- Remove From My Forums
-
Вопрос
-
Имеется сервер Windows Server 2012. Исполняет роль шлюза терминалов.
В журнале событий я вижу такую ошибку:
Источник: Schannel
ID: 36874
Получен запрос на подключение TLS 1.1 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой.
Что это за проблема?
Ответы
-
Смысл в том, что какой-то клиент попытался установить TLS сессию (TLS 1.1), но не удалось, т.к. сервер и клиент не смогли согласовать алгоритм шифрования. Возможно на сервере не разрешены устаревшие алгоритмы, а клиент не поддерживает современные. Вот
тут есть тулза которая может помочь в настроке шифрования. Еще неплохо написанотут. Вас просто ошибка беспокоит или есть какие-то проявления этой ошибки?
-
Помечено в качестве ответа
7 февраля 2014 г. 7:18
-
Помечено в качестве ответа
-
-
Помечено в качестве ответа
MikAndr
22 ноября 2017 г. 9:03
-
Помечено в качестве ответа
Ошибки 36874, 36887, 36888 Schannel стали регулярно появляться на сервере Exchange 2013. За целый день накапливались десятки сообщений, но при этом работоспособность сервера нарушена не была.
Сокращение Schannel означает Secure Channel 1 — библиотека, криптографический провайдер (Security Support Provider — SSP), используемый для взаимодействия по протоколу http. По большому счету ошибки 36874, 36887, 36888 не сигнализируют о какой-то серьезной проблеме на сервере, а служат скорее для отладки взаимодействия с клиентами. Именно поэтому лишние оповещения от Schannel могут быть просто отключены.
Тем не менее, обилие одних и тех же ошибок Schannel осложняло диагностику на сервере и надо было от них избавляться.
Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики — Exchange 2013 — Установка, настройка, администрирование.
Традиционно в самом начале диагностические сведения об ошибках, чтобы вы могли их точно идентифицировать у себя. Schannel 36874:
|
Получен запрос на подключение TLS 1.2 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой. |
Schannel 36887:
|
С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 46. |
Schannel 36888:
|
Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 10. Состояние ошибки Windows SChannel: 1203. |
Для отключения индикации ошибок достаточно задать нужное значение параметра EventLogging в ветке реестра:
|
HKLMSystemCurrentControlSetControlSecurityProvidersSCHANNEL |
При этом он может принимать следующие значения:
| Значение | Описание |
|---|---|
| 0x0000 | Не записывать в журнал |
| 0x0001 | Журнал сообщений об ошибках |
| 0x0002 | Журнал предупреждений |
| 0x0004 | Журнал информационные и успешные события |
Вариант 0x0000 меня полностью устраивает.
Открыв нужную ветку реестра, я не увидел раздела SCHANNEL. Поиск по всему реестру по вхождению SCHANNEL выдал:
|
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSecurityProvidersSCHANNEL HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSecurityProvidersSCHANNEL |
Это не совсем то, о чем говорится в статье Microsoft 2, но можно попробовать задать нужные настройки и в этих ветках реестра. Кстати, это помогло.
Напоминаю, что все изменения в реестре вы выполняете на свой страх и риск, перед изменениями не забудьте сделать бэкап. Некорректные настройки могут привести к остановке работы сервера.
Может быть вам поможет дополнительная информация по кодам ошибок SSL 3.
comments powered by HyperComments
- Remove From My Forums
-
Question
-
Greetings,
The scenario is the following: 1 Windows Server 2008 R2 SP1 (patched up to date).
There are two errors that shows every 10 seconds:
Log Name: System
Source: Schannel
Date: 19/07/2012 14:59:58
Event ID: 36874
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Server.Mydomain.com
Description:
An SSL 3.0 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Schannel» Guid=»{1F678132-5938-4686-9FDC-C8FF68F15C85}» />
<EventID>36874</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=»2012-07-19T19:59:58.511146300Z» />
<EventRecordID>5908</EventRecordID>
<Correlation />
<Execution ProcessID=»484″ ThreadID=»524″ />
<Channel>System</Channel>
<Computer>Server.Mydomain.com</Computer>
<Security UserID=»S-1-5-18″ />
</System>
<EventData>
<Data Name=»Protocol»>SSL 3.0</Data>
</EventData>
</Event>Log Name: System
Source: Schannel
Date: 19/07/2012 14:59:58
Event ID: 36888
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Server.Mydomain.com
Description:
The following fatal alert was generated: 40. The internal error state is 107.
