Informationen zum IIS-SSL-Diagnosetool für SDP
In diesem Artikel werden die Von einem Computer gesammelten Informationen beschrieben, wenn Sie die SSL-Diagnose (Microsoft-Internetinformationsdienste (IIS) Secure Sockets Layer (Secure Sockets Layer) auf einem Computer ausführen, auf dem Probleme beim Durchsuchen von Websites auftreten, die über SSL ausgeführt werden.
Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 2753695
Zusammenfassung
Das IIS SSL-Diagnosetool für support Diagnostic Platform (SDP) ist für die Behandlung von SSL-Problemen in IIS konzipiert und sammelt Informationen, die zur Behandlung häufiger SSL-Probleme verwendet werden. Diese Diagnose ermöglicht es dem Benutzer auch, ein ETW-Ablaufverfolgungsprotokoll (Event Tracing for Windows) für die ANBIETER IIS und Secure Channel (Schannel) zu erfassen.
Betriebssystem
Beschreibung |
---|
Computername |
OS Name |
Build |
Zeitzone/Offset |
Letzter Neustart/Betriebszeit |
Benutzerkontensteuerung |
Benutzername |
Computersystem
Beschreibung |
---|
Computermodell |
Prozessor(en) |
Computerdomäne |
Rolle |
RAM (physisch) |
Certutil-Ausgabe
Beschreibung | Dateiname |
---|---|
Diese Datei enthält die Ausgabe der Ausführung des Befehls certutil -verify store auf dem Fingerabdruck des Zertifikats, das jeder Bindung auf der Website zugewiesen ist. | {Computername}_CERTUTIL_VERFIYSTORE_CERT(n).TXT |
Diese Datei enthält Speicherabbilder für den CRL-URL-Cache des Betriebssystems (abgerufen durch Ausführen des Befehls certutil -url cache CRL). | {Computername}_CERTUTIL_CRL_CACHE.TXT |
Ereignisprotokolldateien
Beschreibung | Dateiname |
---|---|
Anwendungsereignisprotokoll | {Computername}_evt_Application.evtx |
Systemereignisprotokoll | {Computername}_evt_System.evtx |
Sicherheitsereignisprotokoll | {Computername}_evt_Security.evtx |
IIS-Konfiguration
Beschreibung | Dateiname |
---|---|
IIS/ASP.NET-Konfigurationsdateien | {Computername}_IISConfiguration.zip |
IIS-Protokolldateien
Beschreibung | Dateiname |
---|---|
Wenn während der Ausführung die Option zum Sammeln von ETW-Ablaufverfolgungen ausgewählt ist, enthält diese Datei die ETW-Ablaufverfolgung, die verschiedene IIS- und SCHANNEL-Anbieter aktiviert. | {Computername}_IISSSLETWLOGFILES.zip |
IIS-SSL-bezogene Registrierungseinstellung
Beschreibung | Dateiname |
---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP |
{Computername}_REG_SERVICES_HTTP.TXT |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL |
{Computername}_REG_SCHANNEL.TXT |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults |
{Computername}_REG_CRYPTOGRAPHY.TXT |
Installierte Updates/Hotfixes
Beschreibung | Dateiname |
---|---|
Update-/Hotfixverlauf | {Computername}_Hotfixes.CSV |
Update-/Hotfixverlauf | {Computername}_Hotfixes.htm |
Update-/Hotfixverlauf | {Computername}_Hotfixes.TXT |
Netzwerkinformationen
Beschreibung | Dateiname |
---|---|
GRUNDLEGENDE INFORMATIONEN ZU TCP/IP | {Computername}_TcpIp-Info.txt |
Grundlegende SMB-Informationen | {Computername}_SMB-Info.txt |
Bericht zu SSL-Einstellungen
Beschreibung | Dateiname |
---|---|
Diese Datei enthält Informationen zu verschiedenen Metabasiseinstellungen, die für die Behandlung von SSL-Problemen relevant sind, z. B. AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS-Clientzertifikatzuordnung, AD-Clientzertifikatauthentifizierung. Außerdem werden die status der IIS-Dienste aufgelistet und Details zu jeder auf der Website konfigurierten sicheren Bindung mit den Details des daran gebundenen Zertifikats bereitgestellt. Auch wenn eines der SSL-bezogenen Protokolle auf dem Server deaktiviert ist, enthält diese Datei Informationen zu diesen Protokollen. Wenn die Richtlinie zum Ändern der Reihenfolge der Verschlüsselungssammlungen festgelegt ist, wird die angegebene Reihenfolge auch in dieser Datei angezeigt. |
