У нас есть несколько компьютеров с Windows 2012 с IIS 8 за AWS ELB. При недавней перезагрузке мы потеряли возможность подключаться к этим серверам через веб-браузер при подключении через ELB. Если мы обращаемся к ящикам напрямую, все работает нормально. Сначала мы думали, что это проблема с ELB, но Amazon не подтвердил никаких проблем с их стороны.
Соединение из браузера - это SSL, который завершается на ELB, но из-за ограничений унаследованного приложения ELB устанавливает второе SSL-соединение с экземпляром EC2, на котором запущен IIS. Если мы изменим ELB для использования TCP, а не HTTPS, мы потеряем заголовок X-Forwarded-For, но получим соединение от ELB с веб-сервером. Этого было достаточно, чтобы мы снова заработали, но не идеально.
Для тестирования мы создали второй Test ELB и настроили его так же, как оригинал. Мы добавили веб-сервер к обоим ELB. Если мы попадаем на сервер через первый (модифицированный - с использованием TCP вместо HTTPS и без X-F-F), он работает. Если мы попадаем на сервер через второй (не в производстве, но как мы хотим, чтобы он был настроен в конечном итоге), он снова выйдет из строя. Мы также создали новый сервер IIS под управлением 2012 года и установили наш сертификат. Когда мы удаляем наш проблемный ящик из-за 2-го ELB и вставляем новый ящик IIS, он действительно работает (не знаю почему). Создание функционального веб-сервера - довольно трудоемкий процесс, поэтому, если это вообще возможно, я просто хотел бы вернуть старый в оперативный режим.
Сканирование Qualys SSL Lab как проблемного блока, так и нового (рабочего) блока IIS дает почти идентичные результаты: SSL v2 и v3 отключены TLS 1, 1.1 и 1.2 включены
Amazon предложила нам Wireshark, чтобы определить проблему. Прикрепил скриншоты ниже.
Тот, который работает: http://i.imgur.com/SfbCSTk.png (нужно 10 повторов, чтобы вставить изображение в строку - извините)
Тот, что сломался: http://i.imgur.com/tbFJTWG.png
Я не совсем уверен, как это интерпретировать, но похоже, что соединение SSL никогда не согласовывается в сломанном случае.
Любые идеи?
Большое спасибо заранее!
Оказывается, это была проблема с недавним патчем Microsoft (KB 2992611). Откатили патч и все работает как положено. Пожалуйста, смотрите статью здесь для получения дополнительной информации:
http://www.zdnet.com/article/microsoft-warns-of-problems-with-schannel-security-update/