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Schannel» Guid=»{1F678132-5938-4686-9FDC-C8FF68F15C85}» />
<EventID>36888</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=»2012-07-19T19:59:58.511146300Z» />
<EventRecordID>5909</EventRecordID>
<Correlation />
<Execution ProcessID=»484″ ThreadID=»524″ />
<Channel>System</Channel>
<Computer>Server.Mydomain.com</Computer>
<Security UserID=»S-1-5-18″ />
</System>
<EventData>
<Data Name=»AlertDesc»>40</Data>
<Data Name=»ErrorState»>107</Data>
</EventData>
</Event>Note: This server has IIS installed (requirement for web console of System Center Operations Manager 2012)
The questions are:
Is this behavior normal?
if no
How to fix this problem?
Thanks in advance!
Answers
-
Hi,
Thanks for posting in Microsoft TechNet forums.
If everything is working fine, it is OK that we just turn off these two error reporting.
We can check the information in this thread:
Getting Schannel 36874 errors on my CAS/HT servers
http://social.technet.microsoft.com/Forums/en-US/exchange2010/thread/7b95a21c-67fc-49a9-8198-b9e364523d27/
Also if you need any help regarding IIS, we can seek help in our IIS forum:
Internet Information Server (IIS)
http://social.technet.microsoft.com/Forums/en-US/iises/threads
Hope the information can be useful to you.
Regards
Kevin
-
Proposed as answer by
Wednesday, July 25, 2012 9:15 AM
-
Unproposed as answer by
ARNAERT Marc
Wednesday, July 25, 2012 9:15 AM -
Marked as answer by
朱鸿文
Wednesday, August 1, 2012 1:37 AM
-
Proposed as answer by
-
Hi,
This error can be received due to an incompatible browser problem and SSL 3.0 connection request cannot be handled.
As discussed, we can modify that registry key to disable the additional secure channel event logging if every works fine.
Also we can check the thread below. It mentioned another scenario in which the «The following fatal alert was generated: 40. The internal error state is 107.» error could be received:
Why does Window’s SSL Cipher-Suite get restricted under certain SSL certificates?
http://serverfault.com/questions/166750/why-does-windows-ssl-cipher-suite-get-restricted-under-certain-ssl-certificates
(Note: Since the site is not hosted by Microsoft, the link may change without notice. Microsoft does not guarantee the accuracy of this information.)
Regards
Kevin
-
Marked as answer by
朱鸿文
Wednesday, August 1, 2012 1:37 AM
-
Marked as answer by
- Remove From My Forums
-
Question
-
Greetings,
The scenario is the following: 1 Windows Server 2008 R2 SP1 (patched up to date).
There are two errors that shows every 10 seconds:
Log Name: System
Source: Schannel
Date: 19/07/2012 14:59:58
Event ID: 36874
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Server.Mydomain.com
Description:
An SSL 3.0 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Schannel» Guid=»{1F678132-5938-4686-9FDC-C8FF68F15C85}» />
<EventID>36874</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=»2012-07-19T19:59:58.511146300Z» />
<EventRecordID>5908</EventRecordID>
<Correlation />
<Execution ProcessID=»484″ ThreadID=»524″ />
<Channel>System</Channel>
<Computer>Server.Mydomain.com</Computer>
<Security UserID=»S-1-5-18″ />
</System>
<EventData>
<Data Name=»Protocol»>SSL 3.0</Data>
</EventData>
</Event>Log Name: System
Source: Schannel
Date: 19/07/2012 14:59:58
Event ID: 36888
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Server.Mydomain.com
Description:
The following fatal alert was generated: 40. The internal error state is 107.
