如何解决禁用 TLS 1.0 以符合 PCI 合规性后出现的 Azure Site Recovery代理问题

  • 项目

原始产品版本:Azure 备份
原始 KB 编号: 4033999

本文介绍如何解决在使用 Azure Site Recovery时可能遇到的问题,这些情况下进行以下安全协议设置以实现外围组件互连的安全强化 (PCI) 符合性:

  • 传输层安全性 (TLS) 1.0 已禁用
  • 已启用 TLS 1.1 和 TLS 1.2

若要更新 TLS 设置,请参阅 此文。  

症状

禁用 TLS 1.0 后,可能会遇到以下一个或多个问题:

  • 正在进行的保护开始失败。
  • 横向扩展进程服务器 (PS) 注册失败。
  • 出行服务安装失败。
  • 与 Azure Site Recovery代理相关的服务不会像往常一样停止或启动。

原因

出现这些问题的原因如下:

  • .NET Framework版本 4.6 或更高版本不可用。
  • .NET Framework版本 4.6 或更高版本可用,但禁用了强加密 (SchUseStrongCrypto) 。

解决方案

重要

请仔细遵循本部分中的步骤进行操作。 对注册表修改不当可能会导致严重问题。 修改之前,请备份注册表以便在发生问题时进行还原。

若要解决这些问题,请确保已安装 .NET Framework 4.6 或更高版本,并启用 TLS 1.2 作为默认协议。 若要启用 TLS 1.2,请执行以下步骤:

  1. 以管理员身份打开命令提示符窗口。

  2. 在提升的命令提示符下,运行以下命令:

    net stop obengine

  3. 启动注册表编辑器,然后导航到以下注册表子项:

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\.NETFramework

    HKEY_LOCAL_MACHINE \Software\Microsoft\.NETFramework

  4. 在每个注册表项下,找到指示版本的子项。

    注意

    这些子项以“v<VersionNumber>”格式显示。

    注册表编辑器中的子项的屏幕截图。

  5. 对于每个子项,添加名为 SchUseStrongCryptoDWORD 值,并将其值设置为 1

    添加名为 SchUseStrongCrypto 的 DWORD 值的屏幕截图。

  6. 对采用“v<VersionNumber>”格式的所有子项重复步骤 5。

  7. 退出注册表编辑器。

  8. 在提升的命令提示符处,运行下面的命令:

    net start obengine

完成这些步骤后,应能够按预期安装和使用 Azure Site Recovery。

联系我们寻求帮助

如果你有任何疑问或需要帮助,请创建支持请求联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。