傻瓜狐狸的雜碎物品

許多單位有在使用一些 eService 的服務

但近期應該會發現在 Windows 11 的某次更新之後

我們的 Windows 11 工作站就再也無法連線到提供 eService 的伺服器

並且會跳出底下的錯誤碼

錯誤代號 : -2147467259 (80004005)

錯誤描述 : [DBNETLIB][ConnectionOpen (SECDoClientHandshake()).]SSL 安全設定錯誤

網路上找了一圈都是說 Win11 更新後停用了 TLS1.0& 1.1，所以產生此問題

一開始依網路上所提供的方向去處理，但都無法解決

為了確定實際問題點

我們使用 Wireshark 來抓取封包 (我們這邊就不另外針對工具軟體 Wireshark 做使用教學了)

並抓一台 Win10 且可正常開啟 eservice 的封包來比較結果

由抓取的封包可以得知下列幾個重點

1. 在兩邊的加密套件上 win11 上少了三個

2. Wireshark 分析出來於 win10 上是可以使用 v1 的版本 (1.0 1.1 1.2)，但 Win11 只可以使用 v1.2 版本

3. 兩台電腦使用的協議是 TLS1.2

4. 斷線事由 Server 發出 RST 封包中

因為抓封包後發現根本沒使用 1.0 1.1，所以網路上所提 ~ 開啟 1.0 1.1 的解法其實是沒有用的

實際使用的傳輸版本是 1.2 且斷線是由 Server 發出並非 Timeout

故我們可以大膽推測，應該是 Win11 所提供的 18 種加密套件並不被 Server 端所支援

有興趣的朋友可以參閱後面這一篇 (Windows 11 v22H2 中的 TLS 加密套件) 文件中特別列出更新後套件的變化與不啟用列表

我把圖表抓過來放著給大家方便比對

然後我們對照上圖抓取到的封包內容

可以發現三個沒有被啟用的服務中，只有 TLS_RSA_WITH_3DES_EDE_CBC_SHA 這組是 TLS 1.0、1.1、1.2 三個版本都支援

所以解決問題的方法找到了

就是將 TLS_RSA_WITH_3DES_EDE_CBC_SHA 啟動起來應該就可以了

我們可以透過群組原則去更改套件來啟動 SSL 服務

您可以在搜尋列中貼上 gpedit.msc 就可以找到了

推薦您以系統管理員身份執行

然後依路徑

電腦設定 > 系統管理範本 > 網路 > SSL 組態設定

然後雙擊打開  SSL 加密套件順序

依順序

1. 已啟動

2. 於紅框處最末端加入後面的粗體紅字部份 ",TLS_RSA_WITH_3DES_EDE_CBC_SHA"

3. 套用

4. 重開機

重開機完成之後，你就可以順利連接到 eService 伺服器了

以上報告完畢，希望有幫到卡關的你

[教學] 把 ASUS Zenwifi ET12 PRO 中華電信版 刷成 ASUS 官方韌體與各種注意事項 

TOYOTA Corolla Cross 1.8 尊爵版 特式車 2023 年式 長期油耗與養護成本紀錄 

Ford Kuga EcoBoost 180 旗艦型 長期油耗與養護成本紀錄 2024 年版 

ZTC Nubia 紅魔 Red Magic 9 Pro 國際版 Snowfall 電競手機 台灣僅能靠代購的手機 快速開箱 

群暉 Synology DiskStation DS918+ NAS 擴充 2.5G 網路教學 (DSM 7.2.1-69057 Update 4可用) 

如果您想贊助提神良方，鼓勵編輯部更努力 (低銷 50)

可以點我前往 或是掃 QR CODE

想要跟我們聊天，請加入傻瓜狐狸的粉絲團

原文發表於傻瓜狐狸的雜碎物品