Informationen zum IIS-SSL-Diagnosetool für SDP

Artikel
01/29/2023

In diesem Artikel werden die Von einem Computer gesammelten Informationen beschrieben, wenn Sie die SSL-Diagnose (Microsoft-Internetinformationsdienste (IIS) Secure Sockets Layer (Secure Sockets Layer) auf einem Computer ausführen, auf dem Probleme beim Durchsuchen von Websites auftreten, die über SSL ausgeführt werden.

Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 2753695

Zusammenfassung

Das IIS SSL-Diagnosetool für support Diagnostic Platform (SDP) ist für die Behandlung von SSL-Problemen in IIS konzipiert und sammelt Informationen, die zur Behandlung häufiger SSL-Probleme verwendet werden. Diese Diagnose ermöglicht es dem Benutzer auch, ein ETW-Ablaufverfolgungsprotokoll (Event Tracing for Windows) für die ANBIETER IIS und Secure Channel (Schannel) zu erfassen.

Betriebssystem

Beschreibung
Computername
OS Name
Build
Zeitzone/Offset
Letzter Neustart/Betriebszeit
Benutzerkontensteuerung
Benutzername

Computersystem

Beschreibung
Computermodell
Prozessor(en)
Computerdomäne
Rolle
RAM (physisch)

Certutil-Ausgabe

Beschreibung	Dateiname
Diese Datei enthält die Ausgabe der Ausführung des Befehls certutil -verify store auf dem Fingerabdruck des Zertifikats, das jeder Bindung auf der Website zugewiesen ist.	{Computername}_CERTUTIL_VERFIYSTORE_CERT(n).TXT
Diese Datei enthält Speicherabbilder für den CRL-URL-Cache des Betriebssystems (abgerufen durch Ausführen des Befehls certutil -url cache CRL).	{Computername}_CERTUTIL_CRL_CACHE.TXT

Ereignisprotokolldateien

Beschreibung	Dateiname
Anwendungsereignisprotokoll	{Computername}_evt_Application.evtx
Systemereignisprotokoll	{Computername}_evt_System.evtx
Sicherheitsereignisprotokoll	{Computername}_evt_Security.evtx

IIS-Konfiguration

Beschreibung	Dateiname
IIS/ASP.NET-Konfigurationsdateien	{Computername}_IISConfiguration.zip

IIS-Protokolldateien

Beschreibung	Dateiname
Wenn während der Ausführung die Option zum Sammeln von ETW-Ablaufverfolgungen ausgewählt ist, enthält diese Datei die ETW-Ablaufverfolgung, die verschiedene IIS- und SCHANNEL-Anbieter aktiviert.	{Computername}_IISSSLETWLOGFILES.zip

Beschreibung	Dateiname
`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP`	{Computername}_REG_SERVICES_HTTP.TXT
`HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL`	{Computername}_REG_SCHANNEL.TXT
`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults`	{Computername}_REG_CRYPTOGRAPHY.TXT

Installierte Updates/Hotfixes

Beschreibung	Dateiname
Update-/Hotfixverlauf	{Computername}_Hotfixes.CSV
Update-/Hotfixverlauf	{Computername}_Hotfixes.htm
Update-/Hotfixverlauf	{Computername}_Hotfixes.TXT

Netzwerkinformationen

Beschreibung	Dateiname
GRUNDLEGENDE INFORMATIONEN ZU TCP/IP	{Computername}_TcpIp-Info.txt
Grundlegende SMB-Informationen	{Computername}_SMB-Info.txt

Bericht zu SSL-Einstellungen

Beschreibung	Dateiname
Diese Datei enthält Informationen zu verschiedenen Metabasiseinstellungen, die für die Behandlung von SSL-Problemen relevant sind, z. B. AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS-Clientzertifikatzuordnung, AD-Clientzertifikatauthentifizierung. Außerdem werden die status der IIS-Dienste aufgelistet und Details zu jeder auf der Website konfigurierten sicheren Bindung mit den Details des daran gebundenen Zertifikats bereitgestellt. Auch wenn eines der SSL-bezogenen Protokolle auf dem Server deaktiviert ist, enthält diese Datei Informationen zu diesen Protokollen. Wenn die Richtlinie zum Ändern der Reihenfolge der Verschlüsselungssammlungen festgelegt ist, wird die angegebene Reihenfolge auch in dieser Datei angezeigt.	{Computername}_SSLReport.htm

Beschreibung

Dateiname

Diese Datei enthält Informationen zu verschiedenen Metabasiseinstellungen, die für die Behandlung von SSL-Problemen relevant sind, z. B. AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS-Clientzertifikatzuordnung, AD-Clientzertifikatauthentifizierung.

