Problèmes courants lors de l'activation de TLS 1.2

Cet article fournit des conseils pour les problèmes courants qui se produisent lorsque vous activez la prise en charge de TLS 1.2 dans Configuration Manager.

Plateformes non prises en charge

Les plateformes clientes suivantes sont prises en charge par Configuration Manager, mais ne le sont pas dans un environnement TLS 1.2 :

• Apple OS X
• Appareils Windows gérés avec mdm local

Les rapports ne s’affichent pas dans la console

Si les rapports ne s’affichent pas dans la console Configuration Manager, veillez à mettre à jour l’ordinateur sur lequel vous exécutez la console. Mettez à jour le .NET Framework et activez le chiffrement fort.

Stratégie de sécurité FIPS activée

Si vous activez le paramètre de stratégie de sécurité FIPS pour le client ou un serveur, la négociation de canal sécurisé (Schannel) peut les amener à utiliser TLS 1.0. Ce comportement se produit même si vous désactivez le protocole dans le Registre.

Pour investiguer, activez la journalisation des événements du canal sécurisé, puis passez en revue les événements Schannel dans le journal système. Pour plus d’informations, consultez Restreindre l’utilisation de certains algorithmes et protocoles de chiffrement dans Schannel.dll.

échec de communication SQL Server

Si SQL Server communication échoue et retourne une erreur SslSecurityError, vérifiez les paramètres suivants :

• Mettre à jour .NET Framework et activer le chiffrement fort sur chaque ordinateur
• Mettre à jour SQL Server sur le serveur hôte
• Mettez à jour SQL Server composants clients sur tous les systèmes qui communiquent avec SQL. Par exemple, les serveurs de site, le fournisseur SMS et les serveurs de rôle de site.

échecs de communication du client Configuration Manager

Si le client Configuration Manager ne communique pas avec les rôles de site, vérifiez que vous avez mis à jour Windows pour prendre en charge TLS 1.2 pour la communication client-serveur à l’aide de WinHTTP. Les rôles de site courants incluent les points de distribution, les points de gestion et les points de migration d’état.

Le point Reporting Services échoue et retourne une erreur attendue

Si le point reporting services ne configure pas les rapports, case activée srSRP.log pour l’entrée d’erreur suivante :

The underlying connection was closed: An expected error occurred on a receive.

Pour résoudre ce problème, procédez comme suit :

1. Mettez à jour .NET Framework et activez le chiffrement fort sur tous les ordinateurs concernés.

2. Après avoir installé les mises à jour, redémarrez le service SMS_Executive.

Échecs de chargement du point de connexion de service

Si le point de connexion de service ne charge pas de données dans SCCMConnectedService, mettez à jour le .NET Framework et activez le chiffrement fort sur chaque ordinateur. Après avoir apporté les modifications, n’oubliez pas de redémarrer les ordinateurs.

Configuration Manager console affiche la boîte de dialogue d’intégration Intune

Si la boîte de dialogue d’intégration Intune s’affiche lorsque la console tente de se connecter au centre d’administration Microsoft Intune, mettez à jour le .NET Framework et activez le chiffrement fort sur chaque ordinateur. Après avoir apporté les modifications, n’oubliez pas de redémarrer les ordinateurs.

Configuration Manager console affiche l’échec de la connexion à Azure

Lorsque vous essayez de créer des applications dans Microsoft Entra ID, si la boîte de dialogue d’intégration des services Azure échoue immédiatement après avoir sélectionné Se connecter, mettez à jour .NET Framework et activez le chiffrement fort. Après avoir apporté les modifications, n’oubliez pas de redémarrer les ordinateurs.

Configuration Manager services cloud et TLS 1.2

Les machines virtuelles Azure utilisées par la passerelle de gestion cloud prennent en charge TLS 1.2. Les versions clientes prises en charge utilisent automatiquement TLS 1.2.

SmsAdminui.log peut contenir une erreur similaire à l’exemple suivant :

Microsoft.ConfigurationManager.CloudBase.AAD.AADAuthenticationException
Service returned error. Check InnerException for more details
at Microsoft.ConfigurationManager.CloudBase.AAD.AADAuthenticationContext.GetAADAuthResultObject
...
Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException
Service returned error. Check InnerException for more details
at Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext.RunAsyncTask
...
System.Net.WebException
The underlying connection was closed: An unexpected error occurred on a receive.
at System.Net.HttpWebRequest.GetResponse

Dans system EventLog, SChannel EventID 36874 peut être journalisé avec la description suivante : An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The TLS connection request has failed.

Ressources supplémentaires

• Bonnes pratiques en matière de sécurité de la couche de transport (TLS) avec le .NET Framework
• Kb 3135244 : Prise en charge de TLS 1.2 pour Microsoft SQL Server
• Référence technique des contrôles cryptographiques

Prochaines étapes

• Activer TLS 1.2 sur clients
• Activez TLS 1.2 sur les serveurs de site et les systèmes de site distants