Biztonsági hibaelhárítás
A következőre vonatkozik: Windows Azure Pack
Ez a témakör a Windows Serverhez készült Windows Azure Pack biztonságával és hitelesítésével kapcsolatos hibaelhárítási problémákat ismerteti. Számos probléma megoldható a jelen témakörben található Hitelesítő adatok ellenőrzőlista áttekintésével. A következő problémákra vonatkozó javaslatok érhetők el:
Az AD FS integrálása után állítsa alaphelyzetbe a felügyeleti portált az AD használatára
Az AD FS integrálása után nem lehet hozzáférni a bérlői portálhoz
Jogkivonat lekérése a Get-MgmtSvcToken parancsmaggal
Bérlői tanúsítványok programozott használata
Önaláírt tanúsítvány cseréje megbízható tanúsítványra
Tanúsítványokkal kapcsolatos figyelmeztetések elhárítása
Bejelentkezés a felügyeleti portálra több fiókból
SSL-/TLS-beállítások áttekintése
Hitelesítő adatok ellenőrzőlistája
Az alábbi ellenőrzőlista a Windows Azure Pack és az általa használt termékek és szolgáltatók tanúsítványainak, felhasználóneveinek és jelszavainak konfigurálásához nyújt ajánlott eljárásokat.
A microsoftos hitelesítésszolgáltatóval önaláírt tanúsítványokat hozhat létre, ha teszteli vagy nem internetkapcsolattal rendelkező összetevőket, például a felügyeleti portált rendszergazdáknak vagy Rendszergazda API-nak.
Az olyan internetes összetevők esetében, mint a bérlők felügyeleti portálja és a Bérlői nyilvános API, használjon megbízható nyilvános hitelesítésszolgáltatót.
Konfigurálja a Service Provider Foundation alkalmazáskészlet-identitásait az Internet Information Servicesben (IIS) a Service Provider Foundationt futtató kiszolgálón, hogy a tartományi felhasználói hitelesítő adatokat tartalmazó fiókot használják. A Network Services használata nem ajánlott.
Konfigurálja az alkalmazáskészlet-identitásokat a System Center 2012 R2 Virtual Machine Manager és Service Provider Foundation rendszert futtató kiszolgálókon úgy, hogy ugyanazt a tartományi fiókot használják, amely szolgáltatásjogolyként rendelkezik bejelentkezéssel .
A Service Provider Foundation konfigurálása alapszintű hitelesítés használatára az IIS-ben.
Konfiguráljon egy helyi felhasználói fiókot, amely rendszergazdai jogosultságokkal rendelkezik ahhoz, hogy a Service Provider Foundationt futtató kiszolgálón tagja legyen a VMM, a Rendszergazda, a Szolgáltató és a Használat csoportnak. Ezzel a helyi felhasználói fiókkal regisztrálhatja a Service Provider Foundation végpontot a Windows Azure Pack for Windows Serverben.
További információt a Windows Azure Pack, Service Provider Foundation & Virtual Machine Manager hibaelhárítása című blogbejegyzésben talál. A Service Provider Foundation webszolgáltatásainak áttekintéséért lásd: Webszolgáltatások és Connections kezelése a Service Provider Foundationben. Lásd még: A Windows Azure Pack-hitelesítés áttekintése.
Az AD FS integrálása után nem lehet hozzáférni a bérlői portálhoz
A következőre vonatkozik: Active Directory összevonási szolgáltatások (AD FS) konfigurálása Windows Azure Packhez
Probléma
A bérlői bejelentkezési képernyő nem jelenik meg az AD FS (Active Directory összevonási szolgáltatások (AD FS)) konfigurálása után, vagy nem érhető el a bérlők felügyeleti portálja.
Ajánlás
Miután integrálta az AD FS-t abban a tartományban, ahol a Windows Azure Pack telepítve van, a bejelentkezési lap közvetlenül a portálra kerül. Ez a böngésző várt viselkedése.
