TLS 错误 70 问题

Tom*_*m A 7 ssl windows-server-2008-r2 sql-server-2012 iis-8 windows-server-2012-r2

我在一台服务器 (Windows Server 2012) 上有一个 Web 应用程序 (IIS 8),它连接到另一台服务器 (Windows Server 2008) 上的 SQL Server Reporting Services 2012,直到最近才正常工作。大约一周前,它停止工作,从那时起,我就无法让系统再次工作。前提是我的代码调用 SSRS 来检索报告,然后将其提供给用户(因此出于安全原因,用户永远无法直接查看或访问报告)。

我的日志中的错误消息指出“请求已中止:无法创建 SSL/TLS 安全通道。”
Web 服务器报告“已生成致命警报并将其发送到远程端点。这可能会导致连接终止。TLS 协议定义的致命错误代码为 70。Windows SChannel 错误状态为 105。” 这表示它正在尝试协商一个不受支持的协议。

修复尝试(但失败):

  1. 更新代码以强制使用 TLS 1.2
  2. 对服务器和不会自动打补丁的软件都打了完整的补丁
  3. 检查两台服务器上的防火墙(已禁用)
  4. 使用 IIS Crypto 检查并更新允许的协议等,以禁用两台服务器上的不安全选项。
  5. 出于绝望(因为它出现在搜索结果和 Windows 更新注释中):
  6. 在 https://support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry 为每个 MS 添加了 LdapEnforceChannelBinding 注册表项。
  7. 按照 https://community.spiceworks.com/topic/1794963-schannel-event-id-36888-microsoft-no-help-at-all 上的说明进行安全检查豁免
  8. 从 Windows 更新中删除了最后一组补丁

到目前为止没有任何效果,我唯一的其他想法(但我不确定我想尝试,除非万不得已)是

  • 删除最新的 Windows 补丁集
  • 禁用或删除加密密码(MS 几年前根据 http://searchsecurity.techtarget.com/news/2240234856/Microsofts-Schannel-security-patch-affecting-TLS-connections 推荐了这个
  • 禁用数据执行保护(这种方式已经工作多年了)

在我采取任何这些步骤之前,有没有人对我可以尝试让这两个服务器再次通话的其他任何事情有任何想法?

小智 1

汤姆,我确信你已经克服了这个问题。您是否确保两台计算机的 Internet 选项中都禁用了“使用 TLS 1.0”和“使用 TLS 1.1”设置(控制面板 --> Internet 选项 --> 高级选项卡 --> 安全)?

需要注意的是,与仍然使用 TLS 1.0 /1.1 的任何网站或服务的通信将无法进行。

如果您克服了这个问题,请分享您的工作流程。