Windows密码导致TMS和基于OpenSSL的设备之间出现TLS问题
简介
本文档介绍当思科网真管理套件(TMS)无法连接到其受管设备且思科TMS中报告“无https响应”错误时导致的问题。思科TMS无法启动/管理/监控会议。
背景信息
在尝试此解决方案之前,应先排除TMS和受管设备之间的连接故障。
这些步骤应包括:
1.在TMS服务器上使用捕获软件(例如Wireshark),确保TMS和受管设备之间的网络连接。
2.遵循以下技术说明:
- https://www.cisco.com/c/en/us/support/docs/conferencing/telepresence-management-server/118387-technote-tms-00.html
- https://www.cisco.com/c/en/us/support/docs/conferencing/telepresence-management-suite-tms/211279-How-to-Troubleshoot-No-HTTPS-response.html
问题
对数据包捕获的分析表明,托管TMS的Windows服务器与包含会议网桥和终端的思科TMS受管设备之间存在密码套件协商和使用问题。
解决方案
当从托管TMS的Windows服务器中用于传输层安全(TLS)连接的某些密码被禁用时,它解决了思科TMS报告受管设备“no https response”错误的一些问题。这可以正确启动和监视会议。当您使用https://support.microsoft.com/en-us/help/2992611/ms14-066-vulnerability-in-schannel-could-allow-remote-code-execution-november-11,-2014中记录的详细信息时,如果按照Microsoft的建议禁用这些密码,它可以缓解此问题:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
还发现,当TLS连接从Windows客户端协商时,可能会有其他密码导致问题。有关详细信息,请参阅此站点的KB3172605问题及其解决方案:https://social.technet.microsoft.com/Forums/en-US/ccb5a498-ab3b-441d-a854-06b5e5af3bd7/kb3172605-issues-and-solution?forum=w7itprosecurity。当这些密码被禁用(已用于从托管TMS的Windows Server进行TLS连接)时,它可以解决TMS受管设备的“无https响应”错误的一些问题:
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
如何删除密码?
从TMS服务器删除密码的最简单方法是使用名为Internet信息服务(IIS)加密的第三方工具。从列表中删除这些密码,然后您必须重新启动TMS服务器,更改才能生效。建议在维护时段的非高峰时段执行此操作,以确保用户不受此更改的影响。
https://www.nartac.com/Products/IISCrypto
反馈