Informationen zum IIS-SSL-Diagnosetool für SDP
In diesem Artikel werden die Informationen beschrieben, die von einem Computer erfasst werden, wenn Sie die Microsoft-Internetinformationsdienste (IIS) Secure Sockets Layer (SSL)-Diagnose auf einem Computer ausführen, auf dem Beim Browsen zu Websites, die über SSL ausgeführt werden, Probleme auftreten.
Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 2753695
Zusammenfassung
Das IIS-SSL-Diagnosetool für die Supportdiagnoseplattform (Support Diagnostic Platform, SDP) wurde für die Behandlung von Problemen mit SSL in IIS entwickelt und sammelt Informationen, die zur Behandlung häufiger SSL-Probleme verwendet werden. Diese Diagnose ermöglicht es dem Benutzer auch, ein Ablaufverfolgungsprotokoll für die Ereignisablaufverfolgung für Windows (ETW) für die Anbieter IIS und Secure Channel (Schannel) zu erfassen.
Betriebssystem
| Beschreibung |
|---|
| Computername |
| OS Name |
| Erstellen |
| Zeitzone/Offset |
| Letzter Neustart/Uptime |
| Benutzerkontensteuerung |
| Username |
Computersystem
| Beschreibung |
|---|
| Computermodell |
| Verarbeiter |
| Computerdomäne |
| Rolle |
| RAM (physisch) |
#A0
| Beschreibung | Dateiname |
|---|---|
| Diese Datei enthält die Ausgabe der Ausführung des Befehls "certutil -verify store" im Fingerabdruck des Zertifikats, das jeder Bindung auf der Website zugewiesen ist. | {Computername}_CERTUTIL_VERFIYSTORE_CERT(n). TXT |
| Diese Datei enthält Abbilder des CRL-URL-Caches des Betriebssystems (erhalten durch Ausführen des Befehls certutil -url cache CRL) | {Computername}_CERTUTIL_CRL_CACHE.TXT |
Ereignisprotokolldateien
| Beschreibung | Dateiname |
|---|---|
| Anwendungsereignisprotokoll | {Computername}_evt_Application.evtx |
| Systemereignisprotokoll | {Computername}_evt_System.evtx |
| Sicherheitsereignisprotokoll | {Computername}_evt_Security.evtx |
IIS-Konfiguration
| Beschreibung | Dateiname |
|---|---|
| IIS/ASP.NET-Konfigurationsdateien | {Computername}_IISConfiguration.zip |
IIS-Protokolldateien
| Beschreibung | Dateiname |
|---|---|
| Wenn während der Ausführung die Option zum Sammeln von ETW-Ablaufverfolgungen ausgewählt ist, enthält diese Datei die ETW-Ablaufverfolgung, die verschiedene IIS- und SCHANNEL-Anbieter ermöglicht. | {Computername}_IISSSLETWLOGFILES.zip |
IIS-SSL-bezogene Registrierungseinstellung
| Beschreibung | Dateiname |
|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP |
{Computername}_REG_SERVICES_HTTP.TXT |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL |
{Computername}_REG_SCHANNEL.TXT |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults |
{Computername}_REG_CRYPTOGRAPHY.TXT |
Installierte Updates/Hotfixes
| Beschreibung | Dateiname |
|---|---|
| Update-/Hotfixverlauf | {Computername}_Hotfixes.CSV |
| Update-/Hotfixverlauf | {Computername}_Hotfixes.htm |
| Update-/Hotfixverlauf | {Computername}_Hotfixes.TXT |
Netzwerkinformationen
| Beschreibung | Dateiname |
|---|---|
| TCP/IP- Grundlegende Informationen | {Computername}_TcpIp-Info.txt |
| Grundlegende Informationen zu SMB | {Computername}_SMB-Info.txt |
Bericht über DIE SSL-Einstellungen
| Beschreibung | Dateiname |
|---|---|
| Diese Datei enthält Informationen zu verschiedenen Metabasiseinstellungen, die für die Behandlung von SSL-Problemen relevant sind, z. B. AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS Client Certificate Mapping, AD Client Certificate authentication. Außerdem wird der Status der IIS-Dienste aufgeführt und Details zu jeder auf der Website konfigurierten sicheren Bindung mit den Details des zertifikatgebundenen Zertifikats angezeigt. Wenn eines der SSL-bezogenen Protokolle auf dem Server deaktiviert ist, enthält diese Datei auch Informationen zu diesen Protokollen. Wenn die Richtlinie zum Ändern der Reihenfolge der Verschlüsselungssammlungen, wird die angegebene Reihenfolge auch in dieser Datei angezeigt. |
