Распространенные проблемы при включении протокола TLS 1.2

В этой статье приводятся рекомендации по распространенным проблемам, возникающим при включении поддержки TLS 1.2 в Configuration Manager.

Неподдерживаемые платформы

Следующие клиентские платформы поддерживаются Configuration Manager, но не поддерживаются в среде TLS 1.2:

• Apple OS X
• Устройства Windows, управляемые с помощью локальных MDM

Отчеты не отображаются в консоли

Если отчеты не отображаются в консоли Configuration Manager, обязательно обновите компьютер, на котором запущена консоль. Обновите платформа .NET Framework и включите надежное шифрование.

Включена политика безопасности FIPS

Если включить параметр политики безопасности FIPS для клиента или сервера, согласование безопасного канала (Schannel) может привести к использованию TLS 1.0. Это происходит даже при отключении протокола в реестре.

Для исследования включите ведение журнала событий Secure Channel, а затем просмотрите события Schannel в системном журнале. Дополнительные сведения см. в разделе Ограничение использования определенных криптографических алгоритмов и протоколов в Schannel.dll.

сбой связи SQL Server

Если SQL Server обмен данными завершается сбоем и возвращает ошибку SslSecurityError, проверьте следующие параметры:

• Обновление платформа .NET Framework и включение надежного шифрования на каждом компьютере
• Обновление SQL Server на сервере узла
• Обновление SQL Server клиентских компонентов во всех системах, взаимодействующих с SQL. Например, серверы сайта, поставщик SMS и серверы ролей сайта.

Configuration Manager сбои связи с клиентом

Если клиент Configuration Manager не взаимодействует с ролями сайта, убедитесь, что вы обновили Windows для поддержки TLS 1.2 для обмена данными между клиентом и сервером с помощью WinHTTP. Общие роли сайта включают точки распространения, точки управления и точки миграции состояния.

Точка служб Reporting Services завершается сбоем и возвращает ожидаемую ошибку

Если точка служб отчетов не настраивает отчеты, проверка SRSRP.log для следующей записи об ошибке:

The underlying connection was closed: An expected error occurred on a receive.

Чтобы устранить эту проблему, выполните следующие действия.

1. Обновите платформа .NET Framework и включите надежное шифрование на всех соответствующих компьютерах.

2. После установки обновлений перезапустите службу SMS_Executive.

Сбои при отправке точки подключения службы

Если точка подключения службы не отправляет данные в SCCMConnectedService, обновите платформа .NET Framework и включите надежное шифрование на каждом компьютере. После внесения изменений не забудьте перезагрузить компьютеры.

Configuration Manager консоли отображается диалоговое окно подключения Intune

Если диалоговое окно подключения Intune появляется при попытке консоли подключиться к центру администрирования Microsoft Intune, обновите платформа .NET Framework и включите надежное шифрование на каждом компьютере. После внесения изменений не забудьте перезагрузить компьютеры.

Configuration Manager консоли отображается сбой при входе в Azure

При попытке создать приложения с идентификатором Microsoft Entra, если диалоговое окно подключения служб Azure сразу же завершается ошибкой после нажатия кнопки Войти, обновите платформа .NET Framework и включите надежное шифрование. После внесения изменений не забудьте перезагрузить компьютеры.

Configuration Manager облачных служб и TLS 1.2

Виртуальные машины Azure, используемые шлюзом управления облаком, поддерживают TLS 1.2. Поддерживаемые версии клиента автоматически используют TLS 1.2.

SmsAdminui.log может содержать ошибку, аналогичную следующему примеру:

Microsoft.ConfigurationManager.CloudBase.AAD.AADAuthenticationException
Service returned error. Check InnerException for more details
at Microsoft.ConfigurationManager.CloudBase.AAD.AADAuthenticationContext.GetAADAuthResultObject
...
Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException
Service returned error. Check InnerException for more details
at Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext.RunAsyncTask
...
System.Net.WebException
The underlying connection was closed: An unexpected error occurred on a receive.
at System.Net.HttpWebRequest.GetResponse

В системном журнале событий SChannel EventID 36874 можно заносить в журнал со следующим описанием: An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The TLS connection request has failed.

Дополнительные ресурсы

• Рекомендации по обеспечению безопасности на уровне транспорта (TLS) с помощью платформа .NET Framework
• KB 3135244: поддержка TLS 1.2 для Microsoft SQL Server
• Технический справочник по средствам управления шифрованием

Дальнейшие действия

• Включить протокол TLS 1.2 на клиентах
• Включение TLS 1.2 на серверах сайта и удаленных системах сайта