Informationen zum IIS-SSL-Diagnosetool für SDP

In diesem Artikel werden die Informationen beschrieben, die von einem Computer erfasst werden, wenn Sie die Microsoft-Internetinformationsdienste (IIS) Secure Sockets Layer (SSL)-Diagnose auf einem Computer ausführen, auf dem Beim Browsen zu Websites, die über SSL ausgeführt werden, Probleme auftreten.

Ursprüngliche Produktversion:   Internetinformationsdienste
Ursprüngliche KB-Nummer:   2753695

Zusammenfassung

Das IIS-SSL-Diagnosetool für die Supportdiagnoseplattform (Support Diagnostic Platform, SDP) wurde für die Behandlung von Problemen mit SSL in IIS entwickelt und sammelt Informationen, die zur Behandlung häufiger SSL-Probleme verwendet werden. Diese Diagnose ermöglicht es dem Benutzer auch, ein Ablaufverfolgungsprotokoll für die Ereignisablaufverfolgung für Windows (ETW) für die Anbieter IIS und Secure Channel (Schannel) zu erfassen.

Betriebssystem

Beschreibung
Computername
OS Name
Erstellen
Zeitzone/Offset
Letzter Neustart/Uptime
Benutzerkontensteuerung
Username

Computersystem

Beschreibung
Computermodell
Verarbeiter
Computerdomäne
Rolle
RAM (physisch)

#A0

Beschreibung Dateiname
Diese Datei enthält die Ausgabe der Ausführung des Befehls "certutil -verify store" im Fingerabdruck des Zertifikats, das jeder Bindung auf der Website zugewiesen ist. {Computername}_CERTUTIL_VERFIYSTORE_CERT(n). TXT
Diese Datei enthält Abbilder des CRL-URL-Caches des Betriebssystems (erhalten durch Ausführen des Befehls certutil -url cache CRL) {Computername}_CERTUTIL_CRL_CACHE.TXT

Ereignisprotokolldateien

Beschreibung Dateiname
Anwendungsereignisprotokoll {Computername}_evt_Application.evtx
Systemereignisprotokoll {Computername}_evt_System.evtx
Sicherheitsereignisprotokoll {Computername}_evt_Security.evtx

IIS-Konfiguration

Beschreibung Dateiname
IIS/ASP.NET-Konfigurationsdateien {Computername}_IISConfiguration.zip

IIS-Protokolldateien

Beschreibung Dateiname
Wenn während der Ausführung die Option zum Sammeln von ETW-Ablaufverfolgungen ausgewählt ist, enthält diese Datei die ETW-Ablaufverfolgung, die verschiedene IIS- und SCHANNEL-Anbieter ermöglicht. {Computername}_IISSSLETWLOGFILES.zip
Beschreibung Dateiname
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP {Computername}_REG_SERVICES_HTTP.TXT
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL {Computername}_REG_SCHANNEL.TXT
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults {Computername}_REG_CRYPTOGRAPHY.TXT

Installierte Updates/Hotfixes

Beschreibung Dateiname
Update-/Hotfixverlauf {Computername}_Hotfixes.CSV
Update-/Hotfixverlauf {Computername}_Hotfixes.htm
Update-/Hotfixverlauf {Computername}_Hotfixes.TXT

Netzwerkinformationen

Beschreibung Dateiname
TCP/IP- Grundlegende Informationen {Computername}_TcpIp-Info.txt
Grundlegende Informationen zu SMB {Computername}_SMB-Info.txt

Bericht über DIE SSL-Einstellungen

Beschreibung Dateiname
Diese Datei enthält Informationen zu verschiedenen Metabasiseinstellungen, die für die Behandlung von SSL-Problemen relevant sind, z. B. AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS Client Certificate Mapping, AD Client Certificate authentication.

Außerdem wird der Status der IIS-Dienste aufgeführt und Details zu jeder auf der Website konfigurierten sicheren Bindung mit den Details des zertifikatgebundenen Zertifikats angezeigt.

Wenn eines der SSL-bezogenen Protokolle auf dem Server deaktiviert ist, enthält diese Datei auch Informationen zu diesen Protokollen.

