Stündliche Warnung bei schwerwiegenden Windows-Problemen

tag-icon tag-icon windows ssl windows-server-2012-r2 windows-event-log eventviewer
Stündliche Warnung bei schwerwiegenden Windows-Problemen

Auf einem meiner Windows Server 2012 R2 (aktualisiert) ist mein Ereignislogger voll mit

  • Ereignis-ID 36887 A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 40.mit QuelleSchannel

Es tritt ungefähr jede Stunde (+/- Zehntelsekunden) auf und wurde erstmals am 10.11.2022 um 13:00 Uhr protokolliert. Das letzte Windows-Update erfolgte am 09.11.2022.

Es erscheint unter Windows-Protokolle > System.

Ähnliche Fehler habe ich auch am 08.11.2022 festgestellt

  • Ereignis 36882 The certificate received from the remote server was issued by an untrusted certificate authority. Because of this, none of the data contained in the certificate can be validated. The SSL connection request has failed. The attached data contains the server certificate.mit QuelleSchannel

  • Ereignis 36888 A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 48. The Windows SChannel error state is 552.mit QuelleSchannel

Ein weiteres bekanntes Muster einige Sekunden vor jeder Ereignis-ID 36887wäre

  • Ereignis 7036 The WinHTTP Web Proxy Auto-Discovery Service service entered the running state.aus QuelleService Control Manager

Ich habe versucht, WinHTTP und alle abhängigen Dienste zu stoppen und zu starten, um zu sehen, ob ich den Fehler reproduzieren kann, aber ohne Erfolg. Ich habe auch Wireshark verwendet, um die Verbindungen während der Ausfallzeit zu überwachen. Die beste Übereinstimmung, die ich gefunden habe, war 20.121.85.115 (eine Microsoft-IP) mit schwerwiegender Warnung (Handshake-Fehler).

Ich glaube, dass ein stündlicher Windows-Dienst eine Microsoft-IP mit einem ungültigen SSL-Zertifikat aufruft. Ich kann einfach nicht sagen, was.

Irgendwelche Ideen, wie dieser Fehler behoben werden kann?

Antwort1

Sie können weitere Informationen zu nicht vertrauenswürdigen Zertifikaten erhalten, indem Sie das CAPI-Protokoll aktivieren. Das Protokoll ist standardmäßig deaktiviert und Sie können mit der rechten Maustaste darauf klicken, um das Protokoll zu aktivieren.

Anwendungen und Dienste/Microsoft/Windows/CAPI2/Operational

Normalerweise enthält es den Namen und den Fingerabdruck des Zertifikatsinhabers. Ein Beispiel finden Sie unten.

Möglicherweise wird ein von einer neueren Microsoft-Zertifizierungsstelle ausgestelltes Zertifikat verwendet, und auf Ihrem Host sind die aktualisierten Stamm- oder Zwischenzertifizierungsstellenzertifikate nicht installiert.

Windows versucht, neue oder aktualisierte Zertifikate automatisch herunterzuladen. Wenn dies deaktiviert ist (Automatische Aktualisierung von Stammzertifikaten deaktivieren) oder der Zugriff blockiert ist, kann es erforderlich sein, die Zertifikate herunterzuladen und für die automatische Aktualisierung auf einer Freigabe abzulegen.

Konfigurieren Sie vertrauenswürdige Stammzertifikate und nicht zulässige Zertifikate
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn265983(v=ws.11)

Mit Certutil können die Zertifikate zum Auffüllen einer Netzwerkfreigabe für die Verteilung per Gruppenrichtlinie heruntergeladen werden.

Certutil -syncWithWU \\Server1\CTL

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
    <EventID>30</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>30</Task>
    <Opcode>0</Opcode>
    <Keywords>0x4000000000000001</Keywords>
    <TimeCreated SystemTime="2022-11-18T14:15:15.4126330Z" />
    <EventRecordID>26</EventRecordID>
    <Correlation ActivityID="{bfcbf0f2-f4ee-0002-66f1-cbbfeef4d801}" />
    <Execution ProcessID="636" ThreadID="14532" />
    <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
    <Computer>XXX</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <UserData>
    <CertVerifyCertificateChainPolicy>
      <Policy type="CERT_CHAIN_POLICY_MICROSOFT_ROOT" constant="7" />
      <Certificate fileRef="AD81722A9E0E6394748343D025887D9285AE95D9.cer" subjectName="cxcs.microsoft.net" />
      <CertificateChain chainRef="{73D8FB26-4CD0-4E8D-BBCE-1095FA7EC749}" />
      <Flags value="0" />
      <Status chainIndex="0" elementIndex="2" />
      <EventAuxInfo ProcessName="lsass.exe" />
      <CorrelationAuxInfo TaskId="{D6FE4576-970E-4588-B77A-718E2027EFF0}" SeqNumber="1" />
      <Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
    </CertVerifyCertificateChainPolicy>
  </UserData>
</Event>

verwandte Informationen