Deaktivieren von TLS 1.0/1.1 in Skype for Business Server 2015Disable TLS 1.0/1.1 in Skype for Business Server 2015

In diesem Artikel werden die erforderlichen Anleitungen bereitgestellt, mit denen Sie die Deaktivierung von TLS 1,0 und 1,1 in ihren Umgebungen vorbereiten und implementieren können.The purpose of this article is to provide the necessary guidance for you to prepare for and implement disabling TLS 1.0 and 1.1 in your environments. Dieser Vorgang erfordert eine umfassende Planung und Vorbereitung.This process requires extensive planning and preparation. Bitte überprüfen Sie sorgfältig alle Informationen in diesem Artikel, während Sie Ihren Plan zur Deaktivierung von TLS 1,0 und 1,1 für Ihre Organisation festlegen.Please carefully review all of the information in this article as you make your plan to disable TLS 1.0 and 1.1 for your organization. Beachten Sie, dass es viele externe Abhängigkeiten und Verbindungsbedingungen gibt, die durch das Deaktivieren von TLS 1.0/1.1 beeinträchtigt werden können, daher ist eine umfassende Planung und Prüfung gewährleistet.Note that there are many external dependencies and connectivity conditions that could be impacted by disabling TLS 1.0/1.1, so extensive planning and testing is warranted.

In diesem ArtikelIn this article

HintergrundBackground

Die primären Treiber für die Bereitstellung von TLS 1,0 und 1,1 für die Unterstützung von Skype for Business Server lokal sind die Standards für die Datenverarbeitung in der Zahlungskartenbranche (PCI) Security Standards Council und Federal Information Processing Standards.The primary drivers for providing TLS 1.0 and 1.1 disable support for Skype for Business Server On-Premises are Payment Card Industry (PCI) Security Standards Council and Federal Information Processing Standards requirements. Weitere Informationen zu PCI-Anforderungen finden Sie hier.More information for PCI requirements can be found here. Microsoft kann keine Anleitungen dazu liefern, ob Ihre Organisation diese oder andere Anforderungen erfüllen muss.Microsoft cannot provide guidance on whether or not your organization is required to adhere to these or other requirements. Sie müssen feststellen, ob es für Sie erforderlich ist, TLS 1,0 und/oder 1,1 in ihren Umgebungen zu deaktivieren.You must determine if it is required for you to disable TLS 1.0 and/or 1.1 in your environments.

Microsoft hat hierein Whitepaper zu TLS erstellt, und wir empfehlen auch die Hintergrund Lektüre, die in diesem Exchange-Blogverfügbar ist.Microsoft has produced a white paper on TLS available here, and we also recommend the background reading available in this Exchange blog.

UnterstützungsbereichSupportability Scope

Der Bereich bezieht sich auf Unterstützungs Begrenzungen.Scope refers to supportability boundaries. Für Skype for Business Server lokal im Bereich bedeutet, dass wir die Deaktivierung von TLS 1,0 und 1,1 für die aufgelisteten Produktversionen vollständig unterstützen und getestet haben.For Skype for Business Server On-Premises, in scope means we fully support and have tested disabling of TLS 1.0 and 1.1 for the listed product versions. Derzeit untersucht wird , bedeutet genau dies; Wir untersuchen aktiv, wie diese Produkte in den Anwendungsbereich der TLS-Deaktivierung gebracht werden.Currently being investigated means just that; we are actively investigating bringing these products into scope for TLS disable support. Außerhalb des gültigen Bereichs bedeutet, dass diese Produktversionen die Deaktivierung von TLS 1,0 oder 1,1 nicht unterstützen und mit bekannten Ausnahmen nicht funktionieren.Out of scope means these product versions do not support disabling TLS 1.0 or 1.1 and will not work, with noted exceptions.

Vollständig getestete und unterstützte ServerFully tested and supported servers

  • Skype for Business Server 2019Skype for Business Server 2019
  • Skype for Business Server 2015 CU6 HF2 6.0.9319.516 (März 2018 Update) und höher:Skype for Business Server 2015 CU6 HF2 6.0.9319.516 (March 2018 update) and higher on:
    • Windows Server 2012 (mit KB 3140245 oder Ersetzen von Update), 2012 R2 oder 2016Windows Server 2012 (with KB 3140245 or superseding update), 2012 R2 or 2016
  • In-Place-Upgrade von Skype for Business Server 2015, mit CU6 HF2 und höherIn-place Upgraded Skype for Business Server 2015, with CU6 HF2 and higher on
    • Windows Server 2008 R2, 2012 (mit KB 3140245 oder Ersetzen von Update) oder 2012 R2Windows Server 2008 R2, 2012 (with KB 3140245 or superseding update), or 2012 R2
  • Exchange-Konnektivität und Outlook Web App mit Exchange Server 2010 SP3 RU19 oder höher, Anleitung hierExchange Connectivity and Outlook Web App with Exchange Server 2010 SP3 RU19 or higher, guidance here
  • Überlebensfähige Branch Appliance (SBA) mit Skype for Business Server 2015 CU6 HF2 oder höher (bestätigen Sie bei Ihrem Anbieter, dass Sie die entsprechenden Updates verpackt haben und für Ihre Appliance zur Verfügung gestellt wurden)Survivable Branch Appliance (SBA) with Skype for Business Server 2015 CU6 HF2 or higher (confirm with your vendor that they packaged the appropiate updates and have been made available for your appliance)
  • Survivor Branch Server (SBS) mit Skype for Business Server 2015 CU6 HF2 oder höherSurvivable Branch Server (SBS) with Skype for Business Server 2015 CU6 HF2 or higher
  • Nur lync Server 2013- Edge-Rolle, das liegt daran, dass die Edge-Rolle keine Abhängigkeit von Windows Fabric 1,0 aufweist.Lync Server 2013 Edge Role Only, this is because Edge role does not have a dependency on Windows Fabric 1.0.

