Problemi comuni durante l'abilitazione di TLS 1.2

Questo articolo fornisce consigli per i problemi comuni che si verificano quando si abilita il supporto di TLS 1.2 in Configuration Manager.

Piattaforme non supportate

Le piattaforme client seguenti sono supportate da Configuration Manager ma non sono supportate in un ambiente TLS 1.2:

• Apple OS X
• Dispositivi Windows gestiti con MDM locale

I report non vengono visualizzati nella console

Se i report non vengono visualizzati nella console di Configuration Manager, assicurarsi di aggiornare il computer in cui si esegue la console. Aggiornare .NET Framework e abilitare la crittografia avanzata.

Criteri di sicurezza FIPS abilitati

Se si abilita l'impostazione dei criteri di sicurezza FIPS per il client o un server, la negoziazione Schannel (Secure Channel) può causare l'uso di TLS 1.0. Questo comportamento si verifica anche se si disabilita il protocollo nel Registro di sistema.

Per analizzare, abilitare la registrazione degli eventi del canale sicuro e quindi esaminare gli eventi Schannel nel log di sistema. Per altre informazioni, vedere Limitare l'uso di determinati algoritmi e protocolli di crittografia in Schannel.dll.

SQL Server errore di comunicazione

Se SQL Server comunicazione non riesce e restituisce un errore SslSecurityError, verificare le impostazioni seguenti:

• Aggiornare .NET Framework e abilitare la crittografia avanzata in ogni computer
• Aggiornare SQL Server nel server host
• Aggiornare SQL Server componenti client in tutti i sistemi che comunicano con SQL. Ad esempio, i server del sito, il provider SMS e i server ruolo del sito.

Configuration Manager errori di comunicazione client

Se il client Configuration Manager non comunica con i ruoli del sito, verificare di aver aggiornato Windows per supportare TLS 1.2 per la comunicazione client-server tramite WinHTTP. I ruoli del sito comuni includono punti di distribuzione, punti di gestione e punti di migrazione dello stato.

Il punto di Reporting Services ha esito negativo e restituisce un errore previsto

Se il punto di Reporting Services non configura i report, controllare nel file SRSRP.log la voce di errore seguente:

The underlying connection was closed: An expected error occurred on a receive.

Per risolvere il problema, seguire la procedura seguente:

1. Aggiornare .NET Framework e abilitare la crittografia avanzata in tutti i computer pertinenti.

2. Dopo aver installato gli aggiornamenti, riavviare il servizio SMS_Executive.

Errori di caricamento del punto di connessione del servizio

Se il punto di connessione del servizio non carica i dati in SCCMConnectedService, aggiornare .NET Framework e abilitare la crittografia avanzata in ogni computer. Dopo aver apportato le modifiche, ricordarsi di riavviare i computer.

Configuration Manager console visualizza la finestra di dialogo onboarding di Intune

Se viene visualizzata la finestra di dialogo onboarding di Intune quando la console tenta di connettersi all'interfaccia di amministrazione Microsoft Intune, aggiornare .NET Framework e abilitare la crittografia avanzata in ogni computer. Dopo aver apportato le modifiche, ricordarsi di riavviare i computer.

Configuration Manager console visualizza l'errore di accesso ad Azure

Quando si tenta di creare applicazioni in Microsoft Entra ID, se la finestra di dialogo Onboarding di Servizi di Azure ha esito negativo immediatamente dopo aver selezionato Accedi, aggiornare .NET Framework e abilitare la crittografia avanzata. Dopo aver apportato le modifiche, ricordarsi di riavviare i computer.

Configuration Manager servizi cloud e TLS 1.2

Le macchine virtuali di Azure usate dal gateway di gestione cloud supportano TLS 1.2. Le versioni client supportate usano automaticamente TLS 1.2.

SMSAdminui.log può contenere un errore simile all'esempio seguente:

Microsoft.ConfigurationManager.CloudBase.AAD.AADAuthenticationException
Service returned error. Check InnerException for more details
at Microsoft.ConfigurationManager.CloudBase.AAD.AADAuthenticationContext.GetAADAuthResultObject
...
Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException
Service returned error. Check InnerException for more details
at Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext.RunAsyncTask
...
System.Net.WebException
The underlying connection was closed: An unexpected error occurred on a receive.
at System.Net.HttpWebRequest.GetResponse

Nel registro eventi di sistema è possibile registrare SChannel EventID 36874 con la descrizione seguente: An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The TLS connection request has failed.

Risorse aggiuntive

• Procedure consigliate per la sicurezza del livello di trasporto (TLS) con .NET Framework
• KB 3135244: supporto TLS 1.2 per Microsoft SQL Server
• Informazioni di riferimento tecniche sui controlli crittografici

Passaggi successivi

• Abilitare TLS 1.2 nei client
• Abilitare TLS 1.2 nei server del sito e nei sistemi del sito remoto