Windows Server 2016 上の Exchange Server 2016 OWA に接続できない事象が発生する


こんにちは。Exchange サポートの日紫喜です。
本日は徐々に採用いただくことも増えている Windows Server 2016 と Exchange Server 2016 の組み合わせにて、 Google Chrome や Firefox からの OWA 接続が行えないという事象と対処方法についてご紹介します。
 
事象
Exchange 2016 を Windows Server 2016 上に構築後、Google Chrome や Firefox からの OWA アクセスに失敗する事象が発生します。ブラウザによって詳細は異なりますが、アクセス失敗時には、”INADEQUATE_SECURITY” が記録されます。
Exchange Server 2016 を Windows Server 2012 R2 上でご利用いただいている場合や、ブラウザとして Internet Explorer や Edge をご利用いただいている場合には発生しません。

2017041401
図1 Firefox にてアクセスに失敗する場合 (NS_ERROR_NET_INADEQUATE_SECURITY)

2017041402
図2 Google Chrome にてアクセスに失敗する場合 (ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY)
 
原因
Windows Server 2016 上で動作する IIS 10.0 では 2015 年に RFC が発行された HTTP/2 プロトコルがサポートされていますが、HTTP/2 の RFC では TLS で利用する暗号スイートに独自の制限を設けており、その制限に抵触する場合にはクライアントにて “INADEQUATE_SECURITY” を返して接続エラーとしてもよいことが規定されています。そして本事象は RFC で制限された暗号スイートとして規定されている “TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA” などが、サーバーからの応答内で選択されていることが原因となっています。
* この暗号スイートは TLS 1.2 にて使用が禁止されているわけではなく、あくまで HTTP/2 を利用する上で制限される可能性のある暗号スイートとなっています。
本事象に合致しているかどうかは、TLS Handshake における ServerHello メッセージ中に含まれる cipher_suite が HTTP/2 の RFC にて制限されている暗号スイートに合致しているかどうかで判断することができます。

2017041403
図3 Message Analyzer を用いて TLS Handshake の内容を確認した様子

Message Analyzer にて確認してみると、例えば今回の場合は “TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA” が選択されていました。
なお上述の通りこちらも TLS 1.2 では利用可能な暗号スイートであるため、TLS の Handshakeはエラー等が生じずに正常に終了することが確認できます。
 
回避方法
Exchange インストール後は IIS が利用する暗号スイートの優先順位がレジストリにて指定されることとなりますが、この順序が適切ではなく、当該レジストリの設定を削除いただくことで適切な暗号スイートが選択されるようになり、本事象が回避されることを確認しております。同様の事象に遭遇された際には以下の手順でレジストリの変更を行ってください。
本手順を実施いただいた場合は TLS で利用する暗号スイートが変更されることとなりますが、クライアントからの接続を含めた Exchange のその他の動作に影響を及ぼすものではございませんので、その点はご安心ください。
1. Exchange 2016 がインストールされたサーバー上で、スタートメニューから regedit と入力し、レジストリ エディターを開きます。
2. [HKEY_LOCAL_MACHINE] - [SOFTWARE] - [Policies] – [Microsoft] – [Cryptography] – [Configuration] – [SSL] – [00010002] の順に展開します。
3. [Functions] というキーを削除します。
4. 削除後、対象のサーバーを再起動します。
以上で手順は終了です。同様の事象に遭遇された際にはご参考になさってください。
 
参考文献
RFC 7540
これからも Exchange Server をよろしくお願いします。

 

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。


Skip to main content