Vollständig getestete und unterstützte ClientsFully tested and supported clients

  • Lync 2013 (Skype for Business)-Desktop Client, MSI und C2R, einschließlich grundlegender 15.0.5023.1000 und höherLync 2013 (Skype for Business) Desktop Client, MSI and C2R, including Basic 15.0.5023.1000 and higher
  • Skype for Business 2016-Desktop Client, MSI 16.0.4678.1000 und höher, einschließlich BasicSkype for Business 2016 Desktop Client, MSI 16.0.4678.1000 and higher, including Basic
  • Für Skype for Business 2016-Click-to-Run sind die Updates vom April 2018 erforderlich:Skype for Business 2016 Click to Run Require the April 2018 Updates:
    • Monatlich und halbjährlich ausgerichtet, 16.0.9126.2152 und höherMonthly and Semi-Annual Targeted, 16.0.9126.2152 and higher
    • Halbjährlicher und verzögerter Kanal, 16.0.8431.2242 und höherSemi-Annual and Deferred Channel, 16.0.8431.2242 and higher
  • Skype for Business für Mac 16,15 und höherSkype for Business on Mac 16.15 and higher
  • Skype for Business für IOS und Android 6,19 und höherSkype for Business for iOS and Android 6.19 and higher
  • Skype Web App 2015 CU6 HF2 und höher (ausgeliefert mit Server)Skype Web App 2015 CU6 HF2 and higher (ships with Server)

Derzeit untersuchtCurrently being investigated

GeräteDevices

  • Lync Room System (akaLync Room System (a.k.a. SRSv1)SRSv1)
  • Microsoft Teams-RäumeMicrosoft Teams Rooms
  • Surface HubSurface Hub
  • 2015-basierte, überlebensfähige Branch Appliance (SBA) oder Survivable Branch Server (SBS)2015 based Survivable Branch Appliance (SBA) or Survivable Branch Server (SBS)

AndereOther

  • Dashboard für die Anrufqualität (neue Installation nach TLS 1,0, 1,1 wurden deaktiviert, siehe unten) *Call Quality Dashboard (new install after TLS 1.0, 1.1 have been disabled, see below)*

Außerhalb des BereichsOut of scope

Sofern nicht anders angegeben, sind die folgenden Produkte nicht im Bereich für die TLS 1.0/1.1-Unterstützung deaktiviert und funktionieren in einer Umgebung, in der TLS 1,0 und 1,1 deaktiviert wurden.Except where noted, the following products are not in scope for TLS 1.0/1.1 disable support and will not function in an environment where TLS 1.0 and 1.1 have been disabled. Was dies bedeutet: Wenn Sie weiterhin Server oder Clients außerhalb des Geltungsbereichs verwenden, müssen Sie diese aktualisieren oder entfernen, wenn Sie TLS 1.0/1.1 an einer beliebigen Stelle in Ihrer lokalen Skype for Business Server-Bereitstellung deaktivieren müssen.What this means: if you still utilize out-of-scope servers or clients, you must update or remove these if you need to disable TLS 1.0/1.1 anywhere in your Skype for Business Server on-premises deployment.

  • Lync Server 2013Lync Server 2013
  • Lync Server 2010Lync Server 2010
  • Windows Server 2008 und niedrigerWindows Server 2008 and lower
  • Lync für Mac 2011Lync for Mac 2011
  • Lync 2013 für Handys – IOS, iPad, Android oder Windows PhoneLync 2013 for Mobile - iOS, iPad, Android or Windows Phone
  • Lync "MX" Windows Store-ClientLync "MX" Windows Store client
  • Alle lync 2010-ClientsAll Lync 2010 clients
  • Lync Phone Edition – aktualisierte Anleitungen finden Sie hier.Lync Phone Edition - updated guidance here.
  • 2013-basierte, überlebensfähige Branch Appliance (SBA) oder Survivable Branch Server (SBS)2013 based Survivable Branch Appliance (SBA) or Survivable Branch Server (SBS)
  • Cloud Connector Edition (CCE)Cloud Connector Edition (CCE)
  • Microsoft Skype for Business für Windows PhoneSkype for Business for Windows Phone

AusnahmenExceptions

Lync Server 2013Lync Server 2013

Lync Server 2013 übernimmt eine Abhängigkeit von Windows Fabric, Version 1,0.Lync Server 2013 takes a dependency on Windows Fabric version 1.0. In der Entwurfsphase von lync Server 2013 wurde Windows Fabric 1,0 für seine überzeugende und neue verteilte Architektur ausgewählt, um Replikation, höchste Verfügbarkeit und Fehlertoleranz bereitzustellen.In the design phase for Lync Server 2013, Windows Fabric 1.0 was chosen for its compelling and new distributed architecture to provide replication, high availability, and fault tolerance. Im Laufe der Zeit haben sowohl Skype for Business Server als auch Windows Fabric diese gemeinsame Architektur erheblich verbessert, wobei in späteren Versionen ein erhebliches Re-Design zu finden ist.Over time, both Skype for Business Server and Windows Fabric have greatly improved this joint architecture with significant re-design in subsequent versions. Der aktuelle Skype for Business 2015-Server verwendet beispielsweise Windows Fabric 3,0.Current Skype for Business 2015 Server uses Windows Fabric 3.0, for example.

Leider unterstützt Windows Fabric 1,0 TLS 1,2 nicht. Wir werden jedoch lync Server 2013 aktualisieren, um mit TLS 1,2 zu arbeiten.Unfortunately, Windows Fabric 1.0 does not support TLS 1.2. However, we will be updating Lync Server 2013 to work with TLS 1.2. Dies wird im nächsten kumulativen Update für lync Server 2013 erfolgen.This will be coming in the next Cumulative Update for Lync Server 2013. Wir bieten TLS 1,2-Unterstützung, um Koexistenz-, Migrations-, Föderations-und Hybrid Szenarien zu ermöglichen.We're providing TLS 1.2 support to enable co-existence, migration, federation, and hybrid scenarios.

Wenn Ihre Organisation TLS 1,0 und 1,1 deaktivieren muss und Sie zurzeit lync Server 2013 verwenden, empfehlen wir, dass Sie den Planungsprozess beginnen, mit der Möglichkeit, dass Sie möglicherweise ein direktes Upgrade oder eine parallele Migration (neue Pools, Verschieben von Benutzern) zu Skype für Business Server 2015 oder höherIf your organization is required to disable TLS 1.0 and 1.1, and you currently use Lync Server 2013, we recommend you begin your planning process, with the possibility you may have to In-place upgrade or Side-by-Side migrate (new pools, move users) to Skype for Business Server 2015 or higher. Oder Sie möchten vielleicht die Migration zu Skype for Business Online beschleunigen.Or you may want to accelerate migration to Skype for Business Online.

