Deaktivieren von TLS 1.0/1.1 in Skype for Business Server 2015

Dieser Artikel hilft Ihnen bei der Vorbereitung und Implementierung der Deaktivierung von TLS 1.0 und 1.1 in Ihren Umgebungen. Dieser Prozess erfordert eine umfangreiche Planung und Vorbereitung. Überprüfen Sie sorgfältig alle Informationen in diesem Artikel, während Sie ihren Plan zur Deaktivierung von TLS 1.0 und 1.1 für Ihre organization. Es gibt viele externe Abhängigkeiten und Konnektivitätsbedingungen, die durch die Deaktivierung von TLS 1.0/1.1 beeinträchtigt werden können, sodass eine umfassende Planung und Tests gerechtfertigt ist.

• Hintergrund und Bereich
• Voraussetzungen und Prozess
• Erweiterte Bereitstellungsszenarien

Hintergrund und Bereich

Die haupttreiber für die Bereitstellung der Unterstützung für TLS 1.0 und 1.1, die die Unterstützung für Skype for Business Server lokal deaktivieren, sind die Anforderungen des Payment Card Industry (PCI) Security Standards Council und der Federal Information Processing Standards.The primary drivers for the TLS 1.0 and 1.1 disable support for Skype for Business Server On-Premises are payment card Industry (PCI) Security Standards Council and Federal Information Processing Standards Requirements. Weitere Informationen zu PCI-Anforderungen finden Sie hier. Microsoft kann keine Anleitungen dazu bereitstellen, ob Ihre organization diese oder andere Anforderungen erfüllen muss. Sie müssen ermitteln, ob es erforderlich ist, TLS 1.0 und/oder 1.1 in Ihren Umgebungen zu deaktivieren.

Microsoft hat ein Whitepaper zu TLS veröffentlicht, das hier verfügbar ist, und wir empfehlen auch die Hintergrundlektüre in diesem Exchange-Blog.

Unterhaltbarkeitsbereich

Bereich bezieht sich auf Unterhaltbarkeitsgrenzen. Vollständig getestet und unterstützt bedeutet, dass wir die Deaktivierung von TLS 1.0 und 1.1 für die aufgeführten Produktversionen vollständig unterstützen und getestet haben. Derzeit untersucht zu werden bedeutet genau das; wir arbeiten aktiv daran, diese Produkte für die Unterstützung der TLS-Deaktivierung in den Geltungsbereich zu bringen. Außerhalb des Gültigkeitsbereichs bedeutet, dass diese Produktversionen das Deaktivieren von TLS 1.0 oder 1.1 nicht unterstützen und mit den genannten Ausnahmen nicht funktionieren.

Vollständig getestete und unterstützte Server

• Skype for Business Server 2019 CU1 17.0.2046.123 (Juni 2019) oder höher
• Skype for Business Server 2015 CU9 6.0.9319.548 (Mai 2019) oder höher auf Windows Server 2012 (mit KB-3140245 oder Ablösungsupdate), 2012 R2 oder 2016.
• Direktes Upgrade Skype for Business Server 2015 mit CU9 6.0.9319.548 (Mai 2019) oder höher unter Windows Server 2008 R2, 2012 (mit KB-3140245 oder Ablösungsupdate) oder 2012 R2.
• Exchange-Konnektivität und Outlook Web App mit Exchange Server 2010 SP3 RU19 oder höher
• Survivable Branch Appliance (SBA) mit Skype for Business Server 2015 CU6 HF2 oder höher (bestätigen Sie mit Ihrem Anbieter, dass er die entsprechenden Updates gepackt und für Ihre Anwendung verfügbar gemacht hat)
• Survivable Branch Server (SBS) mit Skype for Business Server 2015 CU6 HF2 oder höher
• Nur Lync Server 2013-Edgerolle. Dies liegt daran, dass die Edgerolle keine Abhängigkeit von Windows Fabric 1.0 aufweist.

