解決Exchange 2016 Chrome瀏覽器無法登陸OWA以及ECP問題
很久沒寫博了,其實也積攢了一些可以寫的東西,準備陸續拿出來分享一下,最近遇到一個很奇葩的問題,在Azure上搭了一套Exchange 2016的測試環境,搭建的過程就不說了,Exchange 2016基本和2013安裝沒什麽太大區別。
安裝的過程很順利,但是安裝完成之後,偶然間突然發現一個問題,那就是ECP和OWA在IE瀏覽器登陸一切正常,但是在Chrome上卻發現ECP和OWA無法正常登陸,提示ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
我累個擦這啥玩意,IE能上,chrome卻不能,這個問題確實有點怪,正常來講,IE既然能連上,chrome應該也沒什麽問題,這是什麽原因呢?
IE既然可以正常連接,那麽問題應該就出在chrome身上了,大家都知道google對安全性的重視是非常高的,一般來說在瀏覽器安全方面的一些革新和措施都是google先發起,然後各家先後跟風,比如之前對各種違規的CA廠商的不再信任的措施,而我用的一般又都是chrome比較新的版本,順著這個思路,準備嘗試著換一個比較舊的版本來試一下,下載了一個Chrome 42的版本之後,發現果然就沒再遇到之前的問題
這樣基本上就可以確認是Chrome版本的問題了,很有可能是google又出了什麽安全措施,導致了這個問題,之後又google一下報錯的代碼,果然發現了不少事情
原來是Chrome已經停止了對很多過時的協議以及加密算法的支持,這也導致用這些加密算法的連接都不會被chrome接受,比如PCT 1.0 SSL 2.0 SSL 3.0 以及RC2 128/128 RC2 56/128等等
問題既然確認了,那麽如何解決呢,首先先安利一些很好用的工具和網站
1.https://www.ssllabs.com/ssltest/
這個網站也可以查看網站的證書信息,使用的加密算法,並且還會對其進行評級,對於查看這種因為算法和協議引起的問題實在是再好不過了,有興趣的可以試試,以下是測評的一個截圖
2.TestSSLServer
這是個本地的小工具,可以看到本地服務器使用的協議和算法
最後問題是怎麽解決的,有兩種辦法
解決辦法之一:禁用以下協議和加密算法,稍微麻煩點
MultiProtocol Unified Hello
PCT 1.0
SSL 2.0
SSL 3.0
preferred via registry like:
; Disable PCT 1.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
; Disable SSL 2.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
; Disable SSL 3.0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
and
NULL Cipher
DES 56/56
RC2 (fully)
RC4 (fully)
via
; Disable weak ciphers
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
解決辦法之二,介紹一個很厲害的小工具,下邊是下載地址,這個工具可以支持一鍵設置服務器,自動配置成最佳實踐的狀態,省去了不少時間
https://www.nartac.com/Products/IISCrypto
下載完成後,接受用戶協議
然後可以看到當前服務器使用的加密算法和協議
接下來直接點擊左下角的best practices,然後重啟服務器
重啟之後chrome問題解決,我只想說,實在是太特麽方便了
最後,問題解決,皆大歡喜。
本文出自 “Just Make it happen” 博客,請務必保留此出處http://mxyit.blog.51cto.com/4308871/1966432
解決Exchange 2016 Chrome瀏覽器無法登陸OWA以及ECP問題