Ha nem tud hozzáférni a bérlők felügyeleti portáljához, a Kiszolgálókezelő használatával futtassa az ADSI-szerkesztést, és ellenőrizze, hogy az AD SF-kiszolgáló rendelkezik-e egyszerű szolgáltatásnévvel (SPN) a listában. Az SPN-nek http/myADFSServer formában kell lennie.
Vissza a tetejére
Az AD FS integrálása után állítsa alaphelyzetbe a felügyeleti portált az AD használatára
A következőre vonatkozik: Active Directory összevonási szolgáltatások (AD FS) konfigurálása Windows Azure Packhez
Probléma
A Active Directory összevonási szolgáltatások (AD FS) (AD FS) integrálása után vissza szeretne térni az Active Directory (AD) használatára a felügyeleti portálon.
Ajánlás
Az AD FS-hez hasonlóan újra meg kell adnia a megbízhatóságot a felügyeleti portál és a Windows-hitelesítési hely között. A Windows hitelesítési hely a 30072-s port. Használhatja a Windows PowerShell Set-MgmtSvcRelyingPartySettigns és a Set-MgmtSvcIdentityProviderSettings parancsmagokat.
Jogkivonat lekérése a Get-MgmtSvcToken parancsmaggal
A következőre vonatkozik: Windows Azure Pack for Windows Server Automation és Windows PowerShell
Probléma
A Get-MgmtSvcToken nem a várt módon adja vissza a jogkivonatot.
Ajánlás
Ez problémát okozhat, ha a Get-MgmtSvcToken parancsmag nem használja megfelelően az Active Directory összevonási szolgáltatások (AD FS) (AD FS) parancsmagot. A következő szkript kerülő megoldásként definiál egy Get-AdfsToken függvényt.
function Get-AdfsToken([string]$adfsAddress, [PSCredential]$credential)
{
$clientRealm = 'http://azureservices/AdminSite'
$allowSelfSignCertificates = $true
Add-Type -AssemblyName 'System.ServiceModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'
Add-Type -AssemblyName 'System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089'
$identityProviderEndpoint = New-Object -TypeName System.ServiceModel.EndpointAddress -ArgumentList ($adfsAddress + '/adfs/services/trust/13/usernamemixed')
$identityProviderBinding = New-Object -TypeName System.ServiceModel.WS2007HttpBinding -ArgumentList ([System.ServiceModel.SecurityMode]::TransportWithMessageCredential)
$identityProviderBinding.Security.Message.EstablishSecurityContext = $false
$identityProviderBinding.Security.Message.ClientCredentialType = 'UserName'
$identityProviderBinding.Security.Transport.ClientCredentialType = 'None'
$trustChannelFactory = New-Object -TypeName System.ServiceModel.Security.WSTrustChannelFactory -ArgumentList $identityProviderBinding, $identityProviderEndpoint
$trustChannelFactory.TrustVersion = [System.ServiceModel.Security.TrustVersion]::WSTrust13
if ($allowSelfSignCertificates)
{
$certificateAuthentication = New-Object -TypeName System.ServiceModel.Security.X509ServiceCertificateAuthentication
$certificateAuthentication.CertificateValidationMode = 'None'
$trustChannelFactory.Credentials.ServiceCertificate.SslCertificateAuthentication = $certificateAuthentication
}
$ptr = [System.Runtime.InteropServices.Marshal]::SecureStringToCoTaskMemUnicode($credential.Password)
$password = [System.Runtime.InteropServices.Marshal]::PtrToStringUni($ptr)
[System.Runtime.InteropServices.Marshal]::ZeroFreeCoTaskMemUnicode($ptr)
$trustChannelFactory.Credentials.SupportInteractive = $false
$trustChannelFactory.Credentials.UserName.UserName = $credential.UserName
$trustChannelFactory.Credentials.UserName.Password = $password #$credential.Password
$rst = New-Object -TypeName System.IdentityModel.Protocols.WSTrust.RequestSecurityToken -ArgumentList ([System.IdentityModel.Protocols.WSTrust.RequestTypes]::Issue)