Vollständig getestete und unterstützte Clients

• Lync 2013 (Skype for Business) DesktopClient, MSI und C2R, einschließlich Basic 15.0.5023.1000 oder höher
• Skype for Business 2016-Desktopclient, MSI 16.0.4678.1000 oder höher, einschließlich Basic
• Skype for Business 2016 Click to Run Erfordern Sie die Updates vom April 2018:
  • Monatlich und Semi-Annual gezielt, 16.0.9126.2152 oder höher
  • Semi-Annual und verzögerter Kanal, 16.0.8431.2242 oder höher
• Skype for Business auf Mac 16.15 oder höher
• Skype for Business für iOS und Android 6.19 oder höher
• Microsoft Teams-Räume (früher als Skype Room System V2 SRS V2 bezeichnet) 4.0.64.0 (Dezember 2018) oder höher
• Surface Hub-Update für Team Edition basierend auf KB4499162 (Mai 2019, Betriebssystembuild 15063.1835) oder höher
• Skype Web App 2015 CU6 HF2 oder höher (im Lieferumfang von Server)

Derzeit wird untersucht.

• Anrufqualitätsdashboard (neu installieren, nachdem TLS 1.0, 1.1 deaktiviert wurde, siehe unten)*

Außerhalb des Gültigkeitsbereichs

Sofern nicht angegeben, sind die folgenden Produkte nicht für die Unterstützung der TLS 1.0/1.1-Deaktivierung vorgesehen und funktionieren nicht in einer Umgebung, in der TLS 1.0 und 1.1 deaktiviert wurden. Was dies bedeutet: Wenn Sie weiterhin Außerhalb des Bereichs verwendete Server oder Clients verwenden, müssen Sie diese aktualisieren oder entfernen, wenn Sie TLS 1.0/1.1 überall in Ihrer Skype for Business Server lokalen Bereitstellung deaktivieren müssen.

• Lync Server 2013
• Lync Server 2010
• Windows Server 2008 oder niedriger
• Lync für Mac 2011
• Lync 2013 für Mobile – iOS, iPad, Android oder Windows Phone
• Lync-Windows Store-Client "MX"
• Lync Room System (auch als SRSv1 bezeichnet). LRS hat am 9. Oktober 2018 das Ende des Supports erreicht und wird nicht auf die Unterstützung von TLS 1.2 aktualisiert.
• Alle Lync 2010-Clients
• Lync Phone Edition : Aktualisierte Anleitungen finden Sie hier.
• 2013-basierte Survivable Branch Appliance (SBA) oder Survivable Branch Server (SBS)
• Cloud Connector Edition (CCE)
• Microsoft Skype for Business für Windows Phone

Ausnahmen

Lync Server 2013

Lync Server 2013 ist von Windows Fabric Version 1.0 abhängig. In der Entwurfsphase für Lync Server 2013 wurde Windows Fabric 1.0 aufgrund seiner überzeugenden und neuen verteilten Architektur ausgewählt, um Replikation, Hochverfügbarkeit und Fehlertoleranz bereitzustellen. Im Laufe der Zeit haben sowohl Skype for Business Server als auch Windows Fabric diese gemeinsame Architektur erheblich verbessert und in nachfolgenden Versionen erheblich überarbeitet. Der aktuelle Skype for Business 2015-Server verwendet z. B. Windows Fabric 3.0.

Leider unterstützt Windows Fabric 1.0 TLS 1.2 nicht. Wir aktualisieren jedoch Lync Server 2013, um mit TLS 1.2 zu arbeiten. Dies wird im nächsten kumulativen Update für Lync Server 2013 verfügbar sein. Wir bieten TLS 1.2-Unterstützung, um Koexistenz-, Migrations-, Verbund- und Hybridszenarien zu ermöglichen.

Wenn Ihr organization TLS 1.0 und 1.1 deaktivieren muss und Sie derzeit Lync Server 2013 verwenden, empfehlen wir Ihnen, mit dem Planungsprozess zu beginnen, mit der Möglichkeit, ein direktes Upgrade oder eine parallele Migration (neue Pools, Verschieben von Benutzern) zu Skype for Business Server 2015 oder höher zu haben. Oder Sie möchten die Migration zu Skype for Business Online beschleunigen.

