請注意,此場景與類似場景不同: 如何在不破壞 RDP 的情況下停用 TLS 1.0?
連結的問題是關於 RDP 和禁用 TLS 1.0。
這個問題是關於 RemoteApp 和停用 TLS 1.0
我已經透過連接埠 3389 直接使用 RDP 並使用 TLS 1.2。
我們有一個 2012R2 伺服器託管 RemoteApp。
我們在此伺服器上安裝了 RD 閘道、RD Web 存取、RD 連線代理程式、RD 會話主機角色。
RemoteApp 透過 RD 閘道透過 https 提供服務。我們開放的唯一公共連接埠是 443。
我們在所有 RD 角色和 IIS 中安裝了公共 CA 提供的通配符 SSL 證書,因此一切都可以追溯到受信任的根證書。
此憑證支援 TLS 1.2,當我查看 RDWeb 網站時,我在網頁瀏覽器中看到了這一點。
我們將在此伺服器上停用 TLS 1.0 以加強安全性。我們使用 IISCrypto 2.0 來停用 TLS 1.0
當我們停用 TLS 1.0 時,會觀察到兩件事:
1.RemoteApp 停止工作。它們無法從最終用戶電腦啟動。
2.直接 RDP 連線工作正常。
當我們重新啟用 TLS 1.0 時,RemoteApp 再次運作。
SChannel 日誌記錄確認 RemoteApps 使用 TLS 1.2,因此我希望 RemoteApps 在停用 TLS 1.0 時繼續運作。但這不是我所觀察到的。
所有用戶端都使用完全更新/修補的 Windows 8.1 和 10 版本。
答案1
近一年後,我終於找到了一個可行的解決方案,可以在不破壞 RDP 和遠端桌面服務連線的情況下停用 TLS 1.0/1.1。
執行 IISCrypto 並停用 TLS 1.0、TLS 1.1 和所有錯誤密碼。
在執行網關角色的遠端桌面服務伺服器上,開啟本機安全性原則並導航至安全性選項 - 系統加密:使用符合 FIPS 的演算法進行加密、雜湊和簽署。將安全性設定變更為啟用。重新啟動以使變更生效。
請注意,在某些情況下(特別是在 Server 2012 R2 上使用自簽名憑證時),安全性原則選項網路安全性:LAN Manager 驗證等級可能需要設定為僅傳送 NTLMv2 回應。
讓我知道這是否也適合您。
答案2
系統加密:使用符合 FIPS 的演算法進行加密、雜湊和簽署。
這會再次秘密地重新啟用舊協議。微軟甚至不再建議使用該設定。
我也一直為此奮鬥。我還沒有找到正確的解決方案。
答案3
舊帖子,但我剛剛讀到一篇文章,其中說如果您使用內部 SQL Server (WID) 作為連接代理資料庫,則連接代理需要啟用 TLS 1.0 才能與 WID 通訊。您可以透過使用「真正的」SQL Server 資料庫作為連接代理程式而不是內部 SQL WID 來解決此問題。