IE/IIS 需要故障排除帮助
IE/IIS troubleshooting help needed
我有一个非常奇怪的场景。我有两个网站,一个实时网站和一个测试网站,都是 public 个网站。 "live" 站点适用于所有浏览器和操作系统。测试网站最初是从实时网站克隆而来的,适用于 Chrome、IE 11(在 Windows 10 上)和 Edge。但是,它不能在 Windows 7 上与 IE 11 一起使用。
我查看了两个 IIS 服务器的差异,包括 TLS 差异,但没有找到任何差异。
错误是 "This page can’t be displayed" 在某些情况下,我得到以下信息;
"Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings"
我尝试更改浏览器上的所有 TLS 和 SSL 设置组合,但没有任何积极效果。我尝试了 4 台不同的 Windows 7 台机器 运行 IE 11,它们都失败了 "This page can’t be displayed" 有些人得到了 "Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings" 而其他人没有。
我检查了测试服务器上的 IIS 日志,它没有记录来自 Win7/IE 浏览器的任何访问。它确实记录了来自 chrome 和 Win10/IE 浏览器的访问。
我试过Fiddler,访问测试网站时报内部类型错误。错误是 "HTTPS handshake to failed. System.IO.IOException Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host"
我检查了客户端和服务器上的事件查看器,没有报告相关错误。
我希望得到帮助,尝试获得一些关于如何进一步解决问题的建议。
编辑:
根据下面的评论,我 运行 Qualsys。两台服务器的结果显示出差异,这解释了问题。我不知道如何影响使测试服务器工作的更改。这是来自的部分结果;
在线服务器;
Cipher Suites
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) WEAK 256
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128
Handshake Simulation
IE 11 / Win 7 R RSA 2048 (SHA256) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
IE 11 / Win 8.1 R RSA 2048 (SHA256) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
IE 11 / Win Phone 8.1 R RSA 2048 (SHA256) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS
IE 11 / Win Phone 8.1 Update R RSA 2048 (SHA256) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
测试服务器;
Cipher Suites
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (eq. 3072 bits RSA) FS 128
Handshake Simulation
IE 11 / Win 7 R Server closed connection
IE 11 / Win 8.1 R Server closed connection
IE 11 / Win Phone 8.1 R Server closed connection
IE 11 / Win Phone 8.1 Update R Server closed connection
我需要的方向在评论里已经定义好了。我所做的是重置 IIS Crypto "Best Practices" 并重新启动。使用 IIS Crypto 完成后,我删除了 TLS 1.0 和 TLS 1.1。重新启动后,一切正常。
我有一个非常奇怪的场景。我有两个网站,一个实时网站和一个测试网站,都是 public 个网站。 "live" 站点适用于所有浏览器和操作系统。测试网站最初是从实时网站克隆而来的,适用于 Chrome、IE 11(在 Windows 10 上)和 Edge。但是,它不能在 Windows 7 上与 IE 11 一起使用。
我查看了两个 IIS 服务器的差异,包括 TLS 差异,但没有找到任何差异。
错误是 "This page can’t be displayed" 在某些情况下,我得到以下信息;
"Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings"
我尝试更改浏览器上的所有 TLS 和 SSL 设置组合,但没有任何积极效果。我尝试了 4 台不同的 Windows 7 台机器 运行 IE 11,它们都失败了 "This page can’t be displayed" 有些人得到了 "Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings" 而其他人没有。
我检查了测试服务器上的 IIS 日志,它没有记录来自 Win7/IE 浏览器的任何访问。它确实记录了来自 chrome 和 Win10/IE 浏览器的访问。
我试过Fiddler,访问测试网站时报内部类型错误。错误是 "HTTPS handshake to failed. System.IO.IOException Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host"
我检查了客户端和服务器上的事件查看器,没有报告相关错误。
我希望得到帮助,尝试获得一些关于如何进一步解决问题的建议。
编辑:
根据下面的评论,我 运行 Qualsys。两台服务器的结果显示出差异,这解释了问题。我不知道如何影响使测试服务器工作的更改。这是来自的部分结果;
在线服务器;
Cipher Suites
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) WEAK 256
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128
Handshake Simulation
IE 11 / Win 7 R RSA 2048 (SHA256) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
IE 11 / Win 8.1 R RSA 2048 (SHA256) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
IE 11 / Win Phone 8.1 R RSA 2048 (SHA256) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS
IE 11 / Win Phone 8.1 Update R RSA 2048 (SHA256) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
测试服务器;
Cipher Suites
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (eq. 3072 bits RSA) FS 128
Handshake Simulation
IE 11 / Win 7 R Server closed connection
IE 11 / Win 8.1 R Server closed connection
IE 11 / Win Phone 8.1 R Server closed connection
IE 11 / Win Phone 8.1 Update R Server closed connection
我需要的方向在评论里已经定义好了。我所做的是重置 IIS Crypto "Best Practices" 并重新启动。使用 IIS Crypto 完成后,我删除了 TLS 1.0 和 TLS 1.1。重新启动后,一切正常。