Služby na hraničních zařízeních pro přístup k Lync Serveru nemohou vyjednat připojení TLS s federovaným klientem AOL

Příznaky

Klienti zprostředkovatele AOL (America Online) Public Internet Connectivity (PIC) nemohou navázat připojení k místní síti Lync Serveru, která je nakonfigurovaná tak, aby federoval s AOL jako veřejným poskytovatelem. K tomuto problému může dojít za následujících okolností:

  • Vzdálený federovaný klient se nachází v síti America Online (AOL)
  • Služba Lync Server Access Edge je hostovaná v operačním systému Windows Server 2008

Příčina

Operační systém Windows Server 2008 (OS) nabízí vylepšený seznam sad standard AES (Advanced Encryption Standard) (AES) pro používání klientských připojení HTTPS a TLS. Tato připojení jsou pro síťové služby, které vyžadují zabezpečené připojení. Nové sady AES používají operační systém Windows Server 2008 s prioritou ve srovnání se staršími verzemi sad podle našeho závazku k lepším standardům zabezpečení pro internet. Poskytovatel AOL PIC nepodporuje používání sad AES pro připojení TLS se svými federovaným partnery TLS_RSA_WITH_RC4_128_MD5 očekává použití starší šifrované sady TLS_RSA_WITH_RC4_128_MD5 pro zabezpečené připojení TLS po internetu.

Další informace o Windows Server 2008 a jeho implementaci AES najdete v následující dokumentaci k Microsoft TechNetu:

Vylepšení šifrování TLS/SSL

Řešení

Následující kroky poskytují alternativní řešení problému popsaného v části Příznaky v tomto článku znalostní báze.

Poznámka

Řešením, které je tady uvedené, je řešení problému popsaného v částech Příznaky a Příčina. Další problémy s připojením s AOL PIC mohou zobrazovat příznaky, které se podobají tomu, který tento článek znalostní báze obsahuje.

Pomocí tohoto postupu nakonfigurujte server Windows Server 2008, který je hostitelem služby Lync Server Edge Server Access Edge Edge, aby upřednostňován používání sady TLS_RSA_WITH_RC4_128_MD5 cypher pomocí místního počítače serveru Zásady skupiny. Tímto postupem se ujistěte, že pro připojení TLS se službou edge přístupu vzdáleného poskytovatele AOL PIC se používá správná sada cypher.

Z konzoly serveru Windows Server 2008, který je hostitelem služby Lync Server Edge Server Access Edge:

  1. Klikněte na tlačítko Start.

  2. Do okna Hledat zadejte gpedit.msc.

  3. Klikněte pravým tlačítkem myši na ikonu gpedit v podokně Podrobností hledání a pak vyberte Spustit jako správce, abyste otevřeli instanci Editoru místních Zásady skupiny s oprávněními místní správy.

  4. Rozbalte uzel Konfigurace počítače, který je uvedený v části Zásady místního počítače.

  5. Rozbalte uzel Šablony pro správu a potom rozbalte uzel Síť.

  6. Vyhledejte a vyberte uzel Konfigurace SSL Nastavení SSL.

  7. Klikněte pravým tlačítkem myši na zásadu pořadí sady SSL v podokně podrobností v Editoru místních Zásady skupiny a v místní nabídce vyberte Upravit.

  8. V dialogovém okně Pořadí sady šifrování SSL vyberte možnost Povoleno.

  9. V okně s popiskem SSL Cypher Suites: klikněte pravým tlačítkem myši a v místní nabídce vyberte Vybrat vše.

  10. Klikněte pravým tlačítkem myši na vybraný text v okně Ssl Cypher Suites: a v místní nabídce vyberte kopírovat.

  11. Vložte seznam sad SSL do otevřeného textového dokumentu. Například textový notepad.exe editor

    Poznámka

    Informace sady SSL jsou ve formátu odděleném čárkami. Každá položka sady bude na pravé straně zakončovat čárkou (;). Musíte se ujistit, že seznam sady SSL je stále ve formátu s oddělovači.

  12. Vyhledejte TLS_RSA_WITH_RC4_128_MD5 v textovém dokumentu a pomocí funkcí vyjmout a vložit v textovém editoru přesuňte položku TLS_RSA_WITH_RC4_128_MD5 na začátek seznamu sad SSL. Ujistěte se, že TLS_RSA_WITH_RC4_128_MD5 položky následuje čárka a že všechny další čárky jsou ze seznamu odebrány.

    Poznámka

    Pokud je TLS_RSA_WITH_RC4_128_MD5 uvedená v prvních pěti deskriptorech sady cypher v seznamu, není to příčina vašeho problému s připojením TLS s protokolem AOL PIC.

  13. Pomocí textového editoru vyberte editovaný seznam sady SSL a zkopírujte ho do Windows schránky.

  14. Vložte obsah schránky Windows (upravovaný seznam sad SSL) úplně přes existující informace, které jsou v okně Ssl Cypher Suites: (Sady SSL). Tím se nahradí informace ze stávající sady SSL pomocí aktualizovaného seznamu sady SSL, který bude začínat TLS_RSA_WITH_RC4_128_MD5.

  15. Ujistěte se, že je pro zásadu SSL Cypher Suite vybraná možnost Povoleno, a potom klikněte na tlačítko OK.

  16. Tato aktualizace zásad vyžaduje restartování serveru Windows Server 2008, který je hostitelem služby Lync Server Edge Server Access Edge.

Další informace

Další informace o konfiguraci certifikátu, která je potřebná pro AOL PIC, najdete v dokumentaci uvedené tady:

Nastavení certifikátů pro rozhraní externí hrany pro Lync Server 2013

Další informace o tom, jak Windows Server 2012 vyjednávání sady SSL a TLS, najdete v dokumentaci k Microsoft TechNetu uvedené tady:

Co je nového v TLS/SSL (Schannel SSP) v Windows Serveru a Windows

Další informace o tom, jak Windows Server Windows klientských počítačů spravovat sady SSL a TLS, najdete v dokumentaci k Microsoft TechNetu uvedené tady:

245030 Jak omezit používání určitých kryptografických algoritmů a protokolů v Schannel.dll

Stále potřebujete pomoc? Přejděte na web Microsoft Community.