在 2015 年 商務用 Skype Server 中停用 TLS 1.0/1.1

本文可協助您在您的環境中準備並實作停用 TLS 1.0 和 1.1。 此程式需要大量的規劃和準備。 當您為貴組織停用 TLS 1.0 和 1.1 時，請仔細檢閱本文中的所有資訊。 有許多外部相依性和連線條件可能會因停用 TLS 1.0/1.1 而受到影響，因此需要大量規劃和測試。

• 背景和範圍
• 必要條件和程式
• 進階部署案例

背景和範圍

提供 TLS 1.0 和 1.1 停用 商務用 Skype Server 內部部署支援的主要驅動程式是「付款卡產業」 (PCI) 安全性標準委員會和聯邦資訊處理標準需求。 如需PCI需求的詳細資訊，請 參閱這裡。 Microsoft 無法提供是否要求貴組織遵守這些或其他需求的指導方針。 您必須判斷是否需要在環境中停用 TLS 1.0 和/或 1.1。

Microsoft 已 在此處製作 TLS 上的白皮書，我們也建議在此 Exchange 部落格中使用背景閱讀功能。

支援範圍

Scope 是指支援範圍。 完整測試和支援 表示我們完全支援並已針對列出的產品版本測試停用 TLS 1.0 和 1.1。 目前正在調查中 僅代表這一點;我們正積極調查將這些產品納入 TLS 停用支援的範圍。 超出範圍 表示這些產品版本不支援停用 TLS 1.0 或 1.1，而且無法運作，但有註明的例外狀況。

完整測試和支持的伺服器

• 商務用 Skype Server 2019 年 6 月 (CU1 17.0.2046.123) 或更新版本
• 商務用 Skype Server 2015 年 5 月 (#D6B2FF256AE194CFBAA21B96906111E2A (使用 KB 3140245 或取代更新) 、2012 R2 或 2016 Windows Server 2012 (的 CU9 6.0.9319.548) 或更新版本。
• 就地升級 商務用 Skype Server 2015，使用 CU9 6.0.9319.548 (2019 年 5 月) 日或更新版本，在 Windows Server 2008 R2、2012 (KB 3140245或取代更新) ，或是 2012 R2。
• Exchange Connectivity and Outlook Web App with Exchange Server 2010 SP3 RU19 或更新版本，指引在這裡
• 搭配 商務用 Skype Server 2015 CU6 HF2 或更新版本 (SBA) 的可更新分支設備 (向您的廠商確認，他們已封裝適當的更新，並已提供給您的設備)
• 具有 商務用 Skype Server 2015 CU6 HF2 或更新版本的可更新分支伺服器 (SBS)
• Lync Server 2013 僅限 Edge 角色，這是因為 Edge 角色對 Windows Fabric 1.0 沒有相依性。

完整測試和支援的用戶端

• Lync 2013 (商務用 Skype) 桌面用戶端、MSI 和 C2R，包括基本 15.0.5023.1000 或更新版本
• 商務用 Skype 2016 計算機版用戶端、MSI 16.0.4678.1000 或更新版本，包括基本
• 商務用 Skype 2016 隨選即用需要 2018 年 4 月 匯報：
  • 每月和 Semi-Annual 已設定目標、16.0.9126.2152 或更新版本
  • Semi-Annual 和順延通道，16.0.8431.2242 或更新版本
• 在Mac 16.15或更新版本上 商務用 Skype
• 適用於 iOS 和 Android 6.19 或更新版本的 商務用 Skype
• Microsoft Teams 會議室 (之前稱為 Skype Room System V2 SRS V2) 4.0.64.0 (2018 年 12 月) 日或更新版本
• 根據 2019 年 5 月 KB4499162 (、操作系統組建 15063.1835) 或更新版本的適用於小組版本的 Surface Hub 更新
• Skype Web App 2015 CU6 HF2 或更新版本 (隨附伺服器)

正在調查中

• 通話品質儀錶板 (TLS 1.0、1.1 停用後的新安裝，請參閱下方) *

超出範圍

除非註明，以下產品的範圍不在 TLS 1.0/1.1 停用支援，且在 TLS 1.0 和 1.1 已停用的環境中無法運作。 代表的意義：如果您仍然使用超出範圍的伺服器或用戶端，如果您需要在內部部署中停用 TLS 1.0/1.1，則必須更新或移除 商務用 Skype Server 這些伺服器或用戶端。

