当客户端不支持 TLS 1.2 时,将发生身份验证错误

摘要

如之前在 Microsoft 365 管理 Center (中) 年 2 月通信 MC240160,我们将所有联机服务迁移到传输层安全性 (TLS) 1.2+。 此更改从 2020 年 10 月 15 日开始。 TLS 1.2+ 支持将继续添加到所有Microsoft 365环境中,接下来几个月。 如果尚未采取为此更改做准备的步骤,则与 Microsoft 365的连接可能会受到影响。

.NET Framework TLS 1.2 配置

症状

访问应用程序时,遇到以下一个或多个SharePoint:

令牌请求失败。 ---> System.Net.WebException:远程服务器返回错误: (401) 未经授权。 位于 System.Net.HttpWebRequest.GetResponse ()

System.Net.WebException:基础连接已关闭:发送时发生意外错误。

System.IO.IOException:无法从传输连接读取数据:远程主机强制关闭现有连接。

System.Net.Sockets.SocketException:远程主机强制关闭现有连接。

业务数据连接元数据存储当前不可用。

解决方案

若要详细了解如何配置安全.NET Framework启用 TLS 1.2+,请参阅配置强加密

操作系统未启用 TLS 1.2

症状

身份验证问题发生在未启用 TLS 1.2 的较旧操作系统和浏览器中,或强制使用旧 TLS 协议的特定网络配置和代理设置中。

解决方案

Windows 10

解决方案 1:检查密码套件设置

即使升级到 TLS 1.2,也请务必确保密码套件设置与 Azure Front Door 要求一致,因为 Microsoft 365 和 Azure Front Door 对密码套件的支持略有不同。

对于 TLS 1.2,Azure Front Door 支持以下密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

若要添加密码套件,请部署组策略或使用本地组策略,如使用组策略配置 TLS 密码套件顺序中所述

重要

编辑密码套件的顺序,以确保这四个套件位于列表顶部, (优先级最高的) 。

Alternativley,您可以使用 Enable-TlsCipherSuite cmdlet 启用 TLS 密码套件。 例如,运行以下命令以将加密套件启用为最高优先级:

Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" -Position 0

此命令将密码TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384添加到位于位置 0 的 TLS 加密套件列表,这是最高优先级。

重要

运行 Enable-TlsCipherSuite 后,可以通过运行 Get-TlsCipherSuite 验证密码套件的顺序。 如果订单未反映更改,请检查 SSL 密码套件订单 组策略设置是否配置了默认的 TLS 密码套件订单。

有关详细信息,请参阅 Azure Front Door 支持的当前密码套件是什么?。

Windows 8 SP1 Windows 7 或 Windows Server 2012/2008 R2 (sp1)

如果您使用的是 Windows 8、Windows 7 Service Pack 1 (SP1) 、Windows Server 2012 或 Windows Server 2008 R2 SP1,请参阅以下解决方案。

映射到网络库的网络SharePoint驱动器

症状

当您尝试使用映射到服务器库的网络驱动器时,会发生身份验证SharePoint问题。

解决方案

由于使用的操作系统以及 Web 客户端是否支持 TLS 1.2,可能会出现此问题。 对 TLS 1.2 的支持如下所示:

浏览器不支持 TLS 1.2

症状

出现身份验证问题或SharePoint TLS 1.2+ 的已知应用中访问数据。 以下浏览器不支持 TLS 1.2:

  • Android 4.3 和更低的版本
  • Firefox 版本 5.0 及更低版本
  • Internet Explorer 8 7 及更早版本上的 Windows-10
  • Windows Phone 8 上的 Internet Explorer 10
  • Safari 6.0.4/OS X10.8.4 及更早版本

解决方案

升级到更高版本的浏览器。

Azure 应用服务不使用最新版本的 TLS 和 .NET Framework

症状

使用 Azure 应用服务时身份验证问题。

解决方案

  1. 将应用服务实例的最低 TLS 版本设置为 TLS 1.2。 有关详细信息,请参阅强制实施 TLS 版本
  2. 确保使用的是最新版本的 .NET Framework。

混合搜索无法爬网或返回结果

症状

当您在 SharePoint 中的混合搜索中使用混合搜索时,Microsoft 365:

  • 爬网失败。
  • 不返回任何结果。
  • 您收到一条错误消息,例如"强制关闭现有连接"。

解决方案

若要解决这些问题,请参阅混合 搜索无法爬网或返回结果

参考