Informationen zum IIS SSL-Diagnosetool für SDP

Artikel
03/28/2022
3 Minuten Lesedauer

In diesem Artikel werden die Informationen beschrieben, die von einem Computer gesammelt werden, wenn Sie die SSL-Diagnose (Microsoft-Internetinformationsdienste(IIS) Secure Sockets Layer( IIS) auf einem Computer ausführen, auf dem Beim Browsen zu Websites, die über SSL ausgeführt werden, Probleme auftreten.

Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 2753695

Zusammenfassung

Das IIS-SSL-Diagnosetool für die Supportdiagnoseplattform (SDP) wurde entwickelt, um SSL-Probleme in IIS zu beheben, und sammelt Informationen, die zur Problembehandlung gängiger SSL-Probleme verwendet werden. Diese Diagnose ermöglicht es dem Benutzer auch, eine Ereignisablaufverfolgung für Windows (ETW)-Ablaufverfolgungsprotokoll für die ANBIETER VON IIS und Secure Channel (Schannel) zu erfassen.

Betriebssystem

Beschreibung
Computername
OS Name
Erstellen
Zeitzone/Offset
Letzter Neustart/Betriebszeit
Benutzerkontensteuerung
Benutzername

Computersystem

Beschreibung
Computermodell
Prozessor(en)
Computerdomäne
Rolle
RAM (physisch)

Certutil-Ausgabe

Beschreibung	Dateiname
Diese Datei enthält die Ausgabe der Ausführung des Befehls "certutil -verify store" auf dem Fingerabdruck des Zertifikats, das jeder Bindung auf der Website zugewiesen ist.	{Computername}_CERTUTIL_VERFIYSTORE_CERT(n).TXT
Diese Datei enthält Abbilder des CRL-URL-Cache des Betriebssystems (abgerufen durch Ausführen des Befehls "certutil -url cache CRL").	{Computername}_CERTUTIL_CRL_CACHE.TXT

Ereignisprotokolldateien

Beschreibung	Dateiname
Anwendungsereignisprotokoll	{Computername}_evt_Application.evtx
Systemereignisprotokoll	{Computername}_evt_System.evtx
Sicherheitsereignisprotokoll	{Computername}_evt_Security.evtx

IIS-Konfiguration

Beschreibung	Dateiname
IIS/ASP.NET-Konfigurationsdateien	{Computername}_IISConfiguration.zip

IIS-Protokolldateien

Beschreibung	Dateiname
Wenn während der Ausführung die Option zum Sammeln von ETW-Ablaufverfolgungen ausgewählt ist, enthält diese Datei die ETW-Ablaufverfolgung, wodurch verschiedene IIS- und SCHANNEL-Anbieter aktiviert werden.	{Computername}_IISSSLETWLOGFILES.zip

Beschreibung	Dateiname
`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP`	{Computername}_REG_SERVICES_HTTP.TXT
`HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL`	{Computername}_REG_SCHANNEL.TXT
`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults`	{Computername}_REG_CRYPTOGRAPHY.TXT

Installierte Updates/Hotfixes

Beschreibung	Dateiname
Update-/Hotfixverlauf	{Computername}_Hotfixes.CSV
Update-/Hotfixverlauf	{Computername}_Hotfixes.htm
Update-/Hotfixverlauf	{Computername}_Hotfixes.TXT

Netzwerkinformationen

Beschreibung	Dateiname
GRUNDLEGENDE INFORMATIONEN ZU TCP/IP	{Computername}_TcpIp-Info.txt
Grundlegende Informationen zu SMB	{Computername}_SMB-Info.txt

SSL-Einstellungsbericht

Beschreibung	Dateiname
Diese Datei enthält Informationen zu verschiedenen Metabasiseinstellungen, die für die Behandlung von SSL-Problemen relevant sind, z. B. AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS-Clientzertifikatzuordnung, AD-Clientzertifikatauthentifizierung. Außerdem wird der Status der IIS-Dienste aufgelistet und Details zu jeder sicheren Bindung bereitgestellt, die auf der Website konfiguriert ist und die Details des an sie gebundenen Zertifikats anzeigt. Wenn eines der SSL-bezogenen Protokolle auf dem Server deaktiviert ist, enthält diese Datei auch Informationen zu diesen Protokollen. Wenn die Richtlinie zum Ändern der Reihenfolge der Cipher Suites, wird die angegebene Reihenfolge auch in dieser Datei angezeigt.	{Computername}_SSLReport.htm

Beschreibung

Dateiname

Diese Datei enthält Informationen zu verschiedenen Metabasiseinstellungen, die für die Behandlung von SSL-Problemen relevant sind, z. B. AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS-Clientzertifikatzuordnung, AD-Clientzertifikatauthentifizierung.