$rst.AppliesTo = New-Object -TypeName System.IdentityModel.Protocols.WSTrust.EndpointReference -ArgumentList $clientRealm
$rst.TokenType = 'urn:ietf:params:oauth:token-type:jwt'
$rst.KeyType = [System.IdentityModel.Protocols.WSTrust.KeyTypes]::Bearer
$rstr = New-Object -TypeName System.IdentityModel.Protocols.WSTrust.RequestSecurityTokenResponse
$channel = $trustChannelFactory.CreateChannel()
$token = $channel.Issue($rst, [ref] $rstr)
$tokenString = ([System.IdentityModel.Tokens.GenericXmlSecurityToken]$token).TokenXml.InnerText;
$result = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($tokenString))
return $result
}
# Fill in values
$adfsAddress = 'https://adfshost'
$username = 'domain\username'
$password = 'password'
$securePassword = ConvertTo-SecureString -String $password -AsPlainText -Force
$credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $username,$securePassword
$token = Get-AdfsToken -adfsAddress $adfsAddress -credential $credential
$token
Vissza a tetejére
Bérlői tanúsítványok programozott használata
A következőre vonatkozik: Service Provider Foundation fejlesztői útmutató
Probléma
Létre kell hoznia egy tanúsítványt, és fel kell töltenie a bérlők felügyeleti portáljára, majd programozott módon kell használnia.
Ajánlás
Kövesse az alábbi eljárást:
Hozzon létre egy tanúsítványt (ez lehet önaláírt). A fájlnak .cer kiterjesztéssel kell rendelkeznie.
A bérlők felügyeleti portáljának Saját fiók lapján kattintson a Felügyeleti tanúsítványok elemre.
Adja át a kérelem fejlécében található tanúsítványt a bérlői nyilvános API-nak hitelesítés céljából, az alábbi példában látható módon.
Megjegyzés
Csak azt az előfizetést érheti el, amelyhez a tanúsítvány hozzá van rendelve. Nem fogja tudni törölni az előfizetést a Bérlői nyilvános API-val.
X509Certificate2 mycert3 = new X509Certificate2("C:\\WorkDocs\\Test\\Management Certs\\myCert.cer"); HttpClient httpClient = new HttpClient(); var handler = new WebRequestHandler(); handler.ClientCertificates.Add(mycert3); handler.PreAuthenticate = true; httpClient = new HttpClient(handler); string tenantPublicEndpoint = "https://test.fabrikam.com:30006/"; string subscriptionid = " 7d31eb89-bb1e-4b16-aa3c-993f978b6bc1"; string subscriptionEndpoint = tenantPublicEndpoint + subscriptionid+ "/services/webspaces/defaultwebspace/sites"; var response = httpClient.GetAsync(subscriptionEndpoint); var resultsStr = response.Result.Content.ReadAsStringAsync().Result;
Vissza a tetejére
Önaláírt tanúsítvány cseréje megbízható tanúsítványra
A következőre vonatkozik: A Windows Azure Pack felügyelete a Windows Serverhez
Probléma
Miután önaláírt tanúsítványt használ egy tesztkörnyezethez, a tanúsítványt egy megbízható szolgáltatótól származó tanúsítványra szeretné cserélni.
Ajánlás
Telepítse a tanúsítványt a helyi számítógép személyes tárolójában, és rendelje hozzá a tanúsítványt az Internet Information Services (IIS) kezelőjének minden webhelyéhez. A tanúsítványnak meg kell felelnie a következő követelményeknek:
Megbízható hitelesítésszolgáltatótól származik
Érvényes dátumtartomány
Érvényes használati és célutasítás megadása
Kiszolgálóhitelesítés biztosítása
A tanúsítvány tartománynevének egyeztetése a webhely nevével
RSA-1024 bites vagy újabb titkosítással
A titkos kulcs belefoglalása
Vissza a tetejére
Tanúsítványokkal kapcsolatos figyelmeztetések elhárítása
A következőre vonatkozik: Windows Azure Pack telepítése Windows Serverhez
Probléma
A tanúsítványokkal kapcsolatos figyelmeztetések egy megbízható szolgáltató tanúsítványával együtt megmaradnak.
