Почасовое оповещение о фатальных окнах

tag-icon tag-icon windows ssl windows-server-2012-r2 windows-event-log eventviewer
Почасовое оповещение о фатальных окнах

На одном из моих серверов Windows Server 2012 R2 (собираюсь обновиться) мой журнал событий заполнен

  • Идентификатор события 36887 A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 40.с источникомSchannel

Это происходит примерно каждый час (+/- десятки секунд) и впервые было зарегистрировано 11/10/2022 в 13:00. Последнее обновление Windows произошло 11/9/2022.

Он появляется в разделе «Журналы Windows» > «Система».

Я также заметил похожие ошибки 08.11.2022

  • Событие 36882 The certificate received from the remote server was issued by an untrusted certificate authority. Because of this, none of the data contained in the certificate can be validated. The SSL connection request has failed. The attached data contains the server certificate.с источникомSchannel

  • Событие 36888 A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 48. The Windows SChannel error state is 552.с источникомSchannel

Другая отмеченная закономерность за несколько секунд до каждого идентификатора события 36887будет

  • Событие 7036 The WinHTTP Web Proxy Auto-Discovery Service service entered the running state.из источникаService Control Manager

Я пробовал останавливать и запускать WinHTTP и все зависимые службы, чтобы посмотреть, смогу ли я воспроизвести ошибку, но безуспешно. Я также использовал Wireshark для мониторинга подключений во время сбоя. Ближайшее совпадение, которое я нашел, было 20.121.85.115 (IP-адрес Microsoft) с фатальным предупреждением (сбой рукопожатия).

Я думаю, что какая-то почасовая служба Windows вызывает какой-то Microsoft IP с недействительным сертификатом SSL. Я просто не могу сказать, что именно.

Есть идеи, как устранить эту ошибку?

решение1

Вы можете получить больше информации о ненадежных сертификатах, включив журнал CAPI. Журнал отключен по умолчанию, и вы можете щелкнуть по нему правой кнопкой мыши, чтобы включить журнал.

Приложения и службы/Microsoft/Windows/CAPI2/Операционные

Обычно там будет имя субъекта сертификата и отпечаток пальца. Пример ниже.

Возможно, используется сертификат, выпущенный более новым центром сертификации Microsoft, а на вашем хосте не установлены обновленные сертификаты корневого или промежуточного центра сертификации.

Windows пытается автоматически загрузить новые или обновленные сертификаты. Если это отключено (Отключить автоматическое обновление корневых сертификатов) или доступ заблокирован, может потребоваться загрузить сертификаты и разместить их в общем доступе для автоматического обновления.

Настройка доверенных корневых сертификатов и запрещенных сертификатов
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn265983(v=ws.11)

Certutil можно использовать для загрузки сертификатов для заполнения сетевого ресурса с целью его распространения с помощью групповой политики.

Certutil -syncWithWU \\Server1\CTL

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
    <EventID>30</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>30</Task>
    <Opcode>0</Opcode>
    <Keywords>0x4000000000000001</Keywords>
    <TimeCreated SystemTime="2022-11-18T14:15:15.4126330Z" />
    <EventRecordID>26</EventRecordID>
    <Correlation ActivityID="{bfcbf0f2-f4ee-0002-66f1-cbbfeef4d801}" />
    <Execution ProcessID="636" ThreadID="14532" />
    <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
    <Computer>XXX</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <UserData>
    <CertVerifyCertificateChainPolicy>
      <Policy type="CERT_CHAIN_POLICY_MICROSOFT_ROOT" constant="7" />
      <Certificate fileRef="AD81722A9E0E6394748343D025887D9285AE95D9.cer" subjectName="cxcs.microsoft.net" />
      <CertificateChain chainRef="{73D8FB26-4CD0-4E8D-BBCE-1095FA7EC749}" />
      <Flags value="0" />
      <Status chainIndex="0" elementIndex="2" />
      <EventAuxInfo ProcessName="lsass.exe" />
      <CorrelationAuxInfo TaskId="{D6FE4576-970E-4588-B77A-718E2027EFF0}" SeqNumber="1" />
      <Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
    </CertVerifyCertificateChainPolicy>
  </UserData>
</Event>

Связанный контент