Außerdem wird der Status der IIS-Dienste aufgelistet und Details zu jeder sicheren Bindung bereitgestellt, die auf der Website konfiguriert ist und die Details des an sie gebundenen Zertifikats anzeigt.

Wenn eines der SSL-bezogenen Protokolle auf dem Server deaktiviert ist, enthält diese Datei auch Informationen zu diesen Protokollen.

Wenn die Richtlinie zum Ändern der Reihenfolge der Cipher Suites, wird die angegebene Reihenfolge auch in dieser Datei angezeigt.

{Computername}_SSLReport.htm

Virtualisierungsinformationen

Beschreibung	Dateiname
Informationen zur Computervirtualisierung im HTM-Format	{Computername}_Virtualization.htm
Machine Virtualization Information im TXT-Format	{Computername}_Virtualization.txt

Weitere Informationen

Wenn der Benutzer ein IIS ETW-Protokoll erfasst, aktiviert die Diagnose die IIS ETW-Ablaufverfolgung mit dem Namen IIS ETW SDP Trace. Die Diagnose beendet diese Ablaufverfolgung automatisch, wenn der Benutzer während der Ausführung der Ablaufverfolgung auf die nächste Klicks klickt. Wenn der Benutzer auf "Abbrechen" klickt, sollte er die Ablaufverfolgung mit dem folgenden Befehl an einer Administrativen Eingabeaufforderung beenden:

logman.exe stop "IIS ETW SDP Trace" -ets

Zusätzlich zu den gesammelten Informationen, die in diesen Tabellen aufgeführt sind, kann diese Problembehandlung eine oder mehrere der folgenden Situationen erkennen:

IIS-bezogene Dienste in einem ausgeführten Zustand oder nicht.
Gibt an, ob die Website eine SSL-Bindung enthält oder nicht.
Gibt an, ob HTTP.SYS den SSL-Bindungsport überwacht oder ob der Port von einer anderen ausführbaren Datei belegt ist.
Gibt an, ob der Website ein Zertifikat für die sichere Bindung zugewiesen wurde.
Gibt an, ob sich die Website im Status "Gestartet" befindet oder nicht.
Wenn die Active Directory-Clientzertifikatauthentifizierung aktiviert ist und die DsMapperUsage Einstellung für die Bindung mit der der Website übereinstimmt.
Wenn die Active Directory-Clientzertifikatauthentifizierung aktiviert ist, aber auf der Website, benötigen oder akzeptieren wir die Clientzertifikate nicht.
Berechtigungen für den Computerschlüsselordner.
Gibt an, ob das in den Websitebindungen angegebene Bindungsformat korrekt ist oder nicht.
Wenn die Ip-Einschlussliste (Internet Protocol) auf dem Server konfiguriert ist und die in der Websitebindung konfigurierte IP-Adresse in der IP-Einschlussliste nicht vorhanden ist.
Gibt an, ob der Zertifikattyp korrekt ist oder nicht (d. a. "Beabsichtigte Zwecke" bedeutet Serverauthentifizierung).
Wenn das Zertifikat archiviert ist.
Wenn dem Zertifikat der private Schlüssel fehlt.
Falsch Key-Spec (d. a. wenn für das Zertifikat ein anderes KEYSPEC Zertifikat definiert ist als AT_EXCHANGE).
Wenn das Zertifikat einen alternativen Antragstellernamen aufweist, wird eine Informationsmeldung angezeigt.
Wenn das Zertifikat einen alternativen Antragstellernamen aufweist, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie der Bindungs- und Portkombination entsprechen oder nicht, und wenn dies der Fall ist, wird abgeglichen, ob die Bindung dasselbe Zertifikat besitzt oder nicht, und ob die Hostheader nicht übereinstimmen.
Wenn das Zertifikat einen Platzhalter aufweist, wird eine Informationsmeldung angezeigt.
Wenn das Zertifikat über Platzhalter verfügt, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie mit der Bindungs- und Portkombination übereinstimmen oder nicht, und ob dies der Fall ist, wird abgeglichen, ob die Bindung dasselbe Zertifikat aufweist oder nicht, und ob die Hostheader nicht übereinstimmen.
Gibt an, ob die Überprüfung des Serverzertifikats erfolgreich ist.
Überprüft, ob das Zertifikat abgelaufen ist.
Gibt an, ob eines der SSL-Protokolle auf dem Server deaktiviert ist.
Gibt an, ob die Reihenfolge der Verschlüsselungssammlungen auf dem Server geändert wurde.
Überprüfen Sie, ob einer der Schlüssel des Zertifikats eine Länge von weniger als 1024 Bit hat.
Wenn MS12-006 auf dem Computer installiert ist.