Ajánlás
Egyes böngészők nem dolgozzák fel a tanúsítványban található Authority Information Access mezőt a tanúsítvány érvényesítése során. A kerülő megoldás a köztes tanúsítványok explicit telepítése a tanúsítványtárolóban. A mezőt támogató hitelesítésszolgáltatók listáját a Windows és Windows Phone-telefon 8 SSL főtanúsítvány-program (tag hitelesítésszolgáltatók) című témakörben találja.
Vissza a tetejére
SSL-/TLS-beállítások áttekintése
A következőre vonatkozik: Windows Azure Pack telepítése Windows Serverhez
Probléma
A gyenge kommunikációs biztonság azt eredményezheti, hogy a rendszer eseménynaplójában Schannel-hibák jelennek meg.
Ajánlás
A Windows Azure Pack kommunikációs csatornák biztonságának javítása érdekében fontolja meg az SSL/TLS-beállítások frissítését. A módosítások implementálása előtt győződjön meg arról, hogy azok nincsenek hatással más alkalmazásokra vagy szolgáltatásokra.
Az SSLv3 letiltása (további információ: Az SSL 3.0 letiltása az Azure-webhelyeken, szerepkörökben és Virtual Machines).
Ne fogadja el a 128 bitesnél kisebb kulcsokat.
Ne fogadja el az olyan gyenge titkosítási módszereket, mint az RC4-SHA és az MD5 (további információ: Bizonyos titkosítási algoritmusok és protokollok használatának korlátozása a Schannelben).
A következő szkriptet futtathatja minden Windows Azure Pack rendszerű gépen, hogy elvégezhesse ezeket a módosításokat:
# PowerShell script to secure TLS/SSL settings.
# Copyright (c) Microsoft Corporation. All rights reserved.
# 20-Jun-2015 Update-ComputerSchannelSettings.ps1
<#
.Synopsis
Apply HTTP.SYS settings
.NOTES
Reference: Http.sys registry settings for Windows
https://support.microsoft.com/en-us/kb/820129
#>
function Set-HttpSysSettings()
{
Write-Verbose -Message "$($Myinvocation.MyCommand.Name)" -Verbose
$regPath = "HKLM:\System\CurrentControlSet\Services\HTTP\Parameters"
# Read original values.
$maxFieldLength = (Get-ItemProperty -Path $regPath -Name MaxFieldLength -ErrorAction SilentlyContinue).MaxFieldLength
$maxRequestBytes = (Get-ItemProperty -Path $regPath -Name MaxRequestBytes -ErrorAction SilentlyContinue).MaxRequestBytes
Write-Verbose -Message "HTTP.SYS settings:`r`n MaxFieldLength = $maxFieldLength`r`n MaxRequestBytes = $maxRequestBytes" -Verbose
# Is update needed?
if ($maxFieldLength -ne 32KB -or $maxRequestBytes -ne 32KB)
{
# Write updated values.
Set-ItemProperty -Path $regPath -Name MaxFieldLength -Value 32KB
Set-ItemProperty -Path $regPath -Name MaxRequestBytes -Value 32KB
# Read updated values.
$maxFieldLength = (Get-ItemProperty -Path $regPath -Name MaxFieldLength).MaxFieldLength
$maxRequestBytes = (Get-ItemProperty -Path $regPath -Name MaxRequestBytes).MaxRequestBytes
Write-Verbose -Message "HTTP.SYS settings (updated):`r`n MaxFieldLength = $maxFieldLength`r`n MaxRequestBytes = $maxRequestBytes" -Verbose
# Changes that are made to the registry will not take effect until you restart the HTTP service.
Write-Warning -Message "HTTP.SYS settings updated; restarting the HTTP service."
Restart-Service -Name "http" -Force -Verbose
}
return $false # No reboot needed.