Anrufqualitäts-DashboardCall Quality Dashboard

Das lokale Anruf Qualitäts Dashboard hat derzeit eine Abhängigkeit von TLS 1,0 bei der Neuinstallation (erstmalige Installation in Ihrer lokalen Umgebung).On-Premises Call Quality Dashboard currently has a dependency on TLS 1.0 during new install (first time installing into your On-Premises environments). Wir untersuchen derzeit dieses Problem und planen, in naher Zukunft eine Lösung zu veröffentlichen.We are currently investigating this issue and plan to release a fix in the near future. Wenn Sie beabsichtigen, CQD zu installieren und auch TLS 1,0 zu deaktivieren, empfehlen wir, zuerst die CQD-Installation abzuschließen und dann mit der Deaktivierung von TLS 1,0 fortzufahren.If you are planning to install CQD and also disable TLS 1.0, we recommend that you complete CQD installation first, and then proceed with TLS 1.0 disabling.

Geräte von DrittanbieternThird-party devices

Achten Sie bei Geräten von Drittanbietern wie 3PIP-Telefonen, Video Konferenzen, Reverse-Proxys und Last-Balancern darauf, dass Sie die TLS 1,2-Unterstützung überprüfen, sorgfältig testen und bei Bedarf mit dem Anbieter in Verbindung treten.On third-party devices such as 3PIP phones, Video conferencing, Reverse Proxies and Load Balancers, be sure to validate TLS 1.2 supportability, test carefully, and contact the vendor if needed.

Überlegungen zur Föderation beim Deaktivieren von TLS 1.0/1.1 auf Edge-ServernFederation considerations when disabling TLS 1.0/1.1 on Edge servers

Sie müssen die Auswirkungen der Deaktivierung von TLS 1.0/1.1 auf Ihren Edge-Servern sorgfältig planen und berücksichtigen.You must carefully plan for and consider the impact of disabling TLS 1.0/1.1 on your Edge servers. Wenn TLS 1,0 und 1,1 deaktiviert sind, stellen Sie möglicherweise fest, dass andere Organisationen nicht mehr mit Ihrer Organisation zusammenarbeiten können.Once TLS 1.0 and 1.1 are disabled, you may find that other organizations are no longer be able to federate with your organization.

Sie können festlegen, dass TLS 1.0/1.1 auf Ihren Edge-Servern aktiviert bleibt, damit die Abwärtskompatibilität mit nicht gepatchten (SFB 2015, lync 2013) oder älteren (2010) externen Systemen gewährleistet ist.You may opt to keep TLS 1.0/1.1 enabled on your Edge servers to maintain backward compatibility with non-patched (SfB 2015, Lync 2013) or older (2010) external systems.

Microsoft kann keine Ratschläge oder Empfehlungen liefern, ob Ihr Edge-Netzwerk (oder irgendein Netzwerk) unter den PCI-Standard fällt. Dies muss vom jeweiligen Unternehmen festgelegt werden.Microsoft cannot provide advice or recommendations on whether or not your Edge network (or any network) falls under PCI standard; that must be determined by the individual company.

Skype for Business Online ist heute in der Lage, TLS 1,2 zu nutzen, sodass keine Auswirkungen auf Hybrid/Federation mit Online erwartet werden.Skype for Business Online is capable of TLS 1.2 today, so no impact to Hybrid/Federation with Online is expected.

PIC (Public-Chat-Konnektivität) zum Skype-Verbraucher Dienst: Wir erwarten nicht, dass die Deaktivierung von TLS 1.0/1.1 Auswirkungen auf die Skype-Konnektivitäthat. Microsoft PIC-Gateways sind bereits TLS 1,2-fähig.PIC (Public IM Connectivity) to Skype Consumer service: We do not expect disabling TLS 1.0/1.1 to impact Skype Connectivity; Microsoft PIC Gateways are already TLS 1.2 capable.

Voraussetzungen und ProzessePrerequisites and process

Sofern oben nicht erwähnt, funktionieren Clients und Geräte nach der Deaktivierung von TLS 1,0 und 1,1 außerhalb des Bereichs nicht mehr ordnungsgemäß.Except where noted above, once TLS 1.0 and 1.1 are disabled out-of-scope servers, clients and devices will longer function properly, or at all. Dies bedeutet möglicherweise, dass Sie die Aktualisierung unterbrechen und auf aktualisierte Anleitungen von Microsoft warten müssen.This may mean you need to pause and wait for updated guidance from Microsoft. Wenn Sie davon überzeugt sind, dass Sie alle Anforderungen erfüllen und einen Plan zur Behebung von Lücken haben, fahren Sie fort.Once you are satisfied that you meet all requirements and have a plan to address gaps, proceed.

Auf einem hohen Niveau, während Skype for Business Server 2019 bei der Installation einsatzbereit ist, erfordert Skype for Business Server 2015, dass Sie CU6 HF2 installieren, Voraussetzungen für .net und SQL installieren, erforderliche Registrierungsschlüssel bereitstellen und schließlich eine separate Runde der Betriebssystem-Konfigurationsupdates (d. h. das Deaktivieren von TLS 1,0 und 1,1 über den Import von Registrierungsdateien).At a high level, while Skype for Business Server 2019 is ready for procedure at install, Skype for Business Server 2015 will require that you install CU6 HF2, applying pre-requisite updates to .NET and SQL, deploying prerequisite registry keys, and finally a separate round of OS configuration updates (i.e. disabling TLS 1.0 and 1.1 via registry file import). Es ist äußerst wichtig, dass Sie die Installation aller Voraussetzungen, einschließlich Skype for Business Server 2015 CU6 HF2, abschließen, bevor Sie TLS 1,0 und 1,1 auf einem beliebigen Server in Ihrer Umgebung deaktivieren.It is critically important that you complete installation of all prerequisites, including Skype for Business Server 2015 CU6 HF2, prior to disabling TLS 1.0 and 1.1 on any server in your environment. Für jeden Skype for Business-Server, einschließlich Edge-Rolle und SQL-Backends, sind die Updates erforderlich.Every Skype for Business server, including Edge role and SQL Backends, requires the updates. Stellen Sie außerdem sicher, dass alle unterstützten (in-Scope-) Clients auf die erforderlichen Mindestversionen aktualisiert wurden.Also ensure that all supported (in-scope) clients have been updated to the required minimum versions. Vergessen Sie nicht, Management-Workstations auch zu aktualisieren.Don’t forget to update management workstations as well.