Anrufqualitäts-Dashboard

Das Lokale Anrufqualitätsdashboard ist derzeit während der Neuinstallation (erstmalige Installation in Ihren lokalen Umgebungen) von TLS 1.0 abhängig. Wir untersuchen derzeit dieses Problem und planen, in naher Zukunft eine Lösung zu veröffentlichen. Wenn Sie planen, CQD zu installieren und TLS 1.0 zu deaktivieren, empfehlen wir, zuerst die CQD-Installation abzuschließen und dann mit der Deaktivierung von TLS 1.0 fortzufahren.

Skype for Business SDN Manager

Skype for Business SDN-Manager mit SQL ist eine Datenbank während der Neuinstallation von TLS 1.0 abhängig. Wenn Sie planen, Skype for Business SDN Manager mithilfe von SQL-Datenbank zu installieren und TLS 1.0 zu deaktivieren, empfehlen wir Ihnen, zuerst Skype for Business SDN-Manager abzuschließen und dann mit der Deaktivierung von TLS 1.0 fortzufahren. Falls TLS 1.0 vor der Installation deaktiviert wurde, sollten Sie TLS 1.0 vorübergehend wieder in SQL Server Back-End-Server aktivieren, der zum Hosten Skype for Business SDN Manager SQL-Datenbank verwendet wird.

Geräte von Drittanbietern

Überprüfen Sie auf Drittanbietergeräten wie 3PIP-Telefonen, Videokonferenzen, Reverseproxys und Load Balancern die Unterstützung von TLS 1.2, testen Sie sorgfältig, und wenden Sie sich bei Bedarf an den Anbieter.

Überlegungen zum Verbund beim Deaktivieren von TLS 1.0/1.1 auf Edgeservern

Sie müssen sorgfältig planen und die Auswirkungen der Deaktivierung von TLS 1.0/1.1 auf Ihren Edgeservern berücksichtigen. Nachdem TLS 1.0 und 1.1 deaktiviert wurden, stellen Sie möglicherweise fest, dass andere Organisationen keinen Verbund mehr mit Ihrem organization herstellen können.

Sie können tls 1.0/1.1 auf Ihren Edgeservern aktivieren, um abwärtskompatibilität mit nicht gepatchten (SfB 2015, Lync 2013) oder älteren (2010) externen Systemen aufrechtzuerhalten.

Microsoft kann keine Ratschläge oder Empfehlungen dazu geben, ob Ihr Edge-Netzwerk (oder ein netzwerk) dem PCI-Standard entspricht oder nicht. die vom jeweiligen Unternehmen festgelegt werden müssen.

Skype for Business Online ist heute tls 1.2 fähig, sodass keine Auswirkungen auf Hybrid/Verbund mit Online zu erwarten sind.

PIC (Öffentliche Chatkonnektivität) mit dem Skype-Consumerdienst: Wir erwarten nicht, dass die Deaktivierung von TLS 1.0/1.1 die Skype-Konnektivität beeinträchtigt; Microsoft PIC-Gateways sind bereits TLS 1.2-fähig.

Voraussetzungen und Prozess

Sofern oben nicht angegeben, funktionieren Clients und Geräte nach der Deaktivierung von TLS 1.0 und 1.1 nicht mehr ordnungsgemäß oder gar nicht mehr. Dies kann bedeuten, dass Sie anhalten und auf aktualisierte Anleitungen von Microsoft warten müssen. Sobald Sie überzeugt sind, dass Sie alle Anforderungen erfüllen und einen Plan zum Beheben von Lücken haben, fahren Sie fort.