}
<#
.Synopsis
Apply SSL configuration settings (TLS Cipher Suite Ordering)
.NOTES
Reference: Prioritizing Schannel Cipher Suites
https://msdn.microsoft.com/en-us/library/windows/desktop/bb870930(v=vs.85).aspx
#>
function Set-SchannelCipherOrder()
{
Write-Verbose -Message "$($Myinvocation.MyCommand.Name)" -Verbose
$reboot = $false
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002"
# The ordered suites names need to be specified as a single string (REG_SZ)
# with each suite separated by commas and with no embedded spaces.
# The list of cipher suites is limited to 1023 characters.
$cipherOrder = @(
'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384'
'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256'
'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384'
'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256'
'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384'
'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256'
'TLS_RSA_WITH_AES_256_GCM_SHA384'
'TLS_RSA_WITH_AES_128_GCM_SHA256'
'TLS_RSA_WITH_AES_256_CBC_SHA256'
'TLS_RSA_WITH_AES_128_CBC_SHA256'
'TLS_RSA_WITH_AES_256_CBC_SHA'
'TLS_RSA_WITH_AES_128_CBC_SHA'
)
$cipherOrderList = ($cipherOrder -join ',')
# Read original values.
$functions = (Get-ItemProperty -Path $regPath -Name Functions -ErrorAction SilentlyContinue).Functions
Write-Verbose -Message "Schannel Cipher Order:`r`n Functions = $($functions -split ',' | ConvertTo-Json)" -Verbose
# Is update needed?
if ($functions -ne ($cipherOrder -join ','))
{
# Write updated values.
Set-ItemProperty -Path $regPath -Name Functions -Value $cipherOrderList -Force
# Read updated values.
$functions = (Get-ItemProperty -Path $regPath -Name Functions -ErrorAction SilentlyContinue).Functions
Write-Verbose -Message "Schannel Cipher Order (updated):`r`n Functions = $($functions -split ',' | ConvertTo-Json)" -Verbose
# It is necessary to restart the computer after modifying this setting for the changes to take effect.
Write-Warning -Message "Schannel Cipher Order updated; it is necessary to restart the computer."
$reboot = $true ### TODO: Restart-Computer -Force -Verbose
}
return $reboot
}
<#
.Synopsis
Apply TLS Protocol version configuration
.NOTES
Reference: How to Disable SSL 3.0 in Azure Websites, Roles, and Virtual Machines
https://azure.microsoft.com/blog/2014/10/19/how-to-disable-ssl-3-0-in-azure-websites-roles-and-virtual-machines/
#>
function Set-SchannelProtocols()
{
Write-Verbose -Message "$($Myinvocation.MyCommand.Name)" -Verbose
$reboot = $false
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols"
$protocolSettings = @(
[PSCustomObject]@{ Path = "$regPath\SSL 2.0\Client"; Name = "Enabled"; Value = 0 }
[PSCustomObject]@{ Path = "$regPath\SSL 2.0\Server"; Name = "Enabled"; Value = 0 }
[PSCustomObject]@{ Path = "$regPath\SSL 3.0\Client"; Name = "Enabled"; Value = 0 }
[PSCustomObject]@{ Path = "$regPath\SSL 3.0\Server"; Name = "Enabled"; Value = 0 }
[PSCustomObject]@{ Path = "$regPath\TLS 1.0\Client"; Name = "Enabled"; Value = 1 }
[PSCustomObject]@{ Path = "$regPath\TLS 1.0\Server"; Name = "Enabled"; Value = 1 }
[PSCustomObject]@{ Path = "$regPath\TLS 1.1\Client"; Name = "Enabled"; Value = 1 }
[PSCustomObject]@{ Path = "$regPath\TLS 1.1\Server"; Name = "Enabled"; Value = 1 }
[PSCustomObject]@{ Path = "$regPath\TLS 1.2\Client"; Name = "Enabled"; Value = 1 }
[PSCustomObject]@{ Path = "$regPath\TLS 1.2\Server"; Name = "Enabled"; Value = 1 }
)