• Lync Server 2013
• Lync Server 2010
• Windows Server 2008 或較低版本
• Lync for Mac 2011
• 行動裝置版 Lync 2013 - iOS、iPad、Android 或 Windows Phone
• Lync “MX” Windows 市集用戶端
• Lync Room System (，也就是 SRSv1) 。 LRS 已於 2018 年 10 月 9 日終止支援，將不會更新為支援 TLS 1.2。
• 所有 Lync 2010 用戶端
• Lync Phone Edition - 此處已更新指導方針。
• 2013 s Survivable Branch (SBA) 或 Survivable Branch Server (SBS)
• 雲端連接器版本 (CCE)
• Windows Phone 版商務用 Skype

例外狀況

Lync Server 2013

Lync Server 2013 採用 Windows Fabric 版本 1.0 的相依性。 在 Lync Server 2013 的設計階段中，已選擇 Windows Fabric 1.0，以提供複製、高可用性和容錯等引人注目的新分散式架構。 一段時間后，商務用 Skype Server和 Windows Fabric 都大幅改善了這種接頭架構，並在後續版本中大幅地重新設計。 例如，目前的 商務用 Skype 2015 Server 使用 Windows Fabric 3.0。

很抱歉，Windows Fabric 1.0 不支援 TLS 1.2。不過，我們將更新 Lync Server 2013 以搭配 TLS 1.2 使用。 這將會在下一次 Lync Server 2013 的累積更新中推出。 我們提供 TLS 1.2 支援以啟用共同存在、移轉、同盟和混合式案例。

如果您的組織需要停用 TLS 1.0 和 1.1，而您目前使用 Lync Server 2013，建議您開始規劃程式，您可能必須就地升級或並存移轉 (新集區，將使用者) 移至 商務用 Skype Server 2015 或更新版本。 或者，您可能想要加速移轉到 商務用 Skype Online。

通話品質儀表板

內部部署通話品質儀錶板目前在新安裝期間有 TLS 1.0 的相依性， (第一次安裝到您的內部部署環境) 。 我們目前正在調查此問題，並計劃在近期內發佈修正程式。 如果您計劃安裝 CQD 並同時停用 TLS 1.0，建議您先完成 CQD 安裝，然後再繼續進行 TLS 1.0 停用。

商務用 Skype SDN 管理員

商務用 Skype 使用 SQL 的 SDN 管理員在新安裝期間，資料庫有 TLS 1.0 的相依性。 如果您打算使用 SQL 資料庫安裝 商務用 Skype SDN 管理員，並且同時停用 TLS 1.0，建議您先完成 商務用 Skype SDN 管理員，然後再繼續進行 TLS 1.0 停用。 如果 TLS 1.0 在安裝前遭到停用，您應該在 SQL Server 後端伺服器中暫時啟用 TLS 1.0，以託管 商務用 Skype SDN 管理員 SQL 資料庫。

協力廠商裝置

在 3PIP 手機、視頻會議、反向 Proxy 和負載平衡器等第三方裝置上，請務必驗證 TLS 1.2 的支援性、仔細測試，並視需要連絡廠商。

在 Edge 伺服器上停用 TLS 1.0/1.1 時的同盟考慮

您必須仔細規劃並考慮停用 TLS 1.0/1.1 對 Edge 伺服器的影響。 一旦 TLS 1.0 和 1.1 停用後，您可能會發現其他組織無法再與您的組織同盟。

您可以選擇在Edge伺服器上啟用 TLS 1.0/1.1，以維持與非修補 (SfB 2015、Lync 2013) 或舊版 (2010 的回溯相容性，) 外部系統。

Microsoft 無法針對您的 Edge 網路 (或任何網路) 是否低於 PCI 標準提供建議或建議;這必須由個別公司決定。

商務用 Skype Online 目前支援 TLS 1.2，因此不會對混合式/同盟與 Online 造成任何影響。

PIC (Skype 消費者服務) 的公用 IM 連線能力：我們不預期停用 TLS 1.0/1.1 會影響 Skype 連線能力;Microsoft PIC 閘道已經支援 TLS 1.2。

