如何解决禁用 TLS 1.0 以符合 PCI 合规性后出现的 Azure Site Recovery代理问题
原始产品版本:Azure 备份
原始 KB 编号: 4033999
本文介绍如何解决在使用 Azure Site Recovery时可能遇到的问题,这些情况下进行以下安全协议设置以实现外围组件互连的安全强化 (PCI) 符合性:
- 传输层安全性 (TLS) 1.0 已禁用
- 已启用 TLS 1.1 和 TLS 1.2
若要更新 TLS 设置,请参阅 此文。
症状
禁用 TLS 1.0 后,可能会遇到以下一个或多个问题:
- 正在进行的保护开始失败。
- 横向扩展进程服务器 (PS) 注册失败。
- 出行服务安装失败。
- 与 Azure Site Recovery代理相关的服务不会像往常一样停止或启动。
原因
出现这些问题的原因如下:
- .NET Framework版本 4.6 或更高版本不可用。
- .NET Framework版本 4.6 或更高版本可用,但禁用了强加密 (SchUseStrongCrypto) 。
解决方案
重要
请仔细遵循本部分中的步骤进行操作。 对注册表修改不当可能会导致严重问题。 修改之前,请备份注册表以便在发生问题时进行还原。
若要解决这些问题,请确保已安装 .NET Framework 4.6 或更高版本,并启用 TLS 1.2 作为默认协议。 若要启用 TLS 1.2,请执行以下步骤:
以管理员身份打开命令提示符窗口。
在提升的命令提示符下,运行以下命令:
net stop obengine
启动注册表编辑器,然后导航到以下注册表子项:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE \Software\Microsoft\.NETFramework
在每个注册表项下,找到指示版本的子项。
注意
这些子项以“v<VersionNumber>”格式显示。
对于每个子项,添加名为 SchUseStrongCrypto 的 DWORD 值,并将其值设置为 1。
对采用“v<VersionNumber>”格式的所有子项重复步骤 5。
退出注册表编辑器。
在提升的命令提示符处,运行下面的命令:
net start obengine
完成这些步骤后,应能够按预期安装和使用 Azure Site Recovery。
联系我们寻求帮助
如果你有任何疑问或需要帮助,请创建支持请求或联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