# Read original values.
$currentProtocolSettings = @()
foreach ($protocolSetting in $protocolSettings)
{
$value = (Get-ItemProperty -Path $protocolSetting.Path -Name $protocolSetting.Name -ErrorAction SilentlyContinue).$($protocolSetting.Name)
$currentProtocolSettings += [PSCustomObject]@{ Path = $protocolSetting.Path; Name = $protocolSetting.Name; Value = $value }
}
Write-Verbose -Message "Schannel Protocol Settings: $($currentProtocolSettings | Format-Table -Autosize | Out-String)" -Verbose
$observed = $currentProtocolSettings | ConvertTo-Json -Compress
$expected = $protocolSettings | ConvertTo-Json -Compress
# Is update needed?
if ($observed -ne $expected)
{
# Create registry nodes.
$protocolPaths = @(
"$regPath\SSL 2.0"
"$regPath\SSL 2.0\Client"
"$regPath\SSL 2.0\Server"
"$regPath\SSL 3.0"
"$regPath\SSL 3.0\Client"
"$regPath\SSL 3.0\Server"
"$regPath\TLS 1.0"
"$regPath\TLS 1.0\Client"
"$regPath\TLS 1.0\Server"
"$regPath\TLS 1.1"
"$regPath\TLS 1.1\Client"
"$regPath\TLS 1.1\Server"
"$regPath\TLS 1.2"
"$regPath\TLS 1.2\Client"
"$regPath\TLS 1.2\Server"
)
foreach ($protocolPath in $protocolPaths)
{
if (-not (Get-Item -Path $protocolPath -ErrorAction SilentlyContinue))
{
New-Item -Path $protocolPath -ItemType Container -Force | Out-Null
}
}
# Write updated values.
foreach ($protocolSetting in $protocolSettings)
{
Set-ItemProperty -Path $protocolSetting.Path -Name $protocolSetting.Name -Value $protocolSetting.Value -Force
}
# Read updated values.
$currentProtocolSettings = @()
foreach ($protocolSetting in $protocolSettings)
{
$value = (Get-ItemProperty -Path $protocolSetting.Path -Name $protocolSetting.Name -ErrorAction SilentlyContinue).$($protocolSetting.Name)
$currentProtocolSettings += [PSCustomObject]@{ Path = $protocolSetting.Path; Name = $protocolSetting.Name; Value = $value }
}
Write-Verbose -Message "Schannel Protocol Settings (updated): $($currentProtocolSettings | Format-Table -Autosize | Out-String)" -Verbose
# It is necessary to restart the computer after modifying this setting for the changes to take effect.
Write-Warning -Message "Schannel Protocols updated; it is necessary to restart the computer."
$reboot = $true ### TODO: Restart-Computer -Force -Verbose
}
return $reboot
}
#-------------------------------------------------------------------------------
# Main
$reboot = $false
$reboot += Set-HttpSysSettings
$reboot += Set-SchannelCipherOrder
$reboot += Set-SchannelProtocols
if ($reboot)
{
Write-Warning -Message "Restart the computer for settings to take effect."
# TODO: Restart-Computer -Force -Verbose
}
Ssl-/TLS-érvényesítő eszközöket is futtathat a fejlesztéshez szükséges egyéb területek azonosításához.
Vissza a tetejére
Bejelentkezés a felügyeleti portálra több fiókból
A következőre vonatkozik: Windows Azure Pack for Windows Server Automation with Windows PowerShell
Probléma
Több fiókból is be kell tudnia jelentkezni a felügyeleti portálra.
Ajánlás
További tagok hozzáadásához használja az Add-MgmtSvcAdminUser Windows PowerShell parancsmagot. Ezek a rendszerbiztonsági tagok lehetnek explicit felhasználók vagy biztonsági csoportok (ha a jogkivonatok biztonságicsoport-információkat tartalmaznak). Az alábbi példa egy felhasználót ad hozzá. (Feltételezi, hogy a jelszó definiálva van a $pwd változóhoz.)
Add-MgmtSvcAdminUser -Server 'mysqlserver' -UserName 'sa' -Password $pwd -Principal 'user7@contoso.com'
Vissza a tetejére