Hi all,
I have an internal SMTP server (W2019) with a self signed certificate in place for TLS, good until July, 2020. Recently it was recommended that I remove a W2012 R2 server from the domain for better security (this runs my backup solution ‘Quest Rapid Recovery’). RR is configured to send me internal email should a job fail etc. (We use O365 exchange for our mail, no on premise Exchange server. I have the backup appliance configured to use IP address of the internal SMTP server, port 25 (will not work on port 587) but TLS is set to on. I have installed the self signed cert from the W2019 server on the W2012 R2 server but am still receiving errors in the event log:
Event ID 36887, A fatal alert was rceived from the remote endpoint. The TLS protocol defined fatal alert code is 46, which indicates a certificate problem.
Any thoughts as to why or what I can do to resolve this? Thank you!
- Remove From My Forums
-
Общие обсуждения
-
коллеги, добрый день !
ошибка
С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 46.
Получен запрос на подключение TLS 1.2 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой.
ЦС домен
корневой сертификат установлен на устройстве
куда копать, что не правильно сделано ?
сервис анализатор от мс проходит, ошибок нету.
заранее благодарю !
-
Изменено
10 января 2018 г. 10:37
-
Изменен тип
Vasilev VasilMicrosoft contingent staff
23 января 2018 г. 6:40
нет активности со стороны задающего
-
Изменено
Ошибки 36874, 36887, 36888 Schannel стали регулярно появляться на сервере Exchange 2013. За целый день накапливались десятки сообщений, но при этом работоспособность сервера нарушена не была.
Сокращение Schannel означает Secure Channel 1 — библиотека, криптографический провайдер (Security Support Provider — SSP), используемый для взаимодействия по протоколу http. По большому счету ошибки 36874, 36887, 36888 не сигнализируют о какой-то серьезной проблеме на сервере, а служат скорее для отладки взаимодействия с клиентами. Именно поэтому лишние оповещения от Schannel могут быть просто отключены.
Тем не менее, обилие одних и тех же ошибок Schannel осложняло диагностику на сервере и надо было от них избавляться.
Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики — Exchange 2013 — Установка, настройка, администрирование.
Традиционно в самом начале диагностические сведения об ошибках, чтобы вы могли их точно идентифицировать у себя. Schannel 36874:
|
Получен запрос на подключение TLS 1.2 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой. |
Schannel 36887:
|
С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 46. |
Schannel 36888:
|
Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 10. Состояние ошибки Windows SChannel: 1203. |
Для отключения индикации ошибок достаточно задать нужное значение параметра EventLogging в ветке реестра:
|
HKLMSystemCurrentControlSetControlSecurityProvidersSCHANNEL |
При этом он может принимать следующие значения:
| Значение | Описание |
|---|---|
| 0x0000 | Не записывать в журнал |
| 0x0001 | Журнал сообщений об ошибках |
| 0x0002 | Журнал предупреждений |
| 0x0004 | Журнал информационные и успешные события |
Вариант 0x0000 меня полностью устраивает.
Открыв нужную ветку реестра, я не увидел раздела SCHANNEL. Поиск по всему реестру по вхождению SCHANNEL выдал:
|
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSecurityProvidersSCHANNEL HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSecurityProvidersSCHANNEL |
Это не совсем то, о чем говорится в статье Microsoft 2, но можно попробовать задать нужные настройки и в этих ветках реестра. Кстати, это помогло.
Напоминаю, что все изменения в реестре вы выполняете на свой страх и риск, перед изменениями не забудьте сделать бэкап. Некорректные настройки могут привести к остановке работы сервера.
Может быть вам поможет дополнительная информация по кодам ошибок SSL 3.
comments powered by HyperComments
Обновлено 18.08.2016
Ошибка 36882 и ошибка 36888. Решение-0
Всем привет сегодня расскажу как я решил проблему с ошибкой 36882 и ошибкой 36888 в Windows Server 2012 R2. Данные ошибки у меня возникли после чистой установки Windows Server 2012 R2. Данные ошибки с полными тестами можно как обычно посмотреть в оснастке Просмотр событий.
Ошибка 36882
Сертификат, полученный от удаленного сервера, был выдан ненадежным центром сертификации. Из-за этого данные сертификата нельзя проверить. Запрос на SSL-подключение не удалось выполнить. В прилагаемых данных содержится сертификат сервера
Ошибка 36888
Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 48. Состояние ошибки Windows SChannel: 552.
Вот более наглядно как выглядят данные ошибки.
Ошибка 36882 и ошибка 36888. Решение-02
Ошибка 36882 и ошибка 36888. Решение-03
У меня данные ошибки возникают из за того что на моем сервере есть сертификат, и по какой то причине не установились корневые сертификаты. посмотреть это можно открыть пуск ввести mmc.
