Em um dos meus servidores Windows 2012 R2 (em atualização), meu registrador de eventos foi preenchido com
- ID do evento
36887
A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 40.
com origemSchannel
Ocorre aproximadamente a cada hora (+/- dezenas de segundos) e registrado pela primeira vez em 10/11/2022 às 13h. A última atualização do Windows ocorreu em 09/11/2022.
Está aparecendo em Logs do Windows > Sistema.
Também notei erros semelhantes em 08/11/2022
Evento
36882
The certificate received from the remote server was issued by an untrusted certificate authority. Because of this, none of the data contained in the certificate can be validated. The SSL connection request has failed. The attached data contains the server certificate.
com FonteSchannel
Evento
36888
A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 48. The Windows SChannel error state is 552.
com FonteSchannel
Outro padrão observado alguns segundos antes de cada ID de evento 36887
seria
- Evento
7036
The WinHTTP Web Proxy Auto-Discovery Service service entered the running state.
da origemService Control Manager
Tentei parar e iniciar o WinHTTP e quaisquer serviços dependentes para ver se consigo reproduzir o erro, mas sem sucesso. Também usei o Wireshark para monitorar conexões durante o tempo de falha. A correspondência mais próxima que encontrei foi 20.121.85.115 (um IP da Microsoft) com alerta fatal (falha no handshake).
Acredito que algum serviço do Windows por hora esteja chamando algum IP da Microsoft com um certificado SSL inválido. Eu simplesmente não consigo dizer o quê.
Alguma idéia de como resolver esse erro?
Responder1
Você pode obter mais informações sobre certificados não confiáveis habilitando o log CAPI. O log está desabilitado por padrão e você pode clicar com o botão direito nele para habilitá-lo.
Aplicativos e Serviços/Microsoft/Windows/CAPI2/Operacional
Geralmente terá o nome do titular do certificado e a impressão digital. Uma amostra está abaixo.
Pode ser possível que um certificado emitido por uma CA da Microsoft mais recente seja usado e seu host não tenha os certificados de CA raiz ou intermediário atualizados instalados.
O Windows tenta baixar certificados novos ou atualizados automaticamente. Se isso estiver desativado (Desativar atualização automática de certificados raiz) ou o acesso estiver bloqueado, pode ser necessário baixar os certificados e colocá-los em um compartilhamento para atualização automática.
Configurar raízes confiáveis e certificados não permitidos
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn265983(v=ws.11)
Certutil pode ser usado para baixar os certificados para preencher um compartilhamento de rede para distribuição por Política de Grupo.
Certutil -syncWithWU \\Server1\CTL
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
<EventID>30</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>30</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000001</Keywords>
<TimeCreated SystemTime="2022-11-18T14:15:15.4126330Z" />
<EventRecordID>26</EventRecordID>
<Correlation ActivityID="{bfcbf0f2-f4ee-0002-66f1-cbbfeef4d801}" />
<Execution ProcessID="636" ThreadID="14532" />
<Channel>Microsoft-Windows-CAPI2/Operational</Channel>
<Computer>XXX</Computer>
<Security UserID="S-1-5-18" />
</System>
<UserData>
<CertVerifyCertificateChainPolicy>
<Policy type="CERT_CHAIN_POLICY_MICROSOFT_ROOT" constant="7" />
<Certificate fileRef="AD81722A9E0E6394748343D025887D9285AE95D9.cer" subjectName="cxcs.microsoft.net" />
<CertificateChain chainRef="{73D8FB26-4CD0-4E8D-BBCE-1095FA7EC749}" />
<Flags value="0" />
<Status chainIndex="0" elementIndex="2" />
<EventAuxInfo ProcessName="lsass.exe" />
<CorrelationAuxInfo TaskId="{D6FE4576-970E-4588-B77A-718E2027EFF0}" SeqNumber="1" />
<Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
</CertVerifyCertificateChainPolicy>
</UserData>
</Event>