Alerta de ventanas fatales cada hora

tag-icon tag-icon windows ssl windows-server-2012-r2 windows-event-log eventviewer
Alerta de ventanas fatales cada hora

En uno de mis servidores Windows 2012 R2 (que se va a actualizar), mi registrador de eventos se llenó con

  • ID de evento 36887 A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 40.con fuenteSchannel

Ocurre aproximadamente cada hora (+/- decenas de segundos) y se registró por primera vez el 10/11/2022 a la 1 p.m. La última actualización de Windows se produjo el 9/11/2022.

Aparece en Registros de Windows > Sistema.

También noté errores similares el 8/11/2022

  • Evento 36882 The certificate received from the remote server was issued by an untrusted certificate authority. Because of this, none of the data contained in the certificate can be validated. The SSL connection request has failed. The attached data contains the server certificate.con fuenteSchannel

  • Evento 36888 A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 48. The Windows SChannel error state is 552.con fuenteSchannel

Otro patrón observado unos segundos antes de cada ID de evento 36887sería

  • Evento 7036 The WinHTTP Web Proxy Auto-Discovery Service service entered the running state.de origenService Control Manager

Intenté detener e iniciar WinHTTP y cualquier servicio dependiente para ver si puedo reproducir el error, pero fue en vano. También utilicé Wireshark para monitorear las conexiones durante el tiempo de falla. La coincidencia más cercana que encontré fue 20.121.85.115 (una IP de Microsoft) con alerta fatal (fallo en el protocolo de enlace).

Creo que algún servicio de Windows cada hora está llamando a alguna IP de Microsoft con un certificado SSL no válido. Simplemente no puedo decir qué.

¿Alguna idea de cómo resolver este error?

Respuesta1

Puede obtener más información sobre certificados que no son de confianza habilitando el registro CAPI. El registro está deshabilitado de forma predeterminada y puede hacer clic derecho sobre él para habilitarlo.

Aplicaciones y Servicios/Microsoft/Windows/CAPI2/Operacional

Por lo general, tendrá el nombre del sujeto del certificado y la huella digital. A continuación se muestra una muestra.

Es posible que se utilice un certificado emitido por una CA de Microsoft más nueva y que su host no tenga instalados los certificados de CA raíz o intermedios actualizados.

Windows intenta descargar certificados nuevos o actualizados automáticamente. Si esto está deshabilitado (Desactivar la actualización automática de certificados raíz) o el acceso está bloqueado, puede ser necesario descargar los certificados y compartirlos para su actualización automática.

Configurar raíces confiables y certificados no permitidos
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn265983(v=ws.11)

Certutil se puede utilizar para descargar los certificados para completar un recurso compartido de red para su distribución mediante Política de grupo.

Certutil -syncWithWU \\Server1\CTL

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
    <EventID>30</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>30</Task>
    <Opcode>0</Opcode>
    <Keywords>0x4000000000000001</Keywords>
    <TimeCreated SystemTime="2022-11-18T14:15:15.4126330Z" />
    <EventRecordID>26</EventRecordID>
    <Correlation ActivityID="{bfcbf0f2-f4ee-0002-66f1-cbbfeef4d801}" />
    <Execution ProcessID="636" ThreadID="14532" />
    <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
    <Computer>XXX</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <UserData>
    <CertVerifyCertificateChainPolicy>
      <Policy type="CERT_CHAIN_POLICY_MICROSOFT_ROOT" constant="7" />
      <Certificate fileRef="AD81722A9E0E6394748343D025887D9285AE95D9.cer" subjectName="cxcs.microsoft.net" />
      <CertificateChain chainRef="{73D8FB26-4CD0-4E8D-BBCE-1095FA7EC749}" />
      <Flags value="0" />
      <Status chainIndex="0" elementIndex="2" />
      <EventAuxInfo ProcessName="lsass.exe" />
      <CorrelationAuxInfo TaskId="{D6FE4576-970E-4588-B77A-718E2027EFF0}" SeqNumber="1" />
      <Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
    </CertVerifyCertificateChainPolicy>
  </UserData>
</Event>

información relacionada