Ошибка 36882 и ошибка 36888. Решение-04
Добавляем оснастку
Ошибка 36882 и ошибка 36888. Решение-05
Выбираем оснастку сертификаты и перемещаем ее вправо, далее указываем для учетной записи компьютера
Ошибка 36882 и ошибка 36888. Решение-06
Готово
Ошибка 36882 и ошибка 36888. Решение-07
Далее в оснастке идем в Сертификаты-Личное-Сертификаты в поле кому выдан, видим ваш сертификат, нужно удостовериться что в сведениях о сертификате все ок и нет красноты
Ошибка 36882 и ошибка 36888. Решение-09
Если у вас данная ошибка в SQL server 2012 то вам нужно включить Enable Encrypted Connections to the Database Engine.
Вот так вот решается ошибка 36882 и ошибка 36888.
Материал сайта pyatilistnik.org
Авг 18, 2016 23:01
- Remove From My Forums
Schannel error, Event ID 36888? — IS there a way to Identify what causes Schannel to log error?
-
Question
Answers
-
The reference above isn’t specifically clear on what you will be changing. The value is EventLogging
HKLMSYSTEMCurrentControlSetControlSecurityProvidersSchannel
Value Name: EventLogging
Value Type: REG_DWORD
Value Data: 7The default is one, which makes Schannel a bit chatty to start with. If you can tie the event to a specific site you are connecting to, we would want to make sure that the certificate on that site was appropriate for the site.
The error 1203 indicates invalid ClientHello from the client — enabling more verbose logging may reveal which server it is responding this way and provide additional information. Reviewing other cases indicated multiple certificates for Server authentication
on the web server generating this response on the client.-
Proposed as answer by
Wednesday, June 23, 2010 9:27 PM
-
Marked as answer by
Patfi_msft
Thursday, August 5, 2010 3:40 PM
-
Proposed as answer by
null
При неудачном подключении к LDAPs определить причину проблемы со стороны клиента крайне затруднительно по причине «информативности» вывода:
ld = ldap_sslinit("DC.domain", 636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 81 = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to DC.domain.
Имея доступ к журналу событий System (Event viewer) на контроллере домена можно определить причину (коих может быть великое множество).
В данной заметке раскажу про часто встречающуюся проблему после конфигурации LDAPS, а именно ошибку аутентификации в Secure Channel (Schannel)
Log Name: System Source: Schannel Date: 21.01.2016 12:28:12 Event ID: 36874 Task Category: None Level: Error Keywords: User: SYSTEM Computer: DC.domain Description: An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
Проблема заключается в том, что по умолчанию TLS 1.2 отключен на стороне сервера.
Конкретно в Вашем случае отключено может быть что угодно (SSL…,TLS….).
Соединение не удается и следом за Event ID: 36874 следует:
Log Name: System Source: Schannel Date: 21.01.2016 12:28:12 Event ID: 36888 Task Category: None Level: Error Keywords: User: SYSTEM Computer: DC.domain Description: A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 40. The Windows SChannel error state is 1205.
Решение
Решением является включение TLS 1.2.
Оперативно это можно выполнить через правку реестра путем создания ключа TLS 1.2ClientDisabledByDefault в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientDisabledByDefault
Значение ключа DisabledByDefault должно быть выключено (1). 
В случае проблем не с TLS 1.2 действия аналогичны. Более подробно параметры реестра для SCHANNEL можно посмотреть здесь.
Ошибки 36874, 36887, 36888 Schannel стали регулярно появляться на сервере Exchange 2013. За целый день накапливались десятки сообщений, но при этом работоспособность сервера нарушена не была .
Сокращение Schannel означает Secure Channel 1 — библиотека, криптографический провайдер (Security Support Provider — SSP), используемый для взаимодействия по протоколу http. По большому счету ошибки 36874, 36887, 36888 не сигнализируют о какой-то серьезной проблеме на сервере, а служат скорее для отладки взаимодействия с клиентами. Именно поэтому лишние оповещения от Schannel могут быть просто отключены.
Тем не менее, обилие одних и тех же ошибок Schannel осложняло диагностику на сервере и надо было от них избавляться.
Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики — Exchange 2013 — Установка, настройка, администрирование.
Устранение ошибок Schannel 36874, 36887, 36888
Традиционно в самом начале диагностические сведения об ошибках, чтобы вы могли их точно идентифицировать у себя. Schannel 36874:
Здравствуйте, подскажите что это за ошибка и как ее исправить (случилась на облаке
)?
6 комментариев
Это значит, что одновременно выполняется много SQL-запросов к одной базе данных. В нормальных условиях запросы выполняются очень быстро (доли секунды) и накладываются друг на друга крайне редко. Такое одновременное наложение друг на друга большого количества запросов по времени может происходить в следующих ситуациях:
- У вас ОЧЕНЬ высокая посещаемость сайта, и при открытии страниц SQL-запросы выполняются ОЧЕНЬ часто.