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Schannel» Guid=»{1F678132-5938-4686-9FDC-C8FF68F15C85}» />
<EventID>36888</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=»2012-07-19T19:59:58.511146300Z» />
<EventRecordID>5909</EventRecordID>
<Correlation />
<Execution ProcessID=»484″ ThreadID=»524″ />
<Channel>System</Channel>
<Computer>Server.Mydomain.com</Computer>
<Security UserID=»S-1-5-18″ />
</System>
<EventData>
<Data Name=»AlertDesc»>40</Data>
<Data Name=»ErrorState»>107</Data>
</EventData>
</Event>Note: This server has IIS installed (requirement for web console of System Center Operations Manager 2012)
The questions are:
Is this behavior normal?
if no
How to fix this problem?
Thanks in advance!
Answers
-
Hi,
Thanks for posting in Microsoft TechNet forums.
If everything is working fine, it is OK that we just turn off these two error reporting.
We can check the information in this thread:
Getting Schannel 36874 errors on my CAS/HT servers
http://social.technet.microsoft.com/Forums/en-US/exchange2010/thread/7b95a21c-67fc-49a9-8198-b9e364523d27/
Also if you need any help regarding IIS, we can seek help in our IIS forum:
Internet Information Server (IIS)
http://social.technet.microsoft.com/Forums/en-US/iises/threads
Hope the information can be useful to you.
Regards
Kevin
-
Proposed as answer by
Wednesday, July 25, 2012 9:15 AM
-
Unproposed as answer by
ARNAERT Marc
Wednesday, July 25, 2012 9:15 AM -
Marked as answer by
朱鸿文
Wednesday, August 1, 2012 1:37 AM
-
Proposed as answer by
-
Hi,
This error can be received due to an incompatible browser problem and SSL 3.0 connection request cannot be handled.
As discussed, we can modify that registry key to disable the additional secure channel event logging if every works fine.
Also we can check the thread below. It mentioned another scenario in which the «The following fatal alert was generated: 40. The internal error state is 107.» error could be received:
Why does Window’s SSL Cipher-Suite get restricted under certain SSL certificates?
http://serverfault.com/questions/166750/why-does-windows-ssl-cipher-suite-get-restricted-under-certain-ssl-certificates
(Note: Since the site is not hosted by Microsoft, the link may change without notice. Microsoft does not guarantee the accuracy of this information.)
Regards
Kevin
-
Marked as answer by
朱鸿文
Wednesday, August 1, 2012 1:37 AM
-
Marked as answer by
null
При неудачном подключении к LDAPs определить причину проблемы со стороны клиента крайне затруднительно по причине «информативности» вывода:
ld = ldap_sslinit("DC.domain", 636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 81 = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to DC.domain.
Имея доступ к журналу событий System (Event viewer) на контроллере домена можно определить причину (коих может быть великое множество).
В данной заметке раскажу про часто встречающуюся проблему после конфигурации LDAPS, а именно ошибку аутентификации в Secure Channel (Schannel)
Log Name: System Source: Schannel Date: 21.01.2016 12:28:12 Event ID: 36874 Task Category: None Level: Error Keywords: User: SYSTEM Computer: DC.domain Description: An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
Проблема заключается в том, что по умолчанию TLS 1.2 отключен на стороне сервера.
Конкретно в Вашем случае отключено может быть что угодно (SSL…,TLS….).
Соединение не удается и следом за Event ID: 36874 следует:
Log Name: System Source: Schannel Date: 21.01.2016 12:28:12 Event ID: 36888 Task Category: None Level: Error Keywords: User: SYSTEM Computer: DC.domain Description: A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 40. The Windows SChannel error state is 1205.
Решение
Решением является включение TLS 1.2.
Оперативно это можно выполнить через правку реестра путем создания ключа TLS 1.2ClientDisabledByDefault в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientDisabledByDefault
Значение ключа DisabledByDefault должно быть выключено (1). 