Während Skype for Business Server 2019 bei der Installation für die Prozedur bereit ist, müssen Sie Skype for Business Server 2015 CU9 installieren, erforderliche Updates auf .NET und SQL anwenden, erforderliche Registrierungsschlüssel bereitstellen und schließlich eine separate Runde von Betriebssystemkonfigurationsupdates (d. h. das Deaktivieren von TLS 1.0 und 1.1 über den Import von Registrierungsdateien) erfordern. Vor dem Deaktivieren von TLS 1.0 und 1.1 auf einem beliebigen Server in Ihrer Umgebung müssen Sie unbedingt alle Erforderlichen installieren, einschließlich Skype for Business Server 2015 CU6 HF2. Für jeden Skype for Business Server, einschließlich edge-Rolle und SQL-Back-Ends, sind die Updates erforderlich. Stellen Sie außerdem sicher, dass alle unterstützten Clients (im Bereich) auf die erforderlichen Mindestversionen aktualisiert wurden. Vergessen Sie nicht, auch Verwaltungsarbeitsstationen zu aktualisieren.

Wir möchten die übliche Reihenfolge der Vorgänge "inside out" für das Upgrade Skype for Business Server befolgen. Behandeln Sie Director-Pools, beständigen Chat und gekoppelte Pools auf die gleiche Weise wie gewohnt. Die Reihenfolge und die Methoden für das Upgrade werden hier und hier behandelt.

Allgemeiner Prozess

1. Testen Sie alle Schritte in Ihrem Lab, bevor Sie Produktionsserver konfigurieren.
2. Sichern und beibehalten Sie eine Kopie der exportierten Registrierung auf jedem einzelnen Server, der aktualisiert werden soll. Sie können keine Registrierungen zwischen Servern freigeben. sie enthalten eindeutige computerbasierte Schlüssel.
3. Aktualisieren Sie alle Skype for Business 2015-Server auf CU9 oder höher. Führen Sie für Skype for Business Server 2019 ein Upgrade auf CU1 oder höher durch.
4. Installieren Sie alle erforderlichen Komponenten auf allen Servern.
5. Stellen Sie erforderliche Registrierungsschlüssel bereit.
6. Stellen Sie sicher, dass alle Im Bereichsclients aktualisiert werden.
7. Deaktivieren Sie TLS 1.0 und 1.1 über den Registrierungsimport.
8. Überprüfen Sie, ob Workloads wie erwartet funktionieren.
   • Wenn Probleme auftreten, behandeln und beheben Sie, oder
   • Wiederherstellen der Registrierung aus Schritt 2 zum erneuten Aktivieren von TLS 1.0 und 1.1
9. Überprüfen Sie, ob nur TLS 1.2 verwendet wird.

Installieren der erforderlichen Komponenten auf allen Servern

Bevor Sie tls 1.0 und 1.1 auf Betriebssystemebene in Ihren Skype for Business Server 2015-Bereitstellungen deaktivieren, ist ein umfangreiches Abhängigkeitsupdate erforderlich. Im Folgenden finden Sie die Mindestversionen, die TLS 1.2 unterstützen können. Stellen Sie alle erforderlichen Updates auf jedem Skype for Business-Server in Ihrer Umgebung bereit, bevor Sie mit der Deaktivierung von TLS 1.0 und 1.1 beginnen.

• Skype for Business Server 2015 CU9 6.0.9319.548 (Mai 2019) oder höher
• .NET Framework Version 4.7 oder höher mit aktiviertem SchUseStrongCrypto in der Registrierung (siehe unten)
• SQL muss auf allen Skype for Business 2015-Servern und Back-Ends aktualisiert werden. Aktualisieren Sie zuerst Enterprise Edition SQL-Back-Ends des Pools und dann ihre jeweiligen FEs.
  • SQL Server 2014 SP1 + CU5 oder höher / SQL Server 2012 SP2 + CU16 oder höher / SQL Server 2014 RTM + CU12 oder höher / SQL Server 2014 SP2
  • SQL Server Native Client für SQL Server 2012
  • Microsoft ODBC Driver 11 für SQL Server oder höher
  • Freigegebene Verwaltungsobjekte für SQL Server 2014 SP2
  • SQLSysClrTypes für SQL Server 2014 SP2

Grundlegende Schritte zum Installieren von Voraussetzungen in der empfohlenen Reihenfolge der Vorgänge