Außerdem werden die status der IIS-Dienste aufgelistet und Details zu jeder auf der Website konfigurierten sicheren Bindung mit den Details des daran gebundenen Zertifikats bereitgestellt.

Auch wenn eines der SSL-bezogenen Protokolle auf dem Server deaktiviert ist, enthält diese Datei Informationen zu diesen Protokollen.

Wenn die Richtlinie zum Ändern der Reihenfolge der Verschlüsselungssammlungen festgelegt ist, wird die angegebene Reihenfolge auch in dieser Datei angezeigt.

{Computername}_SSLReport.htm

Virtualisierungsinformationen

Beschreibung	Dateiname
Machine Virtualization Information im HTM-Format	{Computername}_Virtualization.htm
Machine Virtualization Information im TXT-Format	{Computername}_Virtualization.txt

Weitere Informationen

Wenn der Benutzer das Erfassen eines IIS ETW-Protokolls auswählt, aktiviert die Diagnose die IIS ETW-Ablaufverfolgung namens IIS ETW SDP Trace. Die Diagnose beendet diese Ablaufverfolgung automatisch, wenn der Benutzer als Nächstes klickt, während die Ablaufverfolgung ausgeführt wird. Wenn der Benutzer auf Abbrechen klickt, sollte er die Ablaufverfolgung mit dem folgenden Befehl an einer Administrativen Eingabeaufforderung beenden:

logman.exe stop "IIS ETW SDP Trace" -ets

Zusätzlich zu den gesammelten Informationen, die in diesen Tabellen aufgeführt sind, kann diese Problembehandlung eine oder mehrere der folgenden Situationen erkennen:

IIS-bezogene Dienste in einem ausgeführten Zustand oder nicht.
Gibt an, ob die Website eine SSL-Bindung enthält oder nicht.
Ob HTTP.SYS am SSL-Bindungsport lauscht oder ob der Port von einer anderen ausführbaren Datei belegt wird.
Gibt an, ob der Website ein Zertifikat zugewiesen ist, das der sicheren Bindung zugewiesen ist.
Gibt an, ob sich die Website im Startzustand befindet oder nicht.
Wenn die Active Directory-Clientzertifikatauthentifizierung aktiviert ist und die DsMapperUsage Einstellung in der Bindung mit der Einstellung des Standorts übereinstimmt.
Wenn die Active Directory-Clientzertifikatauthentifizierung auf der Website aktiviert ist, benötigen oder akzeptieren wir die Clientzertifikate nicht.
Berechtigungen für den Ordner "Computerschlüssel".
Gibt an, ob das in den Websitebindungen angegebene Bindungsformat korrekt ist oder nicht.
Wenn die Einschlussliste des Internetprotokolls (IP) auf dem Server konfiguriert ist und die in der Websitebindung konfigurierte IP-Adresse in der IP-Einschlussliste nicht vorhanden ist.
Gibt an, ob der Typ des Zertifikats korrekt ist oder nicht (d. a. Beabsichtigte Zwecke: Serverauthentifizierung).
Wenn das Zertifikat archiviert ist.
Wenn im Zertifikat der private Schlüssel fehlt.
Falsch Key-Spec (das heißt, wenn für das Zertifikat eine AT_EXCHANGEandere KEYSPEC als definiert ist).
Wenn das Zertifikat einen alternativen Antragstellernamen aufweist, wird eine Informationsmeldung angezeigt.
Wenn das Zertifikat einen alternativen Antragstellernamen hat, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie mit der Bindungs- und Portkombination übereinstimmen oder nicht. Wenn dies der Fall ist, wird abgeglichen, ob die Bindung dasselbe Zertifikat aufweist oder nicht und ob die Hostheader nicht übereinstimmen.
Wenn das Zertifikat über einen Wildcard-Wert verfügt, wird eine Informationsmeldung angezeigt.
Wenn das Zertifikat über Einen Wildcard verfügt, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie mit der Bindungs- und Portkombination übereinstimmen oder nicht. Wenn dies der Fall ist, wird abgeglichen, ob die Bindung dasselbe Zertifikat aufweist oder nicht und ob die Hostheader nicht übereinstimmen.
Gibt an, ob die Überprüfung des Serverzertifikats erfolgreich ist.
Überprüft, ob das Zertifikat abgelaufen ist.
Gibt an, ob eines der SSL-Protokolle auf dem Server deaktiviert ist.
Gibt an, ob die Reihenfolge der Verschlüsselungssammlungen auf dem Server geändert wurde.
Überprüfen Sie, ob einer der Schlüssel des Zertifikats eine Länge von weniger als 1024 Bit hat.
Wenn MS12-006 auf dem Computer installiert ist.