Я установил новый IIS 10 на Windows Server 2019 Core 1809 (ltsc).
Я установил службу wmsvc
и подтвердил, что она работает. Мне удалось подключиться с сервера удаленного администрирования (Windows Server 2019) к серверу IIS через диспетчер IIS через порт wmsvc
, а разработчики смогли использовать WebDeploy
, который также использует wmsvc
на своих машинах с Windows 10.
Затем я приступил к усилению защиты моего Сервера в соответствии с рекомендациями Qualys SSL . Чтобы получить очень хорошую оценку за наборы шифров и т. Д., Я использовал IISCryptoCli
. Я использовал следующую команду в моем IIS:
IISCryptoCli.exe /backup BackupCrypto.reg /template strict /reboot
Почему я использовал шаблон strict
вместо ] лучший
шаблон? Потому что это единственный, который отключает устаревшие TLS 1.0 и TLS 1.1
Теперь дело в том, что с тех пор я не могу подключиться к своему диспетчеру IIS с RemoteServer, и разработчики не могут использовать WebDeploy
больше нет. При попытке подключения мы всегда получаем следующую ошибку:
Базовое соединение было закрыто: при отправке произошла непредвиденная ошибка.
Я нашел следующий сайт , на котором описывается проблема и говорится, что я должен добавить следующие ключи реестра к удаленным машинам, которые хотят подключиться, чтобы принудительно использовать протокол TLS 1.2:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001
что я сделал, а затем перезагрузил машины, однако - все равно не повезло.
Затем я использовал IISCrypto
, чтобы установить протокол TLS на лучший
на моих серверах удаленного администрирования и перезагрузил их - все еще не работает.
после этого я установил свой IIS на лучший
шаблон, который повторно включил TLS 1.0 и TLS 1.1 и перезагрузил мой IIS - все еще не работает.
Что еще я могу сделать? Как я могу включить только TLS 1.2 и по-прежнему иметь работающее удаленное управление IIS через wmsvc
?
Обновление:
Я начинаю думать, что изменение TLS не было ошибкой.
Я вернул следующее:
WAS
и Web-Server
Feature, у меня в основном полностью чистый IIS (я могу подтвердить это, потому что administrator.config
и applicationhost.config
сбрасывается в состояние по умолчанию после того, как я переустановил WAS
и веб-сервер
.) Также WMSVC
был полностью сброшен во время этой операции по-прежнему проблема не устранена. Я нахожу много материалов в Интернете, где у людей возникает та же проблема, но нет решения ... хммм ..
Обновление 2:
Я установил новый IIS сейчас и делал резервную копию в основном между каждым шагом .
Действительно, как только я устанавливаю строгий
шаблон для IISCrypto
, все ломается. Как только я добавлю записи в реестр по умолчанию, все снова заработает.
... И теперь внезапно это работает, когда я использую SchUseStrongCrypto
в двух ключах реестра. Странный.Но как бы то ни было, теперь я счастлив. Похоже, на моем первом IIS что-то испортило что-то в реестре, что так и не удалось восстановить.
У меня есть два сервера 2019 года с установленным IIS. На сервере A установлена служба управления. На сервере B я могу использовать диспетчер IIS для подключения к серверу A с настройками Windows TLS по умолчанию.
Я изменил настройки TLS на сервере A с помощью графического интерфейса IIS Crypt на следующие:
Как видите, включен только TLS 1.2, все наборы шифров включены, но некоторые также можно отключить.
Я все еще могу подключиться с сервера B к серверу A.
Я не пробовал WebDeploy