{Computername}_SSLReport.htm |
Virtualisierungsinformationen
| Beschreibung | Dateiname |
|---|---|
| Informationen zur Computervirtualisierung im HTM-Format | {Computername}_Virtualization.htm |
| Informationen zur Computervirtualisierung im TXT-Format | {Computername}_Virtualization.txt |
Weitere Informationen
Wenn der Benutzer ein IIS-ETW-Protokoll sammelt, aktiviert die Diagnose iiS-ETW-Ablaufverfolgung namens IIS ETW SDP Trace. Die Diagnose beendet diese Ablaufverfolgung automatisch, wenn der Benutzer während der Ausführung der Ablaufverfolgung auf den nächsten Klick klickt. Wenn der Benutzer auf "Abbrechen" klickt, sollte er die Ablaufverfolgung mit dem folgenden Befehl an einer Eingabeaufforderung der Verwaltung beenden:
logman.exe stop "IIS ETW SDP Trace" -ets
Zusätzlich zu den gesammelten Informationen, die in diesen Tabellen aufgeführt sind, kann diese Problembehandlung eine oder mehrere der folgenden Situationen erkennen:
IIS-bezogene Dienste in einem ausgeführten Zustand oder nicht.
Gibt an, ob die Website eine SSL-Bindung enthält.
Ob HTTP.SYS den SSL-Bindungsport abhört oder ob der Port von einer anderen ausführbaren Datei belegt wird.
Gibt an, ob der Website ein Zertifikat für die sichere Bindung zugewiesen ist.
Gibt an, ob sich die Website im Status "Gestartet" befindet oder nicht.
Wenn die Active Directory-Clientzertifikatauthentifizierung aktiviert ist und die Einstellung für die Bindung mit der
DsMapperUsagedes Standorts entspricht.Wenn die Active Directory-Clientzertifikatauthentifizierung aktiviert ist, aber auf der Website, werden die Clientzertifikate nicht benötigt oder akzeptiert.
Berechtigungen für den Ordner "Computerschlüssel".
Gibt an, ob das in den Websitebindungen angegebene Bindungsformat korrekt ist.
Wenn die Inklusionsliste für das Internetprotokoll (IP) auf dem Server konfiguriert ist und die für die Websitebindung konfigurierte IP-Adresse nicht in der Liste der IP-Inklusion vorhanden ist.
Gibt an, ob der Zertifikattyp korrekt ist (d. h. "Beabsichtigte Zwecke" steht für "Serverauthentifizierung").
Wenn das Zertifikat archiviert wird.
Wenn dem Zertifikat der private Schlüssel fehlt.
Falsch
Key-Spec(d. h. wenn für das Zertifikat eine andere AlsKEYSPECdefiniertAT_EXCHANGEist).Wenn das Zertifikat den alternativen Namen des Betreffs hat, wird eine Informationsmeldung angezeigt.
Wenn das Zertifikat den alternativen Namen des Betreffs hat, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie mit der Bindungs- und Portkombination übereinstimmen oder nicht. Falls ja, wird abgegleich, ob die Bindung über das gleiche Zertifikat verfügt und ob die Hostheader nicht übereinstimmen.
Wenn das Zertifikat über einen Platzhalter verfügt, wird eine Informationsmeldung angezeigt.Wenn das Zertifikat über Platzhalter verfügt, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie mit der Bindungs- und Portkombination übereinstimmen oder nicht, und wenn ja, wird abgegleich, ob die Bindung über dasselbe Zertifikat verfügt und ob die Hostheader nicht übereinstimmen.
Gibt an, ob die Überprüfung des Serverzertifikats erfolgreich ist.
Überprüft, ob das Zertifikat abgelaufen ist.
Gibt an, ob eines der SSL-Protokolle auf dem Server deaktiviert ist.
Gibt an, ob die Reihenfolge der Verschlüsselungssammlungen auf dem Server geändert wurde.
Überprüfen Sie, ob einer der Schlüssel des Zertifikats eine Länge von weniger als 1024 Bit hat.
Wenn MS12-006 auf dem Computer installiert ist.