{Computername}_SSLReport.htm |
Virtualisierungsinformationen
Beschreibung | Dateiname |
---|---|
Machine Virtualization Information im HTM-Format | {Computername}_Virtualization.htm |
Machine Virtualization Information im TXT-Format | {Computername}_Virtualization.txt |
Weitere Informationen
Wenn der Benutzer das Erfassen eines IIS ETW-Protokolls auswählt, aktiviert die Diagnose die IIS ETW-Ablaufverfolgung namens IIS ETW SDP Trace. Die Diagnose beendet diese Ablaufverfolgung automatisch, wenn der Benutzer als Nächstes klickt, während die Ablaufverfolgung ausgeführt wird. Wenn der Benutzer auf Abbrechen klickt, sollte er die Ablaufverfolgung mit dem folgenden Befehl an einer Administrativen Eingabeaufforderung beenden:
logman.exe stop "IIS ETW SDP Trace" -ets
Zusätzlich zu den gesammelten Informationen, die in diesen Tabellen aufgeführt sind, kann diese Problembehandlung eine oder mehrere der folgenden Situationen erkennen:
IIS-bezogene Dienste in einem ausgeführten Zustand oder nicht.
Gibt an, ob die Website eine SSL-Bindung enthält oder nicht.
Ob HTTP.SYS am SSL-Bindungsport lauscht oder ob der Port von einer anderen ausführbaren Datei belegt wird.
Gibt an, ob der Website ein Zertifikat zugewiesen ist, das der sicheren Bindung zugewiesen ist.
Gibt an, ob sich die Website im Startzustand befindet oder nicht.
Wenn die Active Directory-Clientzertifikatauthentifizierung aktiviert ist und die
DsMapperUsage
Einstellung in der Bindung mit der Einstellung des Standorts übereinstimmt.Wenn die Active Directory-Clientzertifikatauthentifizierung auf der Website aktiviert ist, benötigen oder akzeptieren wir die Clientzertifikate nicht.
Berechtigungen für den Ordner "Computerschlüssel".
Gibt an, ob das in den Websitebindungen angegebene Bindungsformat korrekt ist oder nicht.
Wenn die Einschlussliste des Internetprotokolls (IP) auf dem Server konfiguriert ist und die in der Websitebindung konfigurierte IP-Adresse in der IP-Einschlussliste nicht vorhanden ist.
Gibt an, ob der Typ des Zertifikats korrekt ist oder nicht (d. a. Beabsichtigte Zwecke: Serverauthentifizierung).
Wenn das Zertifikat archiviert ist.
Wenn im Zertifikat der private Schlüssel fehlt.
Falsch
Key-Spec
(das heißt, wenn für das Zertifikat eineAT_EXCHANGE
andereKEYSPEC
als definiert ist).Wenn das Zertifikat einen alternativen Antragstellernamen aufweist, wird eine Informationsmeldung angezeigt.
Wenn das Zertifikat einen alternativen Antragstellernamen hat, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie mit der Bindungs- und Portkombination übereinstimmen oder nicht. Wenn dies der Fall ist, wird abgeglichen, ob die Bindung dasselbe Zertifikat aufweist oder nicht und ob die Hostheader nicht übereinstimmen.
Wenn das Zertifikat über einen Wildcard-Wert verfügt, wird eine Informationsmeldung angezeigt.Wenn das Zertifikat über Einen Wildcard verfügt, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie mit der Bindungs- und Portkombination übereinstimmen oder nicht. Wenn dies der Fall ist, wird abgeglichen, ob die Bindung dasselbe Zertifikat aufweist oder nicht und ob die Hostheader nicht übereinstimmen.
Gibt an, ob die Überprüfung des Serverzertifikats erfolgreich ist.
Überprüft, ob das Zertifikat abgelaufen ist.
Gibt an, ob eines der SSL-Protokolle auf dem Server deaktiviert ist.
Gibt an, ob die Reihenfolge der Verschlüsselungssammlungen auf dem Server geändert wurde.
Überprüfen Sie, ob einer der Schlüssel des Zertifikats eine Länge von weniger als 1024 Bit hat.
Wenn MS12-006 auf dem Computer installiert ist.