Wir möchten die übliche Reihenfolge der Vorgänge von "Inside Out" für das Upgrade von Skype for Business-Servern befolgen.We want to follow the usual order of operations of "inside out" for upgrading Skype for Business servers. Behandeln Sie Director-Pools, beständigen Chat und gekoppelte Pools auf die gleiche Weise wie normalerweise.Treat Director pools, Persistent chat, and Paired Pools in the same manner you normally would. Reihenfolge und Methoden für das Upgrade werden hier und hierbehandelt.Order and methods for upgrade are covered here and here.

Prozess auf höherer EbeneHigh-level process

  1. Testen Sie alle Schritte in Ihrer Testumgebung, bevor Sie Produktionsserver konfigurieren.Test all steps in your lab prior to configuring production servers.
  2. Sichern Sie eine Kopie der exportierten Registrierung auf jedem einzelnen Server, der aktualisiert werden soll, und bewahren Sie Sie auf.Back up and preserve a copy of exported registry on each and every individual server to be updated. Sie können keine Registrierungen zwischen Servern freigeben. Sie enthalten eindeutige, auf Computern basierende Schlüssel.You cannot share registries between servers; they contain unique machine-based keys.
  3. Aktualisieren Sie alle Skype for Business 2015-Server auf CU6 HF2 oder höher.Upgrade all Skype for Business 2015 servers to CU6 HF2 or higher. (Für Skype for Business Server 2019 ist keine Cu erforderlich)(For Skype for Business Server 2019, no CU is needed)
  4. Installieren Sie alle Voraussetzungen für alle Server.Install all prerequisites to all servers.
  5. Bereitstellen von erforderlichen RegistrierungsschlüsselnDeploy prerequisite registry keys.
  6. Stellen Sie sicher, dass alle in-Scope-Clients aktualisiert werden.Ensure that all in-scope clients are updated.
  7. Deaktivieren Sie TLS 1,0 und 1,1 mithilfe des Registrierungs Imports.Disable TLS 1.0 and 1.1 via registry import.
  8. Überprüfen Sie, ob Arbeitslasten wie erwartet funktionieren.Validate that workloads are functioning as expected.
    • Wenn Probleme aufgetreten sind, beheben und beheben oderIf problems are encountered, troubleshoot and resolve, or
    • Wiederherstellen der Registrierung aus Schritt 2 zum erneuten Aktivieren von TLS 1,0 und 1,1Restore registry from step 2 to re-enable TLS 1.0 and 1.1
  9. Überprüfen Sie, ob nur TLS 1,2 verwendet wird.Validate that only TLS 1.2 is being used.

Installieren von Voraussetzungen für alle ServerInstall prerequisites to all servers

Umfassende Abhängigkeits Updates sind erforderlich, bevor Sie mit der Deaktivierung von TLS 1,0 und 1,1 auf Betriebssystemebene in Ihren Skype for Business Server 2015-Bereitstellungen beginnen.Extensive dependency updating is required before you begin to disable TLS 1.0 and 1.1 at the operating system level in your Skype for Business Server 2015 deployments. Im folgenden sind die Mindestversionen aufgeführt, die TLS 1,2 unterstützen können.The following are the minimum versions that can support TLS 1.2. Stellen Sie alle erforderlichen Updates für alle Skype for Business-Server in Ihrer Umgebung bereit, bevor Sie mit der Deaktivierung von TLS 1,0 und 1,1 beginnen.Deploy all prerequisite updates across every Skype for Business server in your environment before you begin disabling TLS 1.0 and 1.1.