1. Installieren Sie das Skype for Business Server CU9-Update auf allen Servern.
   1. Installieren Sie das Update für Komponenten mithilfe des Updaters.
   2. Aktualisieren Sie Datenbanken gemäß dokumentierten Verfahren. Informationen Skype for Business Server 2015 finden Sie unter KB-3061064.
   3. Überprüfen Sie die Produktfunktionalität in der Bereitstellung, bevor Sie mit anderen Änderungen fortfahren.
2. Laden Sie den .NET 4.7-Offlineinstaller herunter.
   1. Referenz: .NET Framework 4.7
   2. Stellen Sie sicher, dass Skype for Business Server 2015-Dienste auf dem Front-End-Server beendet wurden.
   3. Verweis: https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
   4. Ex (Standard Edition): Stop-CsWindowsService
   5. Beispiel (Enterprise Edition):Invoke-CsComputerFailover
   6. Führen Sie das Installationspaket aus.
   7. Starten Sie den Server neu.
3. Aktualisieren Sie SQL Express 2014 auf allen Servern.
   1. Verweis: https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server
   2. Herunterladen von SQL 2014 SP2
      • Verweis: https://www.microsoft.com/download/details.aspx?id=53168
   3. Kopieren Sie das Installationsmedium in einen Ordner auf dem Server (z. B. C:\01_2014SqlSp2).
   4. Stellen Sie sicher Skype for Business Server 2015-Dienste auf dem Front-End-Server beendet wurden
      • Ex (Standard Edition): Stop-CsWindowsService
      • Beispiel (Enterprise Edition):Invoke-CsComputerFailover
   5. Öffnen Sie eine Admin Eingabeaufforderung, und aktualisieren Sie alle installierten Komponenten und Instanzen.
      • Beispiel: C:\01_2014SqlSp2\SQLServer2014SP2-KB3171021-x64-ENU.exe /qs /IAcceptSQLServerLicenseTerms /Action=Patch /AllInstances
4. Aktualisieren sie SQL Native Client.
   1. Referenz: https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server.
   2. Herunterladen von https://www.microsoft.com/download/details.aspx?id=50402
   3. Stellen Sie sicher, dass Skype for Business Server 2015-Dienste auf dem Front-End-Server beendet wurden.
      • Ex (Standard Edition): Stop-CsWindowsServices
      • Beispiel (Enterprise Edition):Invoke-CsComputerFailover
   4. Beenden der Ausführung der installierten SQL-Instanzen
      • Ex: Get-Service 'MSSQL$RTCLOCAL' | Stop-Service
      • Ex: Get-Service 'MSSQL$LYNCLOCAL' | Stop-Service
      • Ex (nur Standard Edition): Get-Service 'MSSQL$RTC' | Stop-Service
   5. Installieren Sie das Update.
5. Aktualisieren Sie odbc Driver 11 for SQL Server to include support for TLS 1.2 (KB 3135244).
   1. Laden Sie den ODBC-Treiber 11 für SQL Server - Windows herunter.
   2. Stellen Sie sicher, dass Skype for Business Server 2015-Dienste auf dem Front-End-Server beendet wurden.
      • Beispiel (Standard Edition): Stop-CsWindowsService
      • Beispiel (Enterprise Edition):Invoke-CsComputerFailover
   3. Installieren Sie das Update.
6. Stellen Sie erforderliche Registrierungsschlüssel bereit.

Erforderliche Registrierungsschlüssel

Kopieren Sie den folgenden Test, fügen Sie ihn in Editor ein, benennen Sie TLSPreReq.reg oder einen Namen Ihrer Wahl um, und importieren Sie dann:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

Für SQL-Back-Ends für Enterprise Edition Pools sollten Voraussetzungen und TLS-Deaktivierung wie alle SQL- oder Betriebssystemupdates behandelt werden. Weitere Informationen finden Sie unter:https://learn.microsoft.com/skypeforbusiness/manage/topology/patch-or-update-a-back-end-or-standard-edition-server

Obwohl sowohl die Schritte für die erforderliche Anwendung als auch die TLS-Deaktivierung kombiniert werden können, wird dringend empfohlen, alle Voraussetzungen anzuwenden, bevor Sie mit der Deaktivierung von TLS 1.0 und 1.1 auf Betriebssystemebene fortfahren. Der bewährte Ansatz besteht darin, die Umgebung vorzubereiten, indem alle Voraussetzungen bereitgestellt werden, überprüft wird, dass alle Workloads ordnungsgemäß und wie erwartet funktionieren, und dann mit der TLS 1.0/1.1-Deaktivierung zu einem späteren Zeitpunkt fortzufahren.

