当我尝试在 Exchange 2013 中与外部域建立新的组织关系时,收到一条错误消息:"Federation information could not be received from the external organization."
我发现它在后台运行Get-FederationInformation -Domainname externaldomain.com(或类似的东西)。我无法运行此命令,并且会收到相同的错误。一些事件日志(schannel 事件)让我相信这是由于 TLS 握手失败造成的。我知道外部组织确实禁用了传入 TLS 1.0 和 1.1。
我发现 Powershell 默认仅将 TLS 1.0/SSLv3 用于 Web 内容,但可以在注册表中进行更改:
# set strong cryptography on 64 bit .Net Framework (version 4 and above)
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord
# set strong cryptography on 32 bit .Net Framework (version 4 and above)
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord
我甚至能够仅使用 powershell 创建新的组织关系:
Get-FederationInformation -DomainName mydomain.com | New-OrganizationRelationship -name "MyDomain" -FreeBusyAccessEnabled $true -FreeBusyAccessLevel LimitedDetails
但是,日历共享仍然不起作用。我猜想 Exchange 服务没有使用 TLS 1.2 进行实际共享,因为尝试在 ECP GUI 中添加组织关系仍然失败并出现旧错误。看来我只是设法将 TLS 1.2 用于 Powershell,而不是 Exchange 服务。
是否有配置可以让 Exchange 默认使用 TLS 1.2?我不需要或不想关闭旧版 TLS。