必要條件和程式

除了上述內容以外，一旦 TLS 1.0 和 1.1 停用超出範圍的伺服器，客戶端和裝置將會更長時間正常運作或完全正常運作。 這可能表示您需要暫停並等待 Microsoft 的更新指引。 當您滿意符合所有需求，並且有解決間距的方案後，請繼續進行。

在高階版本中，當 商務用 Skype Server 2019 已準備好進行安裝程式時，商務用 Skype Server 2015 會要求您安裝 CU9、將先決條件更新套用至 .NET 和 SQL、部署必要條件登錄機碼，最後是 (另一輪操作系統設定更新，也就是透過登錄檔案匯入) 停用 TLS 1.0 和 1.1。 在您環境中的任何伺服器上停用 TLS 1.0 和 1.1 之前，請務必先完成所有先決條件的安裝，包括 商務用 Skype Server 2015 CU6 HF2。 每個 商務用 Skype 伺服器，包括Edge角色和SQL Backends，都需要更新。 此外，請確定所有支援 (範圍內) 用戶端都已更新為必要的最低版本。 別忘了更新管理工作站。

我們想要按照一般「從內到外」的操作順序來升級 商務用 Skype 伺服器。 以與往常相同的方式來對待目錄集區、常設聊天室和配對集區。 這裡和這裡都涵蓋了升級的順序和方法。

高階流程圖

1. 在設定生產伺服器之前測試實驗室中的所有步驟。
2. 備份並保留每個要更新之每個伺服器上導出的登錄複本。 您無法在伺服器之間共享註冊;它們包含獨特的機器金鑰。
3. 將所有 商務用 Skype 2015 伺服器升級至 CU9 或更新版本。 針對 商務用 Skype Server 2019，請升級至 CU1 或更新版本。
4. 安裝所有伺服器的所有先決條件。
5. 部署必要條件登錄機碼。
6. 確定已更新所有範圍內的用戶端。
7. 透過登錄匯入停用 TLS 1.0 和 1.1。
8. 驗證工作負載是否如預期般運作。
   • 如果發生問題，請進行疑難解答和解決，或
   • 從步驟 2 還原登錄以重新啟用 TLS 1.0 和 1.1
9. 驗證僅使用 TLS 1.2。

安裝所有伺服器的先決條件

在您於 商務用 Skype Server 2015 部署的操作系統層級開始停用 TLS 1.0 和 1.1 之前，必須先進行廣泛的相依性更新。 以下是可支援 TLS 1.2 的最小版本。 開始停用 TLS 1.0 和 1.1 之前，請在您環境中的每個 商務用 Skype 伺服器部署所有必要條件更新。

• 商務用 Skype Server 2015 年 5 月) 日 (CU9 6.0.9319.548
• .NET Framework 4.7 或更新版本，且在下方提供的登錄 (啟用 SchUseSt (Crypto)
• SQL 必須在所有 商務用 Skype 2015 伺服器和後端更新。 請先更新 Enterprise Edition 集區 SQL 後端，然後再更新各自的 FES。
  • SQL Server 2014 SP1 + CU5 或更新版本 / SQL Server 2012 SP2 + CU16 或更新版本 / SQL Server 2014 RTM + CU12 或更新版本 / SQL Server 2014 SP2
  • SQL Server Native Client 2012 年 SQL Server 日
  • 適用於 SQL Server 或更新版本的 Microsoft ODBC 驅動程式 11
  • SQL Server 2014 SP2 的共用管理物件
  • SQLSysClrTypes for SQL server 2014 SP2

