Aucune donnée est revenue de IIS 8 derrière Amazon ELB

Nous avons quelques boîtes Windows 2012 exécutant IIS 8 derrière un AWS ELB. Lors d'un redémarrage récent, nous avons perdu la capacité d'accéder à ces servers, via un browser Web, lors de la connection via le ELB. Si nous abordons directement les cases, cela fonctionne bien. Au début, nous avons pensé que c'était un problème ELB, mais Amazon n'a pas confirmé de problèmes à sa fin.

La connection à partir du browser est SSL qui se termine par le ELB, mais en raison des contraintes d'applications existantes, le ELB établit une deuxième connection SSL à l'instance EC2 exécutant IIS. Si nous modifions le ELB pour utiliser TCP, par rapport à HTTPS, nous perdons l'en-tête X-Forwarded-For, mais nous obtenons la connection du ELB au server Web. C'était suffisant pour nous rendre opérationnels à nouveau, mais pas idéal.

Pour les tests, nous avons censortingfugé un deuxième Test ELB et l'avons configuré comme l'original. Nous avons ajouté le server Web aux deux ELB. Si nous atteignons le server par le premier (modifié par TCP vs HTTPS et sans XFF), il fonctionne. Si nous atteignons le server à travers le 2ème (Pas en production, mais comment nous le voulons configuré en fin de count), il échoue à nouveau. Nous avons également généré une boîte vierge IIS en 2012 et avons installé notre certificate. Lorsque nous supprimons notre boîte troublée derrière le 2ème ELB et que nous mettons la boîte IIS vierge, cela fonctionne réellement (pas d'idée pourquoi). C'est un process assez laborieux pour créer un server Web fonctionnel, donc, dans la mesure du possible, j'aimerais simplement récupérer l'ancien en ligne.

Les balises Qualys SSL Lab de la boîte troublée et de la nouvelle boîte IIS (fonctionnelle) donnent des résultats presque identiques: SSL v2 et v3 désactivés TLS 1, 1.1 et 1.2 activés

Amazon nous a suggéré que Wireshark le détermine. J'ai attaché les captures d'écran ci-dessous.

Celui qui fonctionne: http://i.imgur.com/SfbCSTk.png (besoin de 10 représentants pour mettre l'image en ligne – désolé)

L'un est cassé: http://i.imgur.com/tbFJTWG.png

Je ne sais pas vraiment comment interpréter cela, mais il semble que la connection SSL ne soit jamais négociée dans les cas cassés.

Des idées?

Merci d'avance!

Il s'avère que c'était un problème avec un correctif Microsoft récent (KB 2992611). Nous avons repoussé le patch et tout fonctionne comme prévu. Pour plus d'informations, consultez l'article ici:

http://www.zdnet.com/article/microsoft-warns-of-problems-with-schannel-security-update/