Wenn die Richtlinie zum Ändern der Reihenfolge der Verschlüsselungssammlungen, wird die angegebene Reihenfolge auch in dieser Datei angezeigt.
{Computername}_SSLReport.htm

Virtualisierungsinformationen

Beschreibung Dateiname
Informationen zur Computervirtualisierung im HTM-Format {Computername}_Virtualization.htm
Informationen zur Computervirtualisierung im TXT-Format {Computername}_Virtualization.txt

Weitere Informationen

Wenn der Benutzer ein IIS-ETW-Protokoll sammelt, aktiviert die Diagnose iiS-ETW-Ablaufverfolgung namens IIS ETW SDP Trace. Die Diagnose beendet diese Ablaufverfolgung automatisch, wenn der Benutzer während der Ausführung der Ablaufverfolgung auf den nächsten Klick klickt. Wenn der Benutzer auf "Abbrechen" klickt, sollte er die Ablaufverfolgung mit dem folgenden Befehl an einer Eingabeaufforderung der Verwaltung beenden:

logman.exe stop "IIS ETW SDP Trace" -ets

Zusätzlich zu den gesammelten Informationen, die in diesen Tabellen aufgeführt sind, kann diese Problembehandlung eine oder mehrere der folgenden Situationen erkennen:

  • IIS-bezogene Dienste in einem ausgeführten Zustand oder nicht.

  • Gibt an, ob die Website eine SSL-Bindung enthält.

  • Ob HTTP.SYS den SSL-Bindungsport abhört oder ob der Port von einer anderen ausführbaren Datei belegt wird.

  • Gibt an, ob der Website ein Zertifikat für die sichere Bindung zugewiesen ist.

  • Gibt an, ob sich die Website im Status "Gestartet" befindet oder nicht.

  • Wenn die Active Directory-Clientzertifikatauthentifizierung aktiviert ist und die Einstellung für die Bindung mit der DsMapperUsage des Standorts entspricht.

  • Wenn die Active Directory-Clientzertifikatauthentifizierung aktiviert ist, aber auf der Website, werden die Clientzertifikate nicht benötigt oder akzeptiert.

  • Berechtigungen für den Ordner "Computerschlüssel".

  • Gibt an, ob das in den Websitebindungen angegebene Bindungsformat korrekt ist.

  • Wenn die Inklusionsliste für das Internetprotokoll (IP) auf dem Server konfiguriert ist und die für die Websitebindung konfigurierte IP-Adresse nicht in der Liste der IP-Inklusion vorhanden ist.

  • Gibt an, ob der Zertifikattyp korrekt ist (d. h. "Beabsichtigte Zwecke" steht für "Serverauthentifizierung").

  • Wenn das Zertifikat archiviert wird.

  • Wenn dem Zertifikat der private Schlüssel fehlt.

  • Falsch Key-Spec (d. h. wenn für das Zertifikat eine andere Als KEYSPEC definiert AT_EXCHANGE ist).

  • Wenn das Zertifikat den alternativen Namen des Betreffs hat, wird eine Informationsmeldung angezeigt.

  • Wenn das Zertifikat den alternativen Namen des Betreffs hat, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie mit der Bindungs- und Portkombination übereinstimmen oder nicht. Falls ja, wird abgegleich, ob die Bindung über das gleiche Zertifikat verfügt und ob die Hostheader nicht übereinstimmen.
    Wenn das Zertifikat über einen Platzhalter verfügt, wird eine Informationsmeldung angezeigt.

  • Wenn das Zertifikat über Platzhalter verfügt, werden alle Bindungen anderer Websites überprüft, um festzustellen, ob sie mit der Bindungs- und Portkombination übereinstimmen oder nicht, und wenn ja, wird abgegleich, ob die Bindung über dasselbe Zertifikat verfügt und ob die Hostheader nicht übereinstimmen.

  • Gibt an, ob die Überprüfung des Serverzertifikats erfolgreich ist.

  • Überprüft, ob das Zertifikat abgelaufen ist.

  • Gibt an, ob eines der SSL-Protokolle auf dem Server deaktiviert ist.

  • Gibt an, ob die Reihenfolge der Verschlüsselungssammlungen auf dem Server geändert wurde.

  • Überprüfen Sie, ob einer der Schlüssel des Zertifikats eine Länge von weniger als 1024 Bit hat.

  • Wenn MS12-006 auf dem Computer installiert ist.