  • Skype for Business Server 2015 CU6 HF2 6.0.9319.516 (März 2018 Update) oder höherSkype for Business Server 2015 CU6 HF2 6.0.9319.516 (March 2018 update) or higher
  • .NET Framework 4,7 oder höher mit aktiviertem SchUseStrongCrypto in der Registrierung (siehe unten).NET Framework 4.7 or higher with SchUseStrongCrypto enabled in the registry (provided below)
  • SQL muss auf allen Skype for Business 2015-Servern und-Backends aktualisiert werden.SQL must be updated on all Skype for Business 2015 servers and backends. Aktualisieren Sie den Enterprise Edition-Pool SQL-Backends zuerst und dann den jeweiligen Fes.Update Enterprise Edition Pool SQL Backends first, then their respective FEs.
    • SQL Server 2014 SP1 + CU5 (Link) oder höher/SQL Server 2012 SP2 + CU16 oder höher/SQL Server 2014 RTM + CU12 (Link) oder höher/SQL Server 2014 SP2SQL Server 2014 SP1 + CU5 (link), or higher / SQL Server 2012 SP2 + CU16 or higher/ SQL Server 2014 RTM + CU12 (link) or higher / SQL Server 2014 SP2
    • SQL Server Native Client für SQL Server 2012 (Link)SQL Server Native Client for SQL Server 2012 (link)
    • Microsoft ODBC-Treiber 11 für SQL Server (Link) oder höherMicrosoft ODBC Driver 11 for SQL Server (link), or higher
    • Freigegebene Verwaltungsobjekte für SQL Server 2014 SP2 (Link)Shared Management Objects for SQL Server 2014 SP2 (link)
    • SQLSysClrTypes für SQL Server 2014 SP2 (Link)SQLSysClrTypes for SQL server 2014 SP2 (link)
  1. Installieren Sie das Skype for Business Server CU6HF2 (6.0.9319.516)-Update auf allen Servern.Install the Skype for Business Server CU6HF2 (6.0.9319.516) update to all servers.
    1. Installieren Sie das Update auf Komponenten mithilfe des Updates.Install the update to components using the updater.
    2. Aktualisieren Sie Datenbankennach dokumentierten Verfahren.Update databases according to documented procedures. Anweisungen sind unter https://support.microsoft.com/en-us/help/3061064/updates-for-skype-for-business-server-2015dokumentiert.Instructions are documented at https://support.microsoft.com/en-us/help/3061064/updates-for-skype-for-business-server-2015.
    3. Überprüfen Sie die Produktfunktionalität in der Bereitstellung, bevor Sie weitere Änderungen vornehmen.Validate product functionality in the deployment prior to moving forward with any other changes.
  2. .NET 4,7 Offline-Installationsprogramm herunterladen.Download .NET 4.7 Offline Installer.
    1. Referenzhttps://www.microsoft.com/en-us/download/details.aspx?id=55167Reference: https://www.microsoft.com/en-us/download/details.aspx?id=55167
    2. Stellen Sie sicher, dass Skype for Business Server 2015-Dienste auf dem Front-End-Server angehalten werden.Ensure that Skype for Business Server 2015 services are stopped on the Front End server.
    3. Referenzhttps://support.microsoft.com/en-us/help/3061064/updates-for-skype-for-business-server-2015Reference: https://support.microsoft.com/en-us/help/3061064/updates-for-skype-for-business-server-2015
    4. Ex (Standard Edition): Stop-CsWindowsServicesEx (Standard Edition): Stop-CsWindowsServices
    5. Ex (Enterprise Edition): Invoke-CsComputerFailoverEx (Enterprise Edition): Invoke-CsComputerFailover
    6. Führen Sie das Installationspaket aus.Run the installer package.
    7. Starten Sie den Server neu.Reboot the server.
  3. Aktualisieren Sie SQL Express 2014 auf allen Servern.Update SQL Express 2014 on all servers.
    1. Referenzhttps://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-serverReference: https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server
    2. Herunterladen von SQL 2014 SP2Download SQL 2014 SP2
    3. Kopieren Sie das Installationsmedium in einen Ordner auf dem Server (z. b.: C:\01_2014SqlSp2).Copy the installation media to a folder on the server (Ex: C:\01_2014SqlSp2)
    4. Sicherstellen, dass die Dienste von Skype for Business Server 2015 auf dem Front-End-Server angehalten werdenEnsure Skype for Business Server 2015 services are stopped on the Front End server
      • Ex (Standard Edition): Stop-CsWindowsServiceEx (Standard Edition): Stop-CsWindowsService
      • Ex (Enterprise Edition): Invoke-CsComputerFailoveEx (Enterprise Edition): Invoke-CsComputerFailove
    5. Öffnen Sie eine Administratoreingabeaufforderung, und aktualisieren Sie alle installierten Komponenten und Instanzen.Open an Admin Command Prompt, and upgrade all installed components and instances
      • Beispiel: C:\01_2014SqlSp2\SQLServer2014SP2-KB3171021-x64-ENU.exe/QS-Parameter/IAcceptSQLServerLicenseTerms/Action = Patch/AllInstancesExample: C:\01_2014SqlSp2\SQLServer2014SP2-KB3171021-x64-ENU.exe /qs /IAcceptSQLServerLicenseTerms /Action=Patch /AllInstances
  4. Aktualisieren Sie SQL Native Client.Update SQL Native Client.
    1. Referenz: https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server.Reference: https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server.
    2. Herunterladen vonhttps://www.microsoft.com/en-us/download/details.aspx?id=50402Download from https://www.microsoft.com/en-us/download/details.aspx?id=50402
    3. Stellen Sie sicher, dass Skype for Business Server 2015-Dienste auf dem Front-End-Server angehalten werden.Ensure Skype for Business Server 2015 services are stopped on the Front End server.
      • Ex (Standard Edition): Stop-CsWindowsServicesEx (Standard Edition): Stop-CsWindowsServices
      • Ex (Enterprise Edition): Invoke-CsComputerFailoveEx (Enterprise Edition): Invoke-CsComputerFailove
    4. Beenden der ausgeführten SQL-InstanzenStop the SQL instances installed from running
      • Ex: Get-Service "MSSQL $ RTCLOCAL" | Stop-ServiceEx: Get-Service 'MSSQL$RTCLOCAL' | Stop-Servic
      • Ex: Get-Service "MSSQL $ LYNCLOCAL" | Stop-ServiceEx: Get-Service 'MSSQL$LYNCLOCAL' | Stop-Servic
      • Ex (nur Standard Edition): Get-Service "MSSQL $ RTC" | Stop-ServiceEx (Standard Edition Only): Get-Service 'MSSQL$RTC' | Stop-Servic
    5. Installieren Sie das Update.Install the update.
  5. Aktualisieren Sie den ODBC-Treiber 11 für SQL Server.Update ODBC Driver 11 for SQL Server.
    1. Referenz: https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server.Reference: https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server.
    2. Herunterladen vonhttps://www.microsoft.com/en-us/download/confirmation.aspx?id=36434Download from https://www.microsoft.com/en-us/download/confirmation.aspx?id=36434
    3. Sicherstellen, dass die Dienste von Skype for Business Server 2015 auf dem Front-End-Server angehalten werdenEnsure that Skype for Business Server 2015 services are stopped on the Front End server
      • Ex (Standard Edition): Stop-CsWindowsServiceEx (Standard Edition): Stop-CsWindowsService
      • Ex (Enterprise Edition): Invoke-CsComputerFailoveEx (Enterprise Edition): Invoke-CsComputerFailove
    4. Installieren Sie das Update.Install the update.
  6. Bereitstellen von erforderlichen RegistrierungsschlüsselnDeploy prerequisite registry keys.

Voraussetzungen für RegistrierungsschlüsselPre-requisite registry keys

Kopieren/fügen Sie den folgenden Test in den Editor ein, und benennen Sie TLSPreReq. reg oder einen Namen Ihrer Wahl um, und importieren Sie dann:Copy/paste the following test into Notepad and rename TLSPreReq.reg or a name of your choice, then import:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

Für SQL-Back-Ends für Enterprise Edition-Pools sollten Voraussetzungen und TLS-Deaktivierung als SQL-oder Betriebssystemupdates behandelt werden. Weitere Informationen finden Sie unter:https://docs.microsoft.com/skypeforbusiness/manage/topology/patch-or-update-a-back-end-or-standard-edition-serverFor SQL back ends for Enterprise Edition Pools, prerequisites and TLS disable should be treated as any SQL or OS updates would; refer to: https://docs.microsoft.com/skypeforbusiness/manage/topology/patch-or-update-a-back-end-or-standard-edition-server

Während die Schritte für die Voraussetzungen für die Anwendungs-und TLS-Deaktivierung kombiniert werden können, empfehlen wir dringend, alle Voraussetzungen anzuwenden, bevor Sie mit der Deaktivierung von TLS 1,0 und 1,1 auf Betriebssystemebene fortfahren.While both the prerequisite application and TLS disabling steps can be combined, we strongly recommend all prerequisites be applied before proceeding with disabling of TLS 1.0 and 1.1 at the operating system level. Der bewährte Methodenansatz besteht darin, die Umgebung vorzubereiten, indem alle Voraussetzungen bereitgestellt werden, die Überprüfung, ob Arbeitsauslastungen ordnungsgemäß und wie erwartet funktionieren, und dann zu einem späteren Zeitpunkt die Deaktivierung von TLS 1.0/1.1 fortgesetzt wird.The best practice approach would be to prepare the environment by deploying all prerequisites, validating that workloads all function correctly and as expected, and then proceeding with TLS 1.0/1.1 disable at a later time.

