und dann zu einem späteren Zeitpunkt mit TLS 1.0/1.1 deaktiviert werden.

Deaktivieren von TLS 1.0 und 1.1 über den Registrierungsimport

Bevor Sie mit den nächsten Schritten fortfahren, stellen Sie sicher, dass Sie alle Voraussetzungen erfüllt und Skype for Business Server aktualisiert haben.

Kopieren Sie den folgenden Text in eine Editor-Datei, und benennen Sie sie in "TLSDisable.reg" um:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]

"Functions"="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"AllowInsecureRenegoClients"=dword:00000000

"AllowInsecureRenegoServers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 256/256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA384]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA512]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\ECDH]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

Importieren Sie die REG-Datei auf jedem Server, auf dem Sie TLS 1.0 und 1.1 deaktivieren möchten. Starten Sie den Server neu. Sobald die Dienste wieder online sind, wechseln Sie zum nächsten Server. Der Ansatz für Enterprise Edition Pools ist der gleiche, den Sie für jedes Betriebssystemupdate verwenden würden.

Möglicherweise haben Sie bemerkt, dass wir hier mehr tun als nur TLS 1.0 und 1.1 zu deaktivieren. Wir unterstützen die Neuanordnung von Cipher Suite (wie oben gezeigt) und das Deaktivieren einiger älterer schwacher Verschlüsselungen. Dies ist das erste Mal, dass wir diese Änderungen an SCHANNEL und der Krypto-API auf Skype for Business Server offiziell unterstützt haben, und es ist wichtig zu beachten, dass diese Änderungen die einzigen sind, die wir unterstützen und zu diesem Zeitpunkt getestet haben. Wir können in Zukunft zusätzliche Konfigurationen in Betracht ziehen, aber ändern Sie die Registrierungsimportdatei in Ihrer Implementierung vorerst nicht.

Überprüfen, ob Workloads wie erwartet funktionieren

Nachdem TLS 1.0 und 1.1 in Ihrer Umgebung deaktiviert wurden, stellen Sie sicher, dass alle Ihre Hauptarbeitslasten wie erwartet funktionieren, z. B. Anwesenheitsinformationen für Chatnachrichten&, P2P-Anrufe, Enterprise-VoIP usw.

Überprüfen, ob nur TLS 1.2 verwendet wird

Lassen Sie Ihr Sicherheitsteam eine neue Überwachung Skype for Business Datenverkehrs durchführen, um sicherzustellen, dass die älteren Protokolle TLS 1.0 und 1.1 nicht mehr verwendet werden.

Alternativ können Sie Internet Explorer verwenden, um TLS-Verbindungen mit Webdiensten ab Skype for Business Server 2015 zu testen, nachdem TLS 1.0 und TLS 1.1 deaktiviert wurden.

1. Starten Sie Internet Explorer.
2. Wählen Sie Extras>Internetoptionen aus.
3. Wählen Sie die Registerkarte Erweitert aus.
4. Scrollen Sie unter "Einstellungen" nach unten.
5. Stellen Sie sicher, dass TLS 1.0, TLS 1.1 und TLS 1.2 aktiviert sind.
6. Durchsuchen Sie die URL des internen Webdiensts Ihres SfB 2015-Pools (sollte eine erfolgreiche Verbindung herstellen).
7. Zurück in Internet Explorer ein, und deaktivieren Sie die Option, nur TLS 1.2 zu verwenden.
8. Durchsuchen Sie die URL des internen Webdiensts Ihres SfB 2015-Pools erneut (sollte keine Verbindung herstellen).

Erweiterte Bereitstellungsszenarien

Da einige Voraussetzungen für Abhängigkeiten erforderlich sind, um TLS 1.2 in Skype for Business Server 2015 zu unterstützen, schlägt die Installation von RTM-Medien auf jedem System fehl, auf dem TLS 1.0 und 1.1 deaktiviert wurden.

Bereitstellen von Neuen Standard Edition-Servern oder Enterprise Edition Pools, nachdem TLS 1.0 und 1.1 in Ihrer Umgebung deaktiviert wurden.

Option 1: Verwenden Sie SmartSetup. Beachten Sie, dass SmartSetup aktualisiert wird, um die aktualisierten SQL-Binärdateien in einem zukünftigen CU aufzunehmen, und dieser Artikel wird in Zukunft aktualisiert.

Option 2: Lokale SQL-Instanzen vorinstalliert (RTCLOCAL und LYNCLOCAL)

1. Laden Sie SQL Express 2014 SP2 (SQLEXPR_x64.exe) herunter, und kopieren Sie es in den lokalen Ordner auf FE. Angenommen, der Ordnerpfad <SQL_FOLDER_PATH>.

2. Starten Sie PowerShell oder eingabeaufforderung, und navigieren Sie zu <SQL_FOLDER_PATH>.

3. Erstellen Sie die RTCLOCAL SQL-Instanz, indem Sie den folgenden Befehl ausführen. Warten Sie, bis SQLEXPR_x64.exe abgeschlossen ist, bevor Sie fortfahren:

   SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=RTCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT="NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automati

4. Erstellen Sie die LYNCLOCAL SQL-Instanz, indem Sie den folgenden Befehl ausführen. Warten Sie, bis SQLEXPR_x64.exe abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren:

   SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=LYNCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT="NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automatic

5. Führen Sie Skype for Business Server 2015 RTM-Setup aus.

6. Führen Sie die verbleibenden Schritte aus dem Abschnitt "Voraussetzungen" oben aus.

Option 3: Sie können binäre Binärdateien in einem lokalen Installationsmedienverzeichnis auch wie folgt manuell ersetzen:

1. Installieren der erforderlichen Komponenten für Skype for Business Server
2. Installieren von .NET 4.7:
   • Hinweis: In Skype for Business Server 2015 KU5 (6.0.9319.281) wurde erstmals Unterstützung für .NET 4.7 eingeführt. Daher werden wir in den nachfolgenden Schritten die Kernkomponenten vor der Hauptinstallation aktualisieren.
   • Download: https://dotnet.microsoft.com/download/dotnet-framework/net47.
   • Referenz: Software, die vor einer Skype for Business Server 2015-Bereitstellung installiert werden sollte
3. KOPIEREN VON ISO-Dateien/Ordnern:
   • Öffnen Sie das Stammverzeichnis des Laufwerks, an das es angefügt ist, wenn die Skype for Business Server 2015 ISO angefügt ist (Beispiel: D:) in Explorer.
   • Kopieren Sie alle Ordner und Dateien in einen Ordner auf einem lokalen Datenträger (z. B. C:\SkypeForBusiness2015ISO).
   • Hinweis: Vor der Installation von Komponenten müssen einige Dateien für die Unterstützung von TLS 1.2 aktualisiert werden.
4. MSI/EXE-Pakete ersetzen:
   • Ersetzen Sie die vorhandenen MSI- und EXE-Pakete im Ordner "/Setup/amd64/" des Installationsmediums auf dem lokalen Computer.
   • SQL 2014 SP2 Express: https://www.microsoft.com/download/details.aspx?id=53167
     • Benennen Sie SQLEXPR_x64 auf dem lokalen Computer um, und ersetzen Sie die vorhandene Datei im Ordner "Setup/amd64/" des Installationsmediums.
   • SQL Native Client:https://www.microsoft.com/download/details.aspx?id=50402
     • Hinweis: Benennen Sie dies bei Bedarf in sqlncli.msi um, und ersetzen Sie dann die vorhandene Datei, die im Ordner "Setup/amd64/" des Installationsmediums vorhanden ist.
   • SQL-Verwaltungsobjekte: https://www.microsoft.com/download/details.aspx?id=53164
     • Hinweis: Das Feature pack enthält viele Elemente, die heruntergeladen werden können. Wählen Sie diese Option aus, um nur SharedManagementObjects.msi herunterzuladen.
     • Hinweis: Ersetzen Sie die vorhandene Datei, die im Ordner "Setup/amd64/" des Installationsmediums vorhanden ist.
   • SQL CLR-Typen: https://www.microsoft.com/download/details.aspx?id=53164
     • Hinweis: Das Feature pack enthält viele Elemente, die heruntergeladen werden können. Nur CQLSysClrTypes.msi herunterladen
     • Hinweis: Ersetzen Sie die vorhandene Datei, die im Ordner "Setup/amd64/" des Installationsmediums vorhanden ist.
5. Installieren von Kernkomponenten:
   • Führen Sie Setup.exe im Setup/amd64/-Ordner des Installationsmediums aus. Befolgen Sie die Anweisungen zum Installieren von Kernkomponenten
   • Schließen Sie Kernkomponenten.
6. Kernkomponenten aktualisieren:
   • Laden Sie das Skype for Business Update-Installationsprogramm herunter.
   • Führen Sie das Installationsprogramm aus, um Core-Komponenten zu aktualisieren und die Leistungsindikatoren zu installieren.
   • Hinweis: Ab der Veröffentlichung von CU6HF2 wird das Feature für automatische Updates derzeit nur bis zu CU6 installiert. Daher muss der Updater separat ausgeführt werden, um Die Kernkomponenten auf 6.0.9319.516 zu aktualisieren.
   • Verweis: https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
7. Installieren von Verwaltungstools (optional):
   • Dadurch werden microsoft SQL Server 2012 Native Client, SQL Server 2014 Management Objects (x64) und Microsoft System CLR Types für SQL Server 2014 (x64) mithilfe der aktualisierten Dateien installiert. Darüber hinaus stehen der Topologie-Generator und Systemsteuerung Skype for Business Server 2015 auf dem lokalen Computer zur Verfügung.
8. Installieren des lokalen Konfigurationsspeichers (Schritt 1):
   • Öffnen Sie den Bereitstellungs-Assistenten, klicken Sie auf "Skype for Business Server System installieren oder aktualisieren", und klicken Sie auf "Ausführen" in Schritt 1: Installieren des lokalen Konfigurationsspeichers.
   • Klicken Sie im Dialogfeld "Lokalen Konfigurationsspeicher installieren" auf "Weiter".
   • Überprüfen Sie die Ergebnisse, und stellen Sie sicher, dass der Vorgangsstatus abgeschlossen ist. Überprüfen Sie die resultierende Protokolldatei, indem Sie auf "Protokoll anzeigen" klicken.
   • Klicken Sie auf Fertig stellen.
9. Einrichten oder Entfernen Skype for Business Server Komponenten (Schritt 2):
   • Öffnen Sie den Bereitstellungs-Assistenten, klicken Sie auf "Skype for Business Server System installieren oder aktualisieren", und klicken Sie auf "Ausführen" in Schritt 2: Einrichten oder Entfernen Skype for Business Server Komponenten
   • Klicken Sie im Dialogfeld "Skype for Business Server Komponenten einrichten" auf "Weiter".
   • Überprüfen Sie das Protokoll mithilfe des Ansichtsprotokolls, und überprüfen Sie, ob das Setup ohne Probleme abgeschlossen wurde.
   • Klicken Sie auf Fertig stellen.
10. Fahren Sie mit der zusätzlichen Installation und Konfiguration nach Bedarf fort (Sie können die normalen Installationsverfahren an dieser Stelle fortsetzen).