解決Exchange 2016 Chrome瀏覽器無法登陸OWA以及ECP問題

    很久沒寫博了，其實也積攢了一些可以寫的東西，準備陸續拿出來分享一下，最近遇到一個很奇葩的問題，在Azure上搭了一套Exchange 2016的測試環境，搭建的過程就不說了，Exchange 2016基本和2013安裝沒什么太大區別。

    安裝的過程很順利，但是安裝完成之后，偶然間突然發現一個問題，那就是ECP和OWA在IE瀏覽器登陸一切正常，但是在Chrome上卻發現ECP和OWA無法正常登陸，提示ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY

    我累個擦這啥玩意，IE能上，chrome卻不能，這個問題確實有點怪，正常來講，IE既然能連上，chrome應該也沒什么問題，這是什么原因呢？

 IE既然可以正常連接，那么問題應該就出在chrome身上了，大家都知道google對安全性的重視是非常高的，一般來說在瀏覽器安全方面的一些革新和措施都是google先發起，然后各家先后跟風，比如之前對各種違規的CA廠商的不再信任的措施，而我用的一般又都是chrome比較新的版本，順著這個思路，準備嘗試著換一個比較舊的版本來試一下，下載了一個Chrome 42的版本之后，發現果然就沒再遇到之前的問題

    這樣基本上就可以確認是Chrome版本的問題了，很有可能是google又出了什么安全措施，導致了這個問題，之后又google一下報錯的代碼，果然發現了不少事情

    原來是Chrome已經停止了對很多過時的協議以及加密算法的支持，這也導致用這些加密算法的連接都不會被chrome接受，比如PCT 1.0 SSL 2.0 SSL 3.0 以及RC2 128/128  RC2 56/128等等

    問題既然確認了，那么如何解決呢，首先先安利一些很好用的工具和網站

    1.https://www.ssllabs.com/ssltest/

    這個網站也可以查看網站的證書信息，使用的加密算法，并且還會對其進行評級，對于查看這種因為算法和協議引起的問題實在是再好不過了，有興趣的可以試試，以下是測評的一個截圖

    2.TestSSLServer

    這是個本地的小工具，可以看到本地服務器使用的協議和算法

    最后問題是怎么解決的，有兩種辦法

    解決辦法之一：禁用以下協議和加密算法，稍微麻煩點

    MultiProtocol Unified Hello

    PCT 1.0

    SSL 2.0

    SSL 3.0

    preferred via registry like:

    ; Disable PCT 1.0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

    "DisabledByDefault"=dword:00000001

    "Enabled"=dword:00000000

    ; Disable SSL 2.0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]

    "DisabledByDefault"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

    "Enabled"=dword:00000000

    ; Disable SSL 3.0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

    "DisabledByDefault"=dword:00000001

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

    "DisabledByDefault"=dword:00000001

    "Enabled"=dword:00000000

    and

    NULL Cipher

    DES 56/56

    RC2 (fully)

    RC4 (fully)

    via

    ; Disable weak ciphers

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/56]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

    "Enabled"=dword:00000000

    解決辦法之二，介紹一個很厲害的小工具，下邊是下載地址，這個工具可以支持一鍵設置服務器，自動配置成最佳實踐的狀態，省去了不少時間

    https://www.nartac.com/Products/IISCrypto

    下載完成后，接受用戶協議

然后可以看到當前服務器使用的加密算法和協議

接下來直接點擊左下角的best practices，然后重啟服務器

重啟之后chrome問題解決，我只想說，實在是太特么方便了

最后，問題解決，皆大歡喜。