Deaktivieren von TLS 1.0 und 1.1 über den Registrierungsimport

Bevor Sie mit den nächsten Schritten fortfahren, stellen Sie sicher, dass sie alle Voraussetzungen erfüllt und Skype for Business Server aktualisiert haben.

Kopieren Sie den folgenden Text in eine Editor-Datei, und benennen Sie ihn in TLSDisable.reg um:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]

"Functions"="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"AllowInsecureRenegoClients"=dword:00000000

"AllowInsecureRenegoServers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 256/256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA384]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA512]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\ECDH]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

Importieren Sie die REG-Datei auf jedem Server, auf dem Sie TLS 1.0 und 1.1 deaktivieren möchten. Starten Sie den Server neu. Sobald die Dienste wieder online geschaltet sind, wechseln Sie zum nächsten Server. Der Ansatz für Enterprise Edition Pools ist derselbe, den Sie für jedes Betriebssystemupdate verwenden würden.

Möglicherweise haben Sie bemerkt, dass wir hier nicht nur TLS 1.0 und 1.1 deaktivieren. Wir unterstützen die Neuordnung von Cipher Suite (wie oben gezeigt) und die Deaktivierung einiger älterer schwacher Verschlüsselungen. Dies ist das erste Mal, dass wir diese Änderungen an SCHANNEL und Crypto API auf Skype for Business Server offiziell unterstützt haben, und es ist wichtig zu beachten, dass diese Änderungen die einzigen sind, die wir unterstützen und zu diesem Zeitpunkt getestet haben. Wir können in Zukunft zusätzliche Konfigurationen in Betracht ziehen, aber ändern Sie vorerst nicht die Registrierungsimportdatei in Ihrer Implementierung.

Überprüfen, ob Workloads wie erwartet funktionieren

Nachdem TLS 1.0 und 1.1 in Ihrer Umgebung deaktiviert wurden, stellen Sie sicher, dass alle Ihre Standard-Workloads wie erwartet funktionieren, z. B. Im & Presence, P2P-Aufrufe, Enterprise-VoIP usw.

Überprüfen, ob nur TLS 1.2 verwendet wird

Lassen Sie Ihr Sicherheitsteam eine neue Überwachung Skype for Business Datenverkehrs durchführen, um sicherzustellen, dass die älteren Protokolle TLS 1.0 und 1.1 nicht mehr verwendet werden.

Alternativ können Sie internet Explorer verwenden, um TLS-Verbindungen mit Webdiensten von Skype for Business Server 2015 zu testen, nachdem TLS 1.0 und TLS 1.1 deaktiviert wurden.

1. Starten Sie Internet Explorer.
2. Wählen Sie Extras>Internetoptionen aus.
3. Wählen Sie die Registerkarte Erweitert aus.
4. Scrollen Sie unter Einstellungen nach unten.
5. Vergewissern Sie sich, dass TLS 1.0, TLS 1.1 und TLS 1.2 aktiviert sind.
6. Durchsuchen Sie die interne Webdienst-URL Ihres SfB 2015-Pools (sollte erfolgreich hergestellt werden).
7. Zurück in internet Explorer, und deaktivieren Sie die Option Nur TLS 1.2 verwenden.
8. Durchsuchen Sie die interne Webdienst-URL Ihres SfB 2015-Pools erneut (sollte keine Verbindung herstellen).