以建議的操作順序安裝先決條件的基本步驟

1. 安裝所有伺服器 商務用 Skype Server CU9 更新。
   1. 使用更新程式安裝元件更新。
   2. 根據檔案所記錄的程式更新資料庫。 如需 商務用 Skype Server 2015，請參閱 KB 3061064。
   3. 在進行其他任何變更之前，先驗證部署中的產品功能。
2. 下載 .NET 4.7 離線安裝程式。
   1. 參考數據：.NET Framework 4.7
   2. 確定前端伺服器上已停止 商務用 Skype Server 2015 服務。
   3. 參考： https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
   4. Ex (Standard Edition) ： Stop-CsWindowsService
   5. 例如 (Enterprise Edition) ：Invoke-CsComputerFailover
   6. 執行安裝程式套件。
   7. 將伺服器重新啟動。
3. 更新所有伺服器上的 SQL Express 2014。
   1. 參考： https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server
   2. 下載 SQL 2014 SP2
      • 參考： https://www.microsoft.com/download/details.aspx?id=53168
   3. 將安裝媒體複製到伺服器上的資料夾 (例如：C：\01_2014SqlSp2)
   4. 確定前端伺服器上已停止 商務用 Skype Server 2015 服務
      • Ex (Standard Edition) ： Stop-CsWindowsService
      • 例如 (Enterprise Edition) ：Invoke-CsComputerFailover
   5. 開啟 管理員 命令提示字元，並升級所有已安裝的元件和實例
      • 範例：C:\01_2014SqlSp2\SQLServer2014SP2-KB3171021-x64-ENU.exe /qs /IAcceptSQLServerLicenseTerms /Action=Patch /AllInstances
4. 更新 SQL Native Client。
   1. 參考數據： https://support.microsoft.com/help/3135244/tls-1-2-support-for-microsoft-sql-server。
   2. 從 https://www.microsoft.com/download/details.aspx?id=50402
   3. 確定前端伺服器上已停止 商務用 Skype Server 2015 服務。
      • Ex (Standard Edition) ： Stop-CsWindowsServices
      • 例如 (Enterprise Edition) ：Invoke-CsComputerFailover
   4. 停止執行已安裝的 SQL 實例
      • 前： Get-Service 'MSSQL$RTCLOCAL' | Stop-Service
      • 前： Get-Service 'MSSQL$LYNCLOCAL' | Stop-Service
      • Ex (Standard Edition) ： Get-Service 'MSSQL$RTC' | Stop-Service
   5. 安裝更新。
5. 更新 SQL Server 的 ODBC 驅動程式 11 以包含 TLS 1.2 (KB 3135244) 的支援。
   1. 下載適用於 SQL Server 的 ODBC 驅動程式 11 - Windows。
   2. 確定前端伺服器上已停止 商務用 Skype Server 2015 服務。
      • Standard Edition) (範例： Stop-CsWindowsService
      • 範例 (Enterprise Edition) ：Invoke-CsComputerFailover
   3. 安裝更新。
6. 部署必要條件登錄機碼。

必要登錄機碼

將下列測試複製/貼到記事本，然後重新命名 TLSPreReq.reg 或您選擇的名稱，然後匯入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]

"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]

"DefaultSecureProtocols"=dword:00000AA0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]

"DisabledByDefault"=dword:00000000

"Enabled"=dword:00000001

對於 Enterprise Edition 集區 SQL 後端，必要條件和 TLS 停用應視為任何 SQL 或操作系統更新;請參閱：https://learn.microsoft.com/skypeforbusiness/manage/topology/patch-or-update-a-back-end-or-standard-edition-server

雖然可以結合必要條件應用程式和 TLS 停用步驟，但我們強烈建議在操作系統層級繼續停用 TLS 1.0 和 1.1 之前，先套用所有先決條件。 最佳做法是部署所有先決條件來準備環境，驗證工作負載是否正常運作，然後稍後再繼續執行 TLS 1.0/1.1 停用。

透過登錄匯入停用 TLS 1.0 和 1.1

繼續進行下一個步驟之前，請先確認您已完成所有先決條件，並更新 商務用 Skype 伺服器。

將下列文字複製到記事本檔案，然後重新命名為 TLSDisable.reg：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]

"Functions"="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"AllowInsecureRenegoClients"=dword:00000000

"AllowInsecureRenegoServers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 256/256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA256]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA384]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA512]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\ECDH]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS]

"Enabled"=dword:FFFFFFFF

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

"DisabledByDefault"=dword:00000001

"Enabled"=dword:00000000

在您要停用 TLS 1.0 和 1.1 的每部伺服器上匯入 .reg 檔案。 將伺服器重新啟動。 服務恢復連線后，移至下一個伺服器。 Enterprise Edition 集區的方法與您對任何操作系統更新採取的方法相同。