Deaktivieren von TLS 1,0 und 1,1 über den Registrierungs ImportDisable TLS 1.0 and 1.1 via registry import

Bevor Sie mit den nächsten Schritten fortfahren, Stellen Sie sicher, dass Sie alle Voraussetzungen und aktualisierten Skype for Business-Server abgeschlossen haben.Before you proceed with the next steps, make sure you have completed all prerequisites and updated Skype for Business Servers.

Kopieren Sie den folgenden Text in eine Notepad-Datei, und benennen Sie ihn TLSDisable. regum:Copy the following text into a Notepad file and rename it TLSDisable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]

"Functions"="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"AllowInsecureRenegoClients"=dword:00000000

"AllowInsecureRenegoServers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 256/256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA384]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA512]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\ECDH]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

Importieren Sie die reg-Datei auf jedem Server, auf dem Sie TLS 1,0 und 1,1 deaktivieren möchten.Import the .reg file on each server you wish to disable TLS 1.0 and 1.1. Starten Sie den Server neu.Reboot the server. Wenn die Dienste wieder online sind, wechseln Sie zum nächsten Server.Once the services have come back online, move to the next server. Der Ansatz für Enterprise Edition-Pools ist für jedes Betriebssystemupdate identisch.The approach for Enterprise Edition Pools is the same you would take for any OS update.

Sie haben vielleicht bemerkt, dass wir hier mehr tun, als nur TLS 1,0 und 1,1 zu deaktivieren.You may have noticed we are doing more than just disabling TLS 1.0 and 1.1 here. Wir unterstützen die erneute Reihenfolge der Verschlüsselungs Suite (wie oben dargestellt) und die Deaktivierung einiger älterer schwacher Chiffren.We are supporting Cipher Suite re-order (as shown above) and the disabling of some older weak ciphers. Dies ist das erste Mal, dass wir diese Änderungen an der Schannel-und Krypto-API in Skype for Business Server offiziell unterstützt haben, und es ist wichtig zu beachten, dass diese Änderungen die einzigen sind, die wir zurzeit unterstützen und getestet haben.This is the first time we have officially supported these changes to SCHANNEL and Crypto API on Skype for Business Server, and it is important to note that these changes are the only ones we support and have tested at this time. Wir können in Zukunft zusätzliche Konfigurationen in Erwägung gezogen, aber im Moment sollten Sie die Registrierungs Importdatei in ihrer Implementierung nicht ändern.We may consider additional configurations in the future, but for now, please do not modify the registry import file in your implementation.

Überprüfen, ob Arbeitslasten wie erwartet funktionierenValidate that workloads are functioning as expected

Nachdem TLS 1,0 und 1,1 in Ihrer Umgebung deaktiviert wurden, stellen Sie sicher, dass alle Ihre wichtigsten Arbeitslasten wie erwartet funktionieren, wie etwa im &-Anwesenheitsstatus, P2P-anrufen, Enterprise-VoIP usw.Once TLS 1.0 and 1.1 have been disabled in your environment, ensure that all your main workloads are functioning as expected, such as IM & Presence, P2P calls, Enterprise Voice, etc.

Nur überprüfen, ob TLS 1,2 verwendet wirdValidate only TLS 1.2 is being used

Lassen Sie Ihr Sicherheits Team eine neue Prüfung des Skype for Business-Datenverkehrs durchführen, um sicherzustellen, dass die älteren Protokolle TLS 1,0 und 1,1 nicht mehr verwendet werden.Have your Security Team perform a new audit of Skype for Business traffic to ensure that the older protocols TLS 1.0 and 1.1 are no longer in use.

Alternativ können Sie Internet Explorer verwenden, um TLS-Verbindungen mit Webdiensten von Skype for Business Server 2015 zu testen, nachdem TLS 1,0 und TLS 1,1 deaktiviert wurden.Alternatively, you can use Internet Explorer to test TLS connections to web services from Skype for Business Server 2015 after TLS 1.0 and TLS 1.1 have been disabled.

  1. Starten Sie Internet Explorer.Launch Internet Explorer.
  2. Wählen Sie Extras > Internet Optionenaus.Select Tools > Internet Options.
  3. Wählen Sie die Registerkarte erweitert aus.Select the Advanced tab.
  4. Scrollen Sie unter Einstellungennach unten.Under Settings, scroll to the bottom.
  5. Überprüfen Sie, ob TLS 1,0, TLS 1,1 und TLS 1,2 aktiviert sind.Verify that TLS 1.0, TLS 1.1, and TLS 1.2 are enabled.
  6. Durchsuchen Sie die interne Web Service-URL Ihres SFB 2015-Pools (sollte eine Verbindung erfolgreich hergestellt werden).Browse the Internal Web Service URL of your SfB 2015 pool (should connect successfully).
  7. Wechseln Sie zurück in Internet Explorer, und deaktivieren Sie die Option nur für TLS 1,2 .Go back into Internet Explorer and disable the option to Use TLS 1.2 only.
  8. Durchsuchen Sie die interne Web Service-URL Ihres SFB 2015-Pools erneut (Verbindungsfehler).Browse the Internal Web Service URL of your SfB 2015 pool again (should fail to connect).

Internet Optionen

Erweiterte BereitstellungsszenarienAdvanced deployment scenarios

Da einige Abhängigkeits Voraussetzungen zur Unterstützung von TLS 1,2 in Skype for Business ser 2015 erforderlich sind, schlägt die Installation von RTM-Medien auf jedem System fehl, auf dem TLS 1,0 und 1,1 deaktiviert wurden.Because some dependency prerequisites are required to support TLS 1.2 in Skype for Business Ser 2015, installing from RTM media will fail on any system where TLS 1.0 and 1.1 have been disabled.

