.NET Anwendung baut keine Verbindung zum Webserver auf - TLS Konfiguration anpassen

Problem:
Ich hatte das Problem, dass unsere .NET Anwendung für das Artikel-Update des Webshops plötzlich nicht mehr funktioniert hat - keine Verbindung zum Server mehr. Nach etwas Recherche hat sich gezeigt, dass es daran lag, dass die Webseite nur noch TLS 1.2 und 1.3 spricht aber unsere Anwendung mit TLS 1.0 die Verbindung herstellen und die Daten hochladen wollte.

Lösung:
Nach etwas Suche habe ich habe TLS 1.1 und TLS 1.2 am Windows-Client per Default aktiviert (TLS 1.3 ist noch nicht Standard). Das funktioniert über Registry-Keys am einfachsten (optional GPO bauen):

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
„DisabledByDefault“ = dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
„DisabledByDefault“ = dword:00000000


Sollten die Schlüssel „TLS 1.1“ und „TLS 1.2“ und „Client“ noch nicht existieren, dann bitte anlegen.

Damit aber noch nicht genug, da .NET Framework sich NICHT an den Systemstandard hält, sondern seine eigene TLS-Konfiguration macht.
Man kann das aber ändern, indem man ein paar Registry-Tweaks setzt, damit .NET das Systemdefault-TLS-Protokoll verwendet. Wichtig hier ist zuprüfen, ob die .NET Anwendung 32- oder 64-Bit ist und entsprechend die Keys setzen.

Hier für x64 bzw. Eine 64-Bit .NET-Anwendung

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001


Und für x86 bzw. eine 32-Bit .NET-Anwendung

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001


Windows-Client neu starten und damit sollte die Verbindung wieder laufen und die Verbindung zur Webapplikation wieder funktionieren.

Quellen:
Microsoft: So aktivieren Sie TLS 1.1 oder TLS 1.2 als Standard sichere Protokolle WinHTTP in Windows Update
Aktualisieren und Konfigurieren von .NET Framework zur Unterstützung von TLS 1.2.

Trend Micro Office Scan Server updatet keine Clients

Problem :

Nach dem Update auf SP1 werden die Clients nicht mehr mit Komponentenupdates versorgt. In der Administratorkonsole sind allerdings alle Einstellungen korrekt vorgenommen.
Der Trendmicro Support hat mich auf einen Eintrag in ihrer Knowledge Base hingewiesen der dieses Problem behebt.

Lösung :

Der Grund warum der Server keine Updates ausrollen kann liegt an einem fehlenden MIME Typ. Wenn dieser auf der Site angelegt wird beginnen die Clients mit dem Update.

Den MIME Typ mit diesen Informationen anlegen :

Erweiterung: "."
MIME Typ : "application/octet-stream"

Hier nochmal eine Anleitung für den IIS








Quelle : http://esupport.trendmicro.com/solution/en-us/1058321.aspx



EDIT 03.04.2013 : Nach der Installation des Service Pack 2 für Trendmicro muss diese Einstellung wieder zurück genommen werden da sonst die Website nicht angezeigt werden kann. Es erscheint der Fehler 500.19

keine Website wird mehr angezeigt - "Die Seite kann nicht angezeigt werden"

Problem:

Es lassen sich keine Seiten mehr vom IIS anzeigen. Telnet auf Port 80 ist aber erfolgreich!

Lösung:

Als erstes sollte die Httperr.log im Verzeichnis c:\windows\system32\logfiles\httperr und der KB-Artikel KB934878 von Microsoft "Users receive a "The page cannot be displayed" error message, and "Connections_refused" entries are logged in the Httperr.log file on a server that is running Windows Server 2003, Exchange 2003, and IIS 6.0"abgearbeitet werden.

Link: Microsoft Artikel-ID: 934878

Dann bitte die Verzeichnis-Sicherheit der einzelnen Websites nochmal überprüfen...gerade bei OWA.

Link: Standard-Verzeichnis-Rechte IIS für OWA

.NET wird nicht im IIS Service Extension Manager angezeigt

Problem:

Manchmal ist man leider gezwungen einen Windows Server 2003 mit IIS und ASP aufzusetzen.
Fast immer hat man aber das Problem, dass ASP.NET v2.0.50727 im Web Services Extension Manager im IIS Manager auftaucht.
Vorallem dann, wenn .Net bereits installiert ist und der IIS erste nachinstalliert wird.

Lösung:

Der einfachste Weg ist es, das .NET Framework neuzuinstallieren. Doch das ist sehr unsauber und wird eindeutig nicht empfohlen. Die schnellste und meiner Meinung nach beste Möglichkeit ist es, eine CMD zu öffnen und in C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 bzw C:\WINDOWS\Microsoft.NET\Framework64\v2.0.50727 (für 64bit Systeme) zu wechseln. Dort führt man einfach den folgenden Befehl aus: aspnet_regiis.exe – i

Danach taucht ASP.NET v2.0.50727 im Web Services Extension Manager auf und kann einfach aktiviert werden.
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)