您可能已經注意到我們在這裡做的不只是停用 TLS 1.0 和 1.1。 我們支持密碼套件重新訂購 (如上所示，) 以及停用一些較舊的弱式密碼。 這是我們第一次正式支援對 商務用 Skype Server 上的 SCHANNEL 和 Crypto API 進行這些變更，請務必注意，這些變更是我們目前唯一支援且已經過測試的變更。 我們未來可能會考慮使用其他設定，但現在請勿修改您實作中的登錄匯入檔案。

驗證工作負載是否如預期般運作

在您的環境中停用 TLS 1.0 和 1.1 之後，請確定所有主要工作負載都能如預期般運作，例如 IM & 目前狀態、P2P 通話、企業語音 等。

僅驗證使用 TLS 1.2

讓您的安全小組對 商務用 Skype 流量執行新的稽核，以確保不再使用舊版通訊協定 TLS 1.0 和 1.1。

或者，在 TLS 1.0 和 TLS 1.1 停用之後，您也可以使用 Internet Explorer 測試從 商務用 Skype Server 2015 到 Web 服務的 TLS 連線。

1. 啟動 Internet Explorer。
2. 選 取 [工具]>因特網選項。
3. 選取 [ 進階] 索引 標籤。
4. 在 [ 設定] 底下，捲動到底部。
5. 確認已啟用 TLS 1.0、TLS 1.1 和 TLS 1.2。
6. 流覽 SfB 2015 集區中的內部 Web 服務 URL， (應該會成功連線) 。
7. 返回 到 Internet Explorer，並停用 [僅使用 TLS 1.2] 選項。
8. 再次流覽 SfB 2015 集區中的內部 Web 服務 URL， (應該無法連線) 。

進階部署案例

由於在 商務用 Skype Server 2015 中需要一些相依性先決條件來支援 TLS 1.2，因此在已停用 TLS 1.0 和 1.1 的任何系統上，從 RTM 媒體安裝將會失敗。

在您的環境中停用 TLS 1.0 和 1.1 之後，部署新的 Standard Edition Servers 或 Enterprise Edition 集區。

選項 1： 使用 SmartSetup。 請注意，我們將更新SmartSetup以容納未來 CU 中更新的 SQL 二進位檔，日後將會更新本文。

選項 2： (RTCLOCAL 和 LYNCLOCAL) 預安裝本機 SQL 實例

1. 下載並將 SQL Express 2014 SP2 (SQLEXPR_x64.exe) 複製到 FE 上的本機資料夾。 假設資料夾路徑 <SQL_FOLDER_PATH>。

2. 啟動 PowerShell 或命令提示字元，並流覽至 <SQL_FOLDER_PATH>。

3. 執行下列命令以建立 RTCLOCAL SQL 實例。 繼續進行之前，請先等候 SQLEXPR_x64.exe 完成：

   SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine，Tools /INSTANCENAME=RTCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT=“” NT AUTHORITY\NetworkService“ /SQLSYSADMINACCOUNTS=”Builtin\Administrators“ /BROWSERSVCSTARTUPTYPE=”Automatic“ /AGTSVCACCOUNT=”NTAUTHORITY\NetworkService“ /SQLSVCSTARTUPTYPE=Automati

4. 執行下列命令以建立 LYNCLOCAL SQL 實例。 請等到 SQLEXPR_x64.exe 完成後再繼續下一個步驟：

   SQLEXPR_x64.exe /Q /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=0 /HIDECONSOLE /ACTION=Install /FEATURES=SQLEngine，Tools /INSTANCENAME=LYNCLOCAL /TCPENABLED=1 /SQLSVCACCOUNT=“NT AUTHORITY\NetworkService” /SQLSYSADMINACCOUNTS=“Builtin\Administrators” /BROWSERSVCSTARTUPTYPE=“Automatic” /AGTSVCACCOUNT=“NTAUTHORITY\NetworkService” /SQLSVCSTARTUPTYPE=Automatic