Erweiterte Bereitstellungsszenarien

Da einige Abhängigkeitsvoraussetzungen erforderlich sind, um TLS 1.2 in Skype for Business Server 2015 zu unterstützen, schlägt die Installation von RTM-Medien auf jedem System fehl, auf dem TLS 1.0 und 1.1 deaktiviert wurden.

Bereitstellen neuer Standard Edition-Server oder Enterprise Edition Pools, nachdem TLS 1.0 und 1.1 in Ihrer Umgebung deaktiviert wurden.

Option 1: Verwenden Sie SmartSetup. Beachten Sie, dass wir SmartSetup aktualisieren, um die aktualisierten SQL-Binärdateien in einem zukünftigen CU zu berücksichtigen, und diesen Artikel in Zukunft aktualisieren werden.

Option 2: Vorinstallation lokaler SQL-Instanzen (RTCLOCAL und LYNCLOCAL)

1. Laden Sie SQL Express 2014 SP2 (SQLEXPR_x64.exe) herunter, und kopieren Sie es in den lokalen Ordner auf FE. Angenommen, der Ordnerpfad <SQL_FOLDER_PATH>.

2. Starten Sie PowerShell oder die Eingabeaufforderung, und navigieren Sie zu <SQL_FOLDER_PATH>.

3. Erstellen Sie die RTCLOCAL SQL-instance, indem Sie den folgenden Befehl ausführen. Warten Sie, bis SQLEXPR_x64.exe abgeschlossen ist, bevor Sie fortfahren:

   SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=RTCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT="NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automati

4. Erstellen Sie die LYNCLOCAL SQL-instance, indem Sie den folgenden Befehl ausführen. Warten Sie, bis SQLEXPR_x64.exe abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren:

   SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine,Tools /INSTANCENAME=LYNCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT="NT AUTHORITY\NetworkService" /SQLSYSADMINACCOUNTS="Builtin\Administrators" /BROWSERSVCSTARTUPTYPE="Automatic" /AGTSVCACCOUNT="NTAUTHORITY\NetworkService" /SQLSVCSTARTUPTYPE=Automatic

5. Führen Sie Skype for Business Server RTM-Setup 2015 aus.

6. Führen Sie die verbleibenden Schritte aus dem abschnitt "Voraussetzungen" weiter oben aus.

Option 3: Sie können Binärdateien auch manuell in einem lokalen Installationsmedienverzeichnis wie folgt ersetzen:

1. Installieren der erforderlichen Komponenten für Skype for Business Server
2. Installieren Sie .NET 4.7:
   • Hinweis: Die Unterstützung für .NET 4.7 wurde erstmals in Skype for Business Server 2015 CU5 (6.0.9319.281) eingeführt. Daher aktualisieren wir in späteren Schritten die Kernkomponenten vor der Standard Installation.
   • Download: https://dotnet.microsoft.com/download/dotnet-framework/net47.
   • Referenz: Software, die vor einer Skype for Business Server 2015-Bereitstellung installiert werden soll
3. Kopieren von ISO-Dateien/Ordnern:
   • Wenn die Skype for Business Server 2015 ISO angefügt ist, öffnen Sie das Stammverzeichnis des Laufwerks, das als (z. B. D:) in Explorer angefügt ist.
   • Kopieren Sie alle Ordner und Dateien in einen Ordner auf einem lokalen Datenträger (z. B. C:\SkypeForBusiness2015ISO).
   • Hinweis: Vor der Installation von Komponenten müssen einige Dateien für die Unterstützung von TLS 1.2 aktualisiert werden.
4. Msi/EXE-Pakete ersetzen:
   • Ersetzen Sie die vorhandenen MSI- und EXE-Pakete im Ordner /Setup/amd64/ des Installationsmediums auf dem lokalen Computer.
   • SQL 2014 SP2 Express: https://www.microsoft.com/download/details.aspx?id=53167
     • Benennen Sie auf dem lokalen Computer in SQLEXPR_x64 um, und ersetzen Sie die vorhandene Datei im Ordner Setup/amd64/ des Installationsmediums.
   • SQL Native Client:https://www.microsoft.com/download/details.aspx?id=50402
     • Hinweis: Benennen Sie dies ggf. in sqlncli.msi um, und ersetzen Sie dann die vorhandene Datei, die im Ordner Setup/amd64/ des Installationsmediums vorhanden ist.
   • SQL-Verwaltungsobjekte: https://www.microsoft.com/download/details.aspx?id=53164
     • Hinweis: Das Feature Pack enthält viele Elemente, die heruntergeladen werden können. Wählen Sie diese Option aus, um nur SharedManagementObjects.msi herunterzuladen.
     • Hinweis: Ersetzen Sie die vorhandene Datei, die im Ordner Setup/amd64/ des Installationsmediums vorhanden ist.
   • SQL CLR-Typen: https://www.microsoft.com/download/details.aspx?id=53164
     • Hinweis: Das Feature Pack enthält viele Elemente, die heruntergeladen werden können. Wählen Sie diese Option aus, um nur CQLSysClrTypes.msi herunterzuladen.
     • Hinweis: Ersetzen Sie die vorhandene Datei, die im Ordner Setup/amd64/ des Installationsmediums vorhanden ist.
5. Installieren von Kernkomponenten:
   • Führen Sie Setup.exe im Ordner Setup/amd64/ des Installationsmediums aus. Befolgen Sie die Anweisungen zum Installieren von Kernkomponenten.
   • Schließen Sie Kernkomponenten.
6. Aktualisieren von Kernkomponenten:
   • Laden Sie das Skype for Business Update-Installationsprogramm herunter.
   • Führen Sie das Installationsprogramm aus, um die Kernkomponenten zu aktualisieren und die Leistungsindikatoren zu installieren.
   • Hinweis: Ab der Veröffentlichung von CU6HF2 wird das Feature für automatische Updates derzeit nur bis zu CU6 installiert. Daher muss das Updater separat ausgeführt werden, um die Kernkomponenten auf 6.0.9319.516 zu aktualisieren.
   • Verweis: https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
7. Installieren der Verwaltungstools (optional):
   • Dadurch werden microsoft SQL Server 2012 Native Client, SQL Server 2014 Management Objects (x64) und Microsoft System CLR Types for SQL Server 2014 (x64) mithilfe der aktualisierten Dateien installiert. Darüber hinaus sind der Skype for Business Server 2015 Topologie-Generator und Systemsteuerung auf dem lokalen Computer verfügbar.
8. Installieren Des lokalen Konfigurationsspeichers (Schritt 1):
   • Öffnen Sie den Bereitstellungs-Assistenten, klicken Sie auf Skype for Business Server System installieren oder aktualisieren, und klicken Sie auf Ausführen unter Schritt 1: Installieren des lokalen Konfigurationsspeichers.
   • Klicken Sie im Dialogfeld Lokalen Konfigurationsspeicher installieren auf Weiter.
   • Überprüfen Sie die Ergebnisse, und stellen Sie sicher, dass der Vorgangsstatus abgeschlossen ist. Überprüfen Sie die resultierende Protokolldatei, indem Sie auf Protokoll anzeigen klicken.
   • Klicken Sie auf Fertig stellen.
9. Einrichten oder Entfernen von Skype for Business Server-Komponenten (Schritt 2):
   • Öffnen Sie den Bereitstellungs-Assistenten, klicken Sie auf Skype for Business Server System installieren oder aktualisieren, und klicken Sie auf Ausführen in Schritt 2: Einrichten oder Entfernen von Skype for Business Server-Komponenten.
   • Klicken Sie im Dialogfeld Skype for Business Server Komponenten einrichten auf Weiter.
   • Überprüfen Sie das Protokoll mithilfe von Protokoll anzeigen, und überprüfen Sie, ob das Setup ohne Probleme abgeschlossen wurde.
   • Klicken Sie auf Fertig stellen.
10. Fahren Sie nach Bedarf mit einer zusätzlichen Installation und Konfiguration fort (Sie können die normalen Installationsverfahren an diesem Punkt fortsetzen).