Bereitstellen von neuen Standard Edition-Servern oder Enterprise Edition-Pools, sobald TLS 1,0 und 1,1 in Ihrer Umgebung deaktiviert wurden.Deploying New Standard Edition Servers or Enterprise Edition Pools once TLS 1.0 and 1.1 have been disabled in your environment.

Option 1: Verwenden Sie SmartSetup.Option 1: Use SmartSetup. Beachten Sie, dass wir SmartSetup aktualisieren, um die aktualisierten SQL-Binärdateien in einem zukünftigen Cu-Daten Satz aufnehmen zu können, und diesen Artikel in Zukunft aktualisieren werden.Note that we are updating SmartSetup to accommodate the updated SQL binaries in a future CU, and will update this article in the future.

Option 2: Lokale SQL-Instanzen (RTCLOCAL und LYNCLOCAL) vor der InstallationOption 2: Pre-install local SQL instances (RTCLOCAL and LYNCLOCAL)

  1. Laden Sie SQL Express 2014 SP2 (SQLEXPR_x64. exe) in den lokalen Ordner auf FE herunter, und kopieren Sie Sie.Download and copy SQL Express 2014 SP2 (SQLEXPR_x64.exe) to local folder on FE. Sagen wir Ordnerpfad <SQL_FOLDER_PATH>.Let’s say folder path <SQL_FOLDER_PATH>.

  2. Starten Sie PowerShell oder Eingabeaufforderung, und navigieren Sie zu <SQL_FOLDER_PATH>.Launch PowerShell or Command Prompt and navigate to <SQL_FOLDER_PATH>.

  3. Erstellen Sie die RTCLOCAL-SQL-Instanz, indem Sie den folgenden Befehl ausführen.Create the RTCLOCAL SQL instance by running the command below. Warten Sie, bis "SQLEXPR_x64. exe" abgeschlossen ist, bevor Sie fortfahren:Wait until SQLEXPR_x64.exe finishes before proceeding:

    SQLEXPR_x64. exe/q/IACCEPTSQLSERVERLICENSETERMS/UPDATEENABLED = 0/HIDECONSOLE/Action = install/Features = SQLEngine, Tools/instanceName = RTCLOCAL/TCPENABLED = 1/SQLSVCACCOUNT = "NT AUTHORITY\NetworkService"/SQLSYSADMINACCOUNTS = "Builtin \ Administratoren "/BROWSERSVCSTARTUPTYPE =" Automatic "/AGTSVCACCOUNT =" NTAUTHORITY\NetworkService "/SQLSVCSTARTUPTYPE = automatiSQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=RTCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT="NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automati

  4. Erstellen Sie die LYNCLOCAL-SQL-Instanz, indem Sie den folgenden Befehl ausführen.Create the LYNCLOCAL SQL instance by running the command below. Warten Sie, bis SQLEXPR_x64. exe beendet ist, bevor Sie mit dem nächsten Schritt fortfahren:Wait until SQLEXPR_x64.exe finishes before proceeding to the next step:

    SQLEXPR_x64. exe/q/IACCEPTSQLSERVERLICENSETERMS/UPDATEENABLED = 0/HIDECONSOLE/Action = install/Features = SQLEngine, Tools/instanceName = LYNCLOCAL/TCPENABLED = 1/SQLSVCACCOUNT = "NT AUTHORITY\NetworkService"/SQLSYSADMINACCOUNTS = "Builtin \ Administratoren "/BROWSERSVCSTARTUPTYPE =" Automatic "/AGTSVCACCOUNT =" NTAUTHORITY\NetworkService "/SQLSVCSTARTUPTYPE = AutomaticSQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=LYNCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT="NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automatic

  5. Führen Sie das Setup von Skype for Business Server 2015 RTM aus.Run Skype for Business Server 2015 RTM setup.

  6. Führen Sie die restlichen Schritte aus dem Abschnitt Voraussetzungen oben aus.Follow the remaining steps from the prerequisites section above.

Option 3: Sie können Binärdateien in einem lokalen Installationsmedien Verzeichnis auch manuell wie folgt ersetzen:Option 3: You may also manually replace binaries in a local installation media directory as follows:

  1. Installieren von Voraussetzungen für Skype for Business ServerInstall prerequisites for Skype for Business Server
    1. Installieren Sie .NET 4,7:Install .NET 4.7:
  2. Kopieren von ISO-Dateien/-Ordnern:Copy ISO Files/Folders:
    • Wenn der Skype for Business Server 2015 ISO angeschlossen ist, öffnen Sie das Stammverzeichnis des Laufwerks, dem es angefügt ist (ex) : D: im Datei-Explorer.With the Skype for Business Server 2015 ISO attached, open the root directory of the drive it is attached as (Ex: D:) in File Explorer.
    • Kopieren Sie alle Ordner und Dateien in einen Ordner auf einem lokalen Datenträger (z. b.: C:\SkypeForBusiness2015ISO).Copy all folders and files to a folder on a local disk (Ex: C:\SkypeForBusiness2015ISO).
    • Hinweis: Vor der Installation von Komponenten müssen einige Dateien für die Unterstützung von TLS 1,2 aktualisiert werden.Note: Prior to installing components, some files will need to be updated for support of TLS 1.2.
  3. Ersetzen Sie MSI/exe-Pakete:Replace MSI/EXE Packages:
    • Ersetzen Sie die vorhandenen MSI-und exe-Pakete im Ordner/Setup/amd64/des Installationsmediums auf dem lokalen Computer.Replace the existing MSI and EXE packages in the /Setup/amd64/ folder of the installation media on the local machine.
    • SQL 2014 SP2 Express:https://www.microsoft.com/en-us/download/details.aspx?id=53167SQL 2014 SP2 Express: https://www.microsoft.com/en-us/download/details.aspx?id=53167
      • Benennen Sie SQLEXPR_x64 auf dem lokalen Computer um, und ersetzen Sie die vorhandene Datei im Setup/amd64/-Ordner des Installationsmediums.Rename to SQLEXPR_x64 on the local machine, and replace the existing file in the Setup/amd64/ folder of the installation media.
    • SQL Native Client:https://www.microsoft.com/en-us/download/details.aspx?id=50402SQL Native Client: https://www.microsoft.com/en-us/download/details.aspx?id=50402
      • Hinweis: Benennen Sie diese bei Bedarf in sqlncli. msi um, und ersetzen Sie dann die vorhandene Datei, die im Setup/amd64/-Ordner des Installationsmediums vorhanden ist.Note: Rename this if necessary to sqlncli.msi, and then replace the existing file that exists in the Setup/amd64/ folder of the installation media.
    • SQL-Verwaltungsobjekte:https://www.microsoft.com/en-us/download/details.aspx?id=53164SQL Management Objects: https://www.microsoft.com/en-us/download/details.aspx?id=53164
      • Hinweis: Das Feature Pack enthält viele Elemente, die heruntergeladen werden können.Note: The Feature pack will have a lot of items that can be downloaded. Wählen Sie diese Option aus, um nur SharedManagementObjects. msi herunterzuladen.Select to download SharedManagementObjects.msi only.
      • Hinweis: Ersetzen Sie die vorhandene Datei, die im Setup/amd64/-Ordner des Installationsmediums vorhanden ist.Note: Replace the existing file that exists in the Setup/amd64/ folder of the installation media.
    • SQL CLR-Typen:https://www.microsoft.com/en-us/download/details.aspx?id=53164SQL CLR Types: https://www.microsoft.com/en-us/download/details.aspx?id=53164
      • Hinweis: Das Feature Pack enthält viele Elemente, die heruntergeladen werden können.Note: The Feature pack will have a lot of items that can be downloaded. Zum Herunterladen von CQLSysClrTypes. msi auswählenSelect to download CQLSysClrTypes.msi only
      • Hinweis: Ersetzen Sie die vorhandene Datei, die im Setup/amd64/-Ordner des Installationsmediums vorhanden ist.Note: Replace the existing file that exists in the Setup/amd64/ folder of the installation media.
  4. Installieren von Kernkomponenten:Install Core Components:
    • Führen Sie Setup. exe aus dem Setup/amd64/Ordner des Installationsmediums aus.Run Setup.exe from the Setup/amd64/ folder of the installation media. Befolgen Sie die Anweisungen zum Installieren der Kernkomponenten.Follow the instructions to install Core Components
    • Schließen Sie Kernkomponenten.Close Core Components.
  5. Aktualisieren von Kernkomponenten:Update Core Components:
    • Laden Sie das Skype for Business Update-Installationsprogramm herunter.Download the Skype for Business Update Installer.
    • Führen Sie das Installationsprogramm aus, um die Kernkomponenten zu aktualisieren und die Leistungsindikatoren zu installieren.Run the installer to update Core Components and install the performance counters.
    • Hinweis: Ab der Veröffentlichung von CU6HF2 wird das Feature für die automatische Aktualisierung zurzeit nur bis zu CU6 installiert.Note: As of the release of CU6HF2, the auto-update feature currently only will install up to CU6. Daher muss der Updater separat ausgeführt werden, um Kernkomponenten auf 6.0.9319.516 zu aktualisieren.Therefore, the updater must be run separately to update Core Components to 6.0.9319.516.
    • Referenzhttps://support.microsoft.com/en-us/help/3061064/updates-for-skype-for-business-server-2015Reference: https://support.microsoft.com/en-us/help/3061064/updates-for-skype-for-business-server-2015
  6. Installieren von Verwaltungs Tools (optional):Install Administrative Tools (Optional):
    • Damit werden die Microsoft SQL Server 2012 Native Client-, SQL Server 2014 Management Objects (x64)-und Microsoft System CLR-Typen für SQL Server 2014 (x64) unter Verwendung der aktualisierten Dateien installiert.This will install the Microsoft SQL Server 2012 Native Client, SQL Server 2014 Management Objects (x64), and Microsoft System CLR Types for SQL Server 2014 (x64) using the updated files. Darüber hinaus steht der Skype for Business Server 2015-Topologie-Generator und die Systemsteuerung auf dem lokalen Computer zur Verfügung.Additionally, the Skype for Business Server 2015 Topology Builder and Control Panel will be available on the local machine.
  7. Installieren des lokalen Konfigurationsspeichers (Schritt 1):Install Local Configuration Store (Step 1):
    • Öffnen Sie den Bereitstellungs-Assistenten, klicken Sie auf Installieren oder aktualisieren Sie das Skype for Business Server-System, und klicken Sie auf Ausführen unter Schritt 1: Installieren des lokalen Konfigurationsspeichers.Open the Deployment Wizard, click Install or Update Skype for Business Server System, and click on Run at Step 1: Install Local Configuration Store.
    • Klicken Sie im Dialogfeld lokalen Konfigurationsspeicher installieren auf weiter .Click Next in the Install Local Configuration Store dialog box. Dialogfeld ' lokalen Konfigurationsspeicher installieren 'Install Local Configuration Store dialog box
    • Überprüfen Sie die Ergebnisse, und stellen Sie sicher, dass der Vorgangs Status abgeschlossen ist.Review the results, and ensure that the Task Status is Completed. Überprüfen Sie die resultierende Protokolldatei, indem Sie auf Protokoll anzeigenklicken.Review the resulting log file by clicking View Log. Vorgangsstatus wird als abgeschlossen angezeigtTask status shows as Completed
    • Klicken Sie auf Fertig stellen.Click Finish.
  8. Einrichten oder Entfernen von Skype for Business Server-Komponenten (Schritt 2):Set up or remove Skype for Business Server Components (Step 2):
    • Öffnen Sie den Bereitstellungs-Assistenten, klicken Sie auf installieren oder aktualisieren Sie das Skype for Business Server-System, und klicken Sie auf Ausführen bei Schritt 2: Einrichten oder Entfernen von Skype for Business Server-KomponentenOpen the Deployment Wizard, click Install or Update Skype for Business Server System, and click Run at Step 2: Set up or Remove Skype for Business Server Components
    • Klicken Sie im Dialogfeld Skype for Business Server-Komponenten einrichten auf weiter .Click Next in the Set Up Skype for Business Server Components dialog box. Das Fenster "Skype for Business Server-Komponenten einrichten"the Set Up Skype for Business Server Components window
    • Überprüfen Sie das Protokoll mithilfe von View Log, und überprüfen Sie, ob Setup ohne Probleme abgeschlossen wurde.Review the log using View Log, and validate that setup completed without issues.
    • Klicken Sie auf Fertig stellen.Click Finish.
  9. Fahren Sie nach Bedarf mit zusätzlicher Installation und Konfiguration fort (Sie können an dieser Stelle die normalen Installationsverfahren fortsetzen).Proceed with additional installation and configuration as required (you can resume normal installation procedures at this point).