如何在TC/CE終端升級後排除TMS上的「無HTTPS響應」錯誤

下載選項

  • PDF     (753.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (593.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (484.6 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2017 年 5 月 23 日
文件 ID:211279

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文描述如何對Telepresence Management Suite(TMS)上的「no HTTPS response」(無HTTPS響應)消息進行故障排除。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • Cisco TMS
    • Windows伺服器

    採用元件

    本檔案中的資訊是根據以下軟體版本:

    • TC 7.3.6及更高版本

    • CE 8.1.0及更高版本

    • TMS 15.2.1

    • Windows Server 2012 R2

    • SQL Server 2008 R2和2012

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

    背景資訊

    當終端遷移到TC 7.3.6和Collaboration Endpoint(CE)8.1.0軟體或更高版本時,會出現此問題。

    問題

    當終端升級到TC7.3.6或更高版本或8.1.0或更高版本並且終端與TMS之間的通訊方法設定為傳輸層安全(TLS)後,通過在System > Navigator下選擇Endpoint,在TMS上彈出錯誤消息「no HTTPS response」。

    這種情況導致了這種情況。

    • 根據發行說明,TC 7.3.6和CE 8.1.0及更高版本不再支援TLS 1.0。

    http://www.cisco.com/c/dam/en/us/td/docs/telepresence/endpoint/software/tc7/release_notes/tc-software-release-notes-tc7.pdf

    • Microsoft Windows伺服器預設禁用TLS版本1.1和1.2。
    • 預設情況下,TMS工具在其傳輸層安全選項中使用介質通訊安全。
    • 當TLS版本1.0被禁用,同時啟用TLS版本1.1和1.2時,TMS不會在與終端的TCP三次握手成功後傳送安全套接字層(SSL)客戶端hello。但是仍然可以使用TLS 1.2版加密資料。
    • 使用工具或在Windows登錄檔中啟用TLS版本1.2是不夠的,因為TMS仍然只在其客戶端hello消息中傳送或通告1.0。

    解決方案

    安裝TMS的Windows伺服器需要啟用TLS版本1.1和1.2,這可以通過下一個過程實現。

    在TMS Windows Server上為TMS 15.x及更高版本啟用TLS 1.1和1.2

    步驟1.開啟與安裝了TMS的Windows伺服器的遠端案頭連線。

    步驟2.開啟Windows登錄檔編輯器(開始->運行 — >Regedit)。

    步驟3.進行登錄檔備份。

    • 如果系統提示您輸入管理員密碼或確認,請鍵入密碼或提供確認。

    • 找到並點選要備份的金鑰或子金鑰。

    • 按一下File選單,然後按一下Export

    • 在「Save in」框中,選擇要將備份副本儲存到的位置,然後在「File name」框中鍵入備份檔案的名稱。

    • 按一下「Save」。

    步驟4.啟用TLS 1.1和TLS 1.2。

    • 開啟登錄檔
    • 導覽至HKEY_LOCAL_MACHINE —> SYSTEM —> CurrentControlSet —> Control —> SecurityProviders—> SCHANNEL —>通訊協定(US)
    • 新增TLS 1.1和TLS 1.2支援
    • 建立TLS 1.1和TLS 1.2資料夾
    • 建立子金鑰作為客戶端」和「伺服器」

    • 為建立的每個TLS金鑰為「客戶端」和「伺服器」建立DWORD
     DisabledByDefault [Value = 0]
 Enabled [Value = 1]

    步驟5.重新啟動TMS Windows伺服器以確保TLS生效。

    附註:有關適用版本的具體資訊,請訪問此連結:https://technet.microsoft.com/en-us/library/dn786418%28v=ws.11%29.aspx#BKMK_SchannelTR_TLS12

      

    提示:在您需要重新啟動伺服器之後,可以使用NARTAC工具禁用所需的TLS版本。您可以透過此連結https://www.nartac.com/Products/IISCrypto/Download下載

    TMS工具的安全更改

    啟用正確版本後,請使用此過程更改TMS工具上的安全設定。

    步驟1.開啟TMS工具

    步驟2.導覽至Security Settings > Advanced Security Settings

    步驟3.在傳輸層安全選項下,將通訊安全性設定為中高

    步驟4.按一下「Save」

    步驟5.然後重新啟動伺服器上的Internet資訊服務(IIS)和TMSDatabaseScannerService,並啟動TMSPLCMDirectoryService(如果已停止)

    警告::當TLS選項從「中」更改為「中 — 高」時,將禁用telnet和簡單網路管理協定(SNMP)。這將導致TMSSNMP服務停止,並在TMS Web介面上發出警報。

      

     升級安全設定的注意事項 

    SQL 2008 R2正在使用中並安裝在TMS Windows伺服器上時,我們需要確保同時啟用TLS1.0和SSL3.0,否則SQL服務停止並且不會啟動。

    您必須在事件日誌中看到以下錯誤:

    使用SQL 2012時,如果安裝在TMS Windows伺服器上,則需要更新以處理TLS更改(https://support.microsoft.com/en-us/kb/3052404)

    使用SNMP或Telnet管理的端點顯示「Security violation:不允許Telnet通訊」。

    驗證

    當您將TLS選項從Medium更改為Medium-High時,這可確保TLS版本1.2在TMS發出TCP三次握手命令之後在Client Hello中通告:

    TLS 1.2版已通告:

    如果保留在medium,則TMS在協商階段僅傳送版本1.0的SSL Client hello,該階段指定它作為客戶端支援的最高TLS協定版本,在本例中為TMS。

    對於低於15的TMS版本

    步驟1.即使TLS 1.2版已新增到登錄檔中

      步驟2. TMS伺服器仍不傳送終端在其SSL客戶端hello中支援的版本

    步驟3.問題出在無法更改TMS工具中的TLS選項,因為此選項不可用

    步驟4.然後此問題的解決方法是將TMS升級到15.x,或將TC/CE端點降級到7.3.3,CSCuz71542軟體缺陷(為14.6.X版建立)中會跟蹤此問題。

    TAC Authored

    由思科工程師貢獻

    • Joshua Alero
      Cisco TAC Engineer
    • Geovanny Olivares
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您