Windows Server 2008 SP2: TLS-Problem mit Update KB4019276

Noch eine kurze Frage in die Runde: Hat jemand TLS-Verbindungsprobleme festgestellt, nachdem Update KB4019276 eingespielt wurde? Beispielsweise, dass Clients nicht mehr mit dem Server kommunizieren konnten.


Anzeige

Update KB4034670 ist das Preview of Monthly Rollup für Windows 7 SP1 und Windows Sever 2008 R2. Ich hatte es im Blog-Beitrag Microsofts Windows (Preview) Updates (15. August 2017) vorgestellt. In diesem Kommentar zu meinem englischsprachigen Blog-Beitrag schreibt ein Blog-Leser:

Anyone faces any issue on the patch KB4019276 for supporting TLS 1.2 client? We installed the patch in our Windows Server 2008 SP2, and even though the TLS 1.2 server works, but the client does not, meaning we cannot connect to our client's web API successfully because the client's web API only supports TLS 1.2 which are not supported by sChannel in Windows Server 2008 SP2.
Anyone is aware of whether Microsoft plans to come out with the updated cipher suites for TLS 1.2 for Windows Server 2008 SP2?

Er hat festgestellt, dass seine Clients nicht mit der Web-API verbunden werden können, das diese nur TLS 1.2 unterstützt, die aber im sChannel unter Windows Server 2008 SP2 nicht verfügbar ist.

Scheint ein spezielles Szenarios zu sein, so dass die beiden Artikel Disabling TLS 1.0 causes Server-Error und Fehlerbehebung bei SSL/TLS-Verbindungen vermutlich nicht weiter helfen. Auch dieser Technet-Forenbeitrag bringt einen nicht weiter, da er sich auf ältere Updates bezieht. Dieser MS Answers-Forenbeitrag zu FTP-Problemen bezieht sich auf andere Updates.

Daher die Frage: Kann jemand mit diesem Szenario, welches im Kommentar beschrieben ist, etwas anfangen und steht er vor dem gleichen Problem?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Windows Server 2008 SP2: TLS-Problem mit Update KB4019276

  1. Rolf Dieter sagt:

    Wer zur Hölle spielt sich denn freiwillig ein "Preview" Update von Microsoft ein?
    Das wird hier sofort ausgeblendet.
    Zum heutigen Standpunkt ist ein ungepatchtes Windows sicherer als ein gepatchtes.
    Und die Bezeichnung "Qualitätsrollup" verhöhnt einen auch noch dazu.
    Qualität liefert Microsoft schon seit Jahren nicht mehr aus, oder es wird von MS anders definiert.
    Niveaulimbo trifft es wesentlich besser, was MS zur Zeit abliefert.
    Und ich glaube, dass die Latte immer noch tiefer und tiefer gelegt wird.
    Sie können es einfach nicht mehr, und da kommt auch nichts mehr.

  2. Dietmar sagt:

    Ich würde schön langsam den Windows Server 2008 in Frage stellen.

  3. Karl (al Qamar) sagt:

    Genau so Dieter. Sie hätten den Patch Support einstellen sollen wie bei client OS called Vista

    • Rolf Dieter sagt:

      Wenn die gelieferten Sicherheitsupdates mehr Probleme bereiten als Sicherheitsprobleme. Definintiv ja.
      Wir haben noch etliche Vista Systeme da draußen.
      Nie Zwangsupdates, nie Probleme.
      Es laufen auch noch 2003. Systeme.
      Seitdem MS die Updates eingestellt hat, laufen die wesentlich besser.
      Seit dem Ende des Supports nicht ein einziges Sicherheitsproblem.
      Harwarefirewall davor und gut.

  4. Thomas Wildgruber sagt:

    Servus,
    wir haben gestern die August Updates eingespielt und seitdem ein Problem, dass wir nicht mehr das Web Interface unseres Virenscanners (Trend Micro) mit HTTPS öffnen können, HTTP geht (so halb). Wir haben allerdings das Update KB4019276 gar nicht installiert, wir haben es schon gar nicht auf unserem WSUS aber wir lehnen auch die Vorschau Updates grundsätzlich ab, evtl. kam das Problem danach dann auch mit einem der Updates KB4034679 oder KB4034664 (das sind die zwei August Updates) wieder mit. Wir haben die Verbindung mit einem OpenSSL Client getestet und der Server bietet überhaupt kein SSL mehr an, obwohl wir zumindest TLS 1.1 und TLS 1.2 explizit in der Registry aktiviert haben.