5. 執行 商務用 Skype Server 2015 RTM 設定。

6. 依照上述必要條件一節的其餘步驟進行。

選項 3： 您也可以手動取代本機安裝媒體目錄中的二進位檔，如下所示：

1. 安裝 商務用 Skype Server的先決條件
2. 安裝 .NET 4.7：
   • 注意：我們最初在 商務用 Skype Server 2015 CU5 (6.0.9319.281) 推出 .NET 4.7 支援。 因此，在下面的後續步驟中，我們會在主要安裝之前更新核心元件。
   • 下載： https://dotnet.microsoft.com/download/dotnet-framework/net47。
   • 參考數據：應該在 2015 年 商務用 Skype Server 部署之前安裝的軟體
3. 複製 ISO 檔案/ 資料夾：
   • 附加 商務用 Skype Server 2015 ISO 後，以 (Ex： D：) 在 檔案總管 中開啟附加磁碟驅動器的根目錄。
   • 將所有資料夾和檔案複製到本機磁碟上的資料夾 (例如：C：\SkypeForBusiness2015ISO) 。
   • 注意： 安裝元件之前，某些檔案需要更新，才能支援 TLS 1.2。
4. 取代 MSI/EXE 套件：
   • 在本機計算機上安裝媒體的 /Setup/amd64/ 資料夾中，取代現有的 MSI 和 EXE 套件。
   • SQL 2014 SP2 Express： https://www.microsoft.com/download/details.aspx?id=53167
     • 重新命名為在本機計算機上SQLEXPR_x64，並取代安裝媒體的 Setup/amd64/ 資料夾中的現有檔案。
   • SQL Native Client： https://www.microsoft.com/download/details.aspx?id=50402
     • 注意： 如有需要，請重新命名此專案以 sqlncli.msi，然後取代安裝媒體的 Setup/amd64/ 資料夾中存在的現有檔案。
   • SQL 管理物件： https://www.microsoft.com/download/details.aspx?id=53164
     • 注意： 功能套件將會有許多可以下載的專案。 選取僅下載 SharedManagementObjects.msi。
     • 注意： 取代安裝媒體的 Setup/amd64/ 資料夾中現有的檔案。
   • SQL CLR 類型： https://www.microsoft.com/download/details.aspx?id=53164
     • 注意： 功能套件將會有許多可以下載的專案。 選取僅下載 CQLSysClrTypes.msi
     • 注意：取代安裝媒體的 Setup/amd64/ 資料夾中現有的檔案。
5. 安裝核心元件：
   • 從安裝媒體的 [安裝程式/amd64/] 資料夾執行 Setup.exe。 依照指示安裝核心元件
   • 關閉核心元件。
6. 更新核心元件：
   • 下載 商務用 Skype 更新安裝程式]。
   • 執行安裝程式以更新核心元件並安裝效能計數器。
   • 注意： 自 CU6HF2 發行為止，自動更新功能目前最多只能安裝 CU6。 因此，更新程式必須個別執行，才能將核心元件更新為 6.0.9319.516。
   • 參考： https://support.microsoft.com/help/3061064/updates-for-skype-for-business-server-2015
7. 安裝管理工具 (選用) ：
   • 這將會使用更新的檔案安裝 Microsoft SQL Server 2012 Native Client、SQL Server 2014 管理物件 (x64) ，以及適用於 SQL Server 2014 (x64) 的 Microsoft System CLR 類型。 此外，商務用 Skype Server 2015 拓撲建立器和 控制台 將可在本機計算機上使用。
8. 安裝本機組態商店 (步驟 1) ：
   • 開啟部署精靈，按兩下 [安裝或更新 商務用 Skype Server 系統]，然後按兩下 [在步驟 1： 安裝本機設定存放區] 執行。
   • 按兩下 [安裝本機設定存放區] 對話框中的 [下一步]。
   • 檢閱結果，並確定 [任務狀態] 已完成。 按兩下 [ 檢視記錄]，檢閱產生的記錄檔。
   • 按兩下 [ 完成]。
9. 設定或移除 商務用 Skype Server元件 (步驟 2) ：
   • 開啟部署精靈，按兩下 [安裝或更新 商務用 Skype Server 系統]，然後按兩下 [步驟 2： 設定或移除元件] 商務用 Skype Server 執行
   • 按兩下 [設定 商務用 Skype Server元件] 對話框中的 [下一步]。
   • 使用 [檢視記錄] 檢閱記錄檔，並驗證安裝是否無問題地完成。
   • 按兩下 [ 完成]。
10. 視需要繼續進行其他安裝和設定 (此時您可以繼續一般安裝程式，) 。