Windows密碼導致TMS和基於OpenSSL的裝置之間出現TLS問題
簡介
本文描述當Cisco Telepresence Management Suite(TMS)無法連線到其受管裝置並且在Cisco TMS中報告「no https response」錯誤時引起的問題。Cisco TMS無法啟動/管理/監控會議。
背景資訊
嘗試此解決方案之前,應先排除TMS與受管裝置之間的連線故障。
這些步驟應包括:
1.在TMS伺服器上使用捕獲軟體(例如Wireshark),確保TMS和受管裝置之間的網路連線。
2.請遵循以下技術說明:
- https://www.cisco.com/c/en/us/support/docs/conferencing/telepresence-management-server/118387-technote-tms-00.html
- https://www.cisco.com/c/en/us/support/docs/conferencing/telepresence-management-suite-tms/211279-How-to-Troubleshoot-No-HTTPS-response.html
問題
對資料包捕獲的分析顯示,在承載TMS的Windows伺服器和包含會議網橋和終端的Cisco TMS管理的裝置之間,存在密碼套件協商和使用問題。
解決方案
當來自託管TMS的Windows伺服器的用於傳輸層安全(TLS)連線的某些密碼被禁用時,它解決了思科TMS報告受管裝置「no https response」錯誤的一些問題。這樣可以正確啟動和監控會議。當您使用https://support.microsoft.com/en-us/help/2992611/ms14-066-vulnerability-in-schannel-could-allow-remote-code-execution-november-11,-2014中記錄的詳細資訊時,如果按照Microsoft的建議禁用這些密碼,可以緩解問題:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
還發現,在TLS連線從Windows客戶端協商時,可能會有其他Cipher導致問題。有關詳細資訊,請參閱此網站上的KB3172605問題及其解決方案:https://social.technet.microsoft.com/Forums/en-US/ccb5a498-ab3b-441d-a854-06b5e5af3bd7/kb3172605-issues-and-solution?forum=w7itprosecurity。禁用這些已用於託管TMS的Windows Server的TLS連線的密碼時,它可以解決TMS受管裝置出現「no https response」錯誤的一些問題:
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
如何刪除密碼?
從TMS伺服器中刪除密碼的最簡單方法是使用第三方工具,稱為Internet Information Services(IIS)加密。從清單中刪除這些Ciphers,然後您必須重新啟動TMS伺服器以使更改生效。建議在維護時段的非高峰時間完成此操作,以確保使用者不會受到此更改的影響。
https://www.nartac.com/Products/IISCrypto
意見