    Vielleicht findet ja noch jemand eine Antwort. Ich habe noch einen Thread dazu im Microsoft Forum offen.

    Thx & Bye Tom

  5. JoeGerhard sagt:

    Hallo liebe MS-Geschädigten,

    habe heute einem SBS 2008 upgedated und dabei leichtsinnigerweise auch
    das optionale KB4037616 und
    die empfohlenen KB4036162
    und insbesondere KB4019276 mit installiert.

    Danach konnten die voll gepatchten Win7/64 Clients mit Outlook 2010 nicht mehr auf den Exchange-Server des SBS 2008 zugreifen (dass der end of life ist, ist klar).

    Nach der Deinstallation aller drei Updates und einem Server-Neustart geht es nun wieder. Habe nicht probiert welches Update Schuld war, vermute aber natürlich, dass es mit dem 4019267 zusammen hängt. Registry Einträge habe ich nicht erstellt.

    Und, für die Clients wird das Outlook 2010 Update KB4011089 immer noch nicht installiert, ist abgewählt auf allen Win7 Clients 32 und 64.

    Das zur Info.

    Grüße

  6. Tom sagt:

    Bei der Umstellung von Exchange 2010 SP3 RU22 auf Windows Server 2008 R2 SP1 auf TLS 1.2 gemäss
    https://blogs.technet.microsoft.com/exchange/2018/01/26/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/
    fällt auf beim SSLLabs Test, dass Android, Chrome, Firefox sowie Googlebot Versionen sich nicht mehr mit Outlook Web App verbinden können. Im SSLLabs Test wird für diese Clients der Hinweis ausgegeben: Server closed connection, was zu dem Hinweis: Secure connection failed, im aktuellen Firefox passt.

  7. Joe_Gerhard sagt:

    Hi Leute,

    seit ein paar Tagen ist das Problem mit TLS 1.1 und TLS 1.2 wieder ganz aktuell.
    Der Zugriff auf die iCloud Synchronisation aus Outlook 2010 unter Win7 scheitert und man kann ggf. nicht mehr (mit Outlook) von außerhalb des Netzwerks auf einen Exchange Server zugreifen. Man erhält eine Zertifikats Fehlermeldung obwohl das Zertifikat in Ordnung ist. Beide Probleme hängen mit nicht aktivierten TLS 1.1 und TLS 1.2 auf dem Server bzw. auf dem Client zusammen.

    Für den Client mit Win 7 und diverse Server hier lesen:
    https://support.microsoft.com/de-de/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi

    Hotfix (im Artikel auf einfache Lösung klicken!)
    https://support.microsoft.com/de-de/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi#easy

    Das hier ggf. Überprüfen:
    https://kb.abacuslaw.com/articles/1486-Microsoft-Outlook-Proxy-Server-s-Security-Certificate-Error-Code-80000000?view_portal_id=1024 .

    Für den Server 2008 (ohne R2 auch SBS) das hier machen (auch für TLS 1.1). In diesem Artikel wird es gut beschrieben, beachtet auch 5. ff. und kontrolliert die Einträge in der Registry (der Wert enabled ist 1 nichts Anderes), wenn Ihr Tools wie (https://www.nartac.com/Products/IISCrypto/) benutzt! Danach Server neu starten!
    https://support.solarwinds.com/SuccessCenter/s/article/Enable-TLS-1-2-on-Windows-Server-2008 .

    Die m.E. etwas komplizierte Erklärung von MS:
    https://support.microsoft.com/en-us/help/4019276/update-to-add-support-for-tls-1-1-and-tls-1-2-in-windows .

    Warum die Probleme seit zwei oder drei Tagen auftauchen, habe ich nicht mitbekommen. Die Lösungen funktionieren jedenfalls.

    Hoffe es nutzt jemandem.
    Grüße JG

Schreibe einen Kommentar zu Rolf Dieter Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.