概要
如之前在 Microsoft 365 管理中心中(例如,2021 年 2 月的通信 MC240160)所传达的那样,我们将所有联机服务升级到传输层安全性 (TLS) 1.2+。 此更改始于 2020 年 10 月 15 日。 在接下来的几个月里,将继续向所有Microsoft 365 环境添加对 TLS 1.2+ 的支持。 如果尚未采取措施准备此更改,则与 Microsoft 365 的连接可能会受到影响。
未为 TLS 1.2 配置 .NET Framework
症状
访问 SharePoint 时遇到以下一个或多个错误:
令牌请求失败。 >--- System.Net.WebException:远程服务器返回错误:(401) 未授权。 at System.Net.HttpWebRequest.GetResponse()
System.Net.WebException:基础连接已关闭:发送时出现意外错误。
System.IO.IOException:无法从传输连接读取数据:远程主机强行关闭了现有连接。
System.Net.Sockets.SocketException:远程主机强行关闭了现有连接。
业务数据连接元数据存储当前不可用。
决议
有关如何配置 .NET Framework 以启用 TLS 1.2+ 的详细信息,请参阅 配置强加密。
OS 未启用 TLS 1.2
症状
身份验证问题发生在未启用 TLS 1.2 的旧作系统和浏览器中,或者在强制使用旧版 TLS 协议的特定网络配置和代理设置中出现。
决议
Windows 10
解决方案 1:检查密码套件设置
即使在升级到 TLS 1.2 后,请务必确保密码套件设置符合 Azure Front Door 要求,因为 Microsoft 365 和 Azure Front Door 对密码套件提供略有不同的支持。
对于 TLS 1.2,Azure Front Door 支持以下密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
若要添加密码套件,请部署组策略或使用本地组策略,如 使用组策略配置 TLS 密码套件顺序中所述。
重要
编辑密码套件的顺序,以确保这四个套件位于列表顶部(最高优先级)。
或者,您可以使用 Enable-TlsCipherSuite cmdlet 来启用 TLS 密码套件。 例如,运行以下命令以启用密码套件作为最高优先级:
Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" -Position 0
此命令将TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384密码套件添加到位于位置 0 的 TLS 密码套件列表中,这是最高优先级。
重要
运行 Enable-TlsCipherSuite 后,可以通过运行 Get-TlsCipherSuite 来验证密码套件的顺序。 如果订单未反映更改,请检查 SSL 密码套件顺序 组策略设置是否配置默认 TLS 密码套件顺序。
有关详细信息,请参阅 Azure Front Door 支持的当前密码套件是什么?
Windows 8、Windows 7 或 Windows Server 2012/2008 R2(SP1)
如果你使用的是 Windows 8、Windows 7 Service Pack 1(SP1)、Windows Server 2012 或 Windows Server 2008 R2 SP1,请参阅以下解决方案。
- 简易修复工具可以自动添加 TLS 1.1 和 TLS 1.2 安全协议注册表项。 有关详细信息,请参阅 更新以启用 TLS 1.1 和 TLS 1.2 作为 WindowsWinHTTP 中的默认安全协议。
- 对于 Windows 8,请安装 KB 3140245,并创建相应的注册表值。
- 对于 Windows Server 2012, 简易修复工具 可以自动添加 TLS 1.1 和 TLS 1.2 安全协议注册表项。 如果在运行简易修复工具后仍收到间歇性连接错误,请考虑 禁用 DHE 密码套件。 有关详细信息,请参阅 在 Windows 中连接 SQL Server 时应用程序遭遇的强行关闭 TLS 连接错误。
映射到 SharePoint 库的网络驱动器
症状
尝试使用映射到 SharePoint 库的网络驱动器时,会发生身份验证问题或失败。
决议
此问题可能是由于正在使用的操作系统以及 Web 客户端是否支持 TLS 1.2 两个因素引起的。 对 TLS 1.2 的支持如下所示:
- 安装 KB 3140245 并创建相应的注册表值后,Windows 8 和 Windows 7 将支持 TLS 1.2。 有关详细信息,请参阅 更新以在 Windows 中的 WinHTTP 中启用 TLS 1.2 作为默认安全协议。
- Windows 8.1 将在计划于 2021 年第三季度的更新之后支持 TLS 1.2。
- Windows 10 已支持 TLS 1.2。
浏览器不支持 TLS 1.2
症状
由于使用不支持 TLS 1.2 及以上版本的已知应用程序,可能会出现访问 SharePoint 的身份验证问题或访问失败。 以下浏览器不支持 TLS 1.2:
- Android 4.3 和更低的版本
- Firefox 版本 5.0 及更低版本
- Windows 7 及更早版本上的 Internet Explorer 8-10
- Windows Phone 8 上的 Internet Explorer 10
- Safari 6.0.4/OS X10.8.4 及更早版本
决议
升级到更高版本的浏览器。
Azure 应用服务不使用最新版本的 TLS 和 .NET Framework
症状
使用 Azure 应用服务时出现的身份验证问题。
决议
- 将应用服务实例的最低 TLS 版本设置为 TLS 1.2。 有关详细信息,请参阅 “强制实施 TLS 版本”。
- 请确保使用的是最新版本的 .NET Framework。
混合搜索无法爬网或返回结果
症状
在 Microsoft 365 的 SharePoint 中使用混合搜索时,您可能会遇到以下一个或多个问题:
- 爬网失败。
- 不返回任何结果。
- 收到错误消息,例如“现有连接被强行关闭”。
决议
若要解决此问题,请参阅 混合搜索无法爬网或返回结果。