問題描述:
環境:服務器端Skype for Business 2015 企業版,客戶端 Lync 2010和 Lync 2013;
使用Lync2010的客戶端登錄是正常的;但是當使用Lync2013客戶端登錄相同帳戶時卻無法登錄,提示報錯爲:
“服務器展示不可用,如果問題仍然存在,請聯繫您的支持團隊”
檢查Skype for Business前端服務器上的系統日誌中會出現兩個Schannel的報錯,Event ID爲36874和36888
分析:
從報錯中可以看出這個問題與TLS1.2有關。
當客戶端要與服務器進行安全通信,服務器和客戶端必須確認相同的密碼套件,包括︰
• 如何驗證對方 (密鑰交換)
• 如何加密數據 (加密密碼)
• 如何驗證消息沒有被篡改 (消息身份驗證代碼)
• 如何確定隨機數 (僞隨機函數)
顯然目前服務器端無法找到與客戶端提供的相同的密碼套件,導致報錯。
解決方案:
禁用 TLS 1.2,使客戶端和服務器強制通過 TLS 1.1 進行通信。
通過以下方式禁用TLS 1.2:
1.在SFB前端服務器上打開註冊表編輯,找到下面這個位置:HKLM\System\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols
2.在協議下面創建鍵值TLS 1.2
3、在TLS 1.2下面再創建鍵值Client 和 Server(兩個鍵值)
4、在Client和Server鍵值下創建DWORDs值DisabledByDefault 和 Enabled
5、在Client和Server鍵值下把DisabledByDefault 和 Enabled值改成DisabledByDefault=1 ,Enabled =0
6、重啓服務器