- При открытии страниц выполняются медленные SQL-запросы. Если даже небольшое количество пользователей более-менее одновременно откроют страницу (или выполнят другое действие на сайте — например, запустят поиск), которые используют такие медленные запросы, то они легко наложатся друг на друга. Медленные запросы обычно свидетельствуют о неоптимально написанном программном коде приложения или плагина, которые используются на страницах сайта. Если есть информация, на каких страницах у вас чаще всего возникает такая ошибка и какие действия пользователи выполняют перед возникновением ошибки, то это может помочь выяснить, используется ли какой-то плагин на таких страницах. Такую информацию можно попробовать получить из логов веб-сервера и сервисов наподобие «Гугл-аналитики» и «Яндекс.Метрики».
Медленные SQL-запросы могут выполняться и без установки плагинов. Например, если у вас ОЧЕНЬ большой каталог товаров и настроены фильтры в категориях, то одновременное применение фильтров большим количеством пользователей может привести к тому, что сразу будет выполнено большое количество медленных SQL-запросов, которые требует больше времени, чем обычно, чтобы получить информацию из базы данных. Такая ситуация может возникнуть, например, если вы рекламируете ссылки на заранее подготовленные результаты фильтрации товаров в категориях по каким-то параметрам (характеристикам), и по этим ссылкам из ваших рекламных объявлений более-менее одновременно переходит сразу большое количество посетителей.
Другая ситуация, когда это бывает возможно: если у вас в теме дизайна используются нестандартные размеры изображений товаров и включено формирование эскизов изображений «на лету». При одновременном первом открытии разных страниц витрины формируется большое количество новых нестандартных эскизов. Для получения информации о каждом эскизе PHP-скрипт обращается к базе данных. Если на странице, скажем, 30 новых изображений, которые нужно сформировать «на лету», и таких страниц много, и все они открываются большим количеством посетителей в сравнительно сжатый период времени (что довольно маловероятно, но теоретически возможно), то начинают выполняться сразу много SQL-запросов с той же самой ошибкой «слишком много подключений».
Как от этого избавиться: увеличить значение параметра max_user_connections в конфигурации MySQL на хостинге. В облаке персонально для вас вряд ли этот параметр будет увеличен, если только эта проблема не будет признана массовой. Поэтому сначала понаблюдайте, насколько часто и на каких страницах возникает ошибка. На основании этой информации можно будет решать, какие меры стоит предпринимать.
Как с помощью Яндекс.Метрики вычислить кривой плагин, который дает ошибку 1203?
Я искал в Интернете, но не могу найти никакой информации; почему эта ошибка возникает?
Он запустил мой просмотр событий: с интервалом в 1 минуту эта ошибка продолжает появляться. (т. е. частота составляет 1 минуту)
Этот сервер является чисто контроллером домена, и никакая другая роль не была добавлена.
Пожалуйста, предложите, что мне делать?
Серверная ОС — Windows Server 2008 R2 Standard Edition.
4 ответа
Я понимаю, что вы не используете IIS, но, похоже, другие процессы также могут вызвать это сообщение об ошибке.
Это может помочь:
Один из ваших сертификатов, скорее всего, истек. Либо разверните ADCS и создайте новый первичный корневой сертификат, либо просто удалите истекшие сертификаты и создайте новые. Надеюсь это поможет.
Отправляйтесь через этот пост, исследуя 36888 и 36874 события из SChannel на одном из наших серверов Windows 2008 R2. Я решил перекопать в KB2992611 , упомянутый в другом ответе.
36888 — это неудачный запрос SSL-запроса на TLS 1.2 — ни один из наборов шифров, поддерживаемых клиентским приложением, не поддерживается сервером.
36874 текст ошибки: появилось следующее фатальное предупреждение: 40. Внутреннее состояние ошибки — 1205.
Нижняя строка: OP предшествовал KB2992611 на 2+ года. Я не думаю, что это связано с проблемой ОП. Я не думаю, что это связано с событиями, которые я сейчас вижу.
Детали:
KB2992611 (ссылка на бюллетень по безопасности Microsoft MS14-066 ) была патч для исправления уязвимости в SChannel. Патч вызвал множество проблем и был повторно выпущен вместе со вторым обновлением 3018238 для Windows 2008 R2 и Windows Server 2012.
На нашем сервере KB2992611 был установлен еще в 2014 году, как и в последующем повторном выпуске.
В КБ2992611 добавлено 4 комплекта шифрования к 2008R2 и 2012:
[. ] Некоторые клиенты сообщили о проблеме, связанной с добавлением следующих новых наборов шифров для Windows Server 2008 R2 и Windows Server 2012: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 [. ]
На данный момент у нас нет разрешенных наборов шифрования TLS_DHE, но два упомянутых набора TLS_RSA включены.
Хотя эти ошибки происходят полурегулярно (не заливаясь), они не кажутся серьезными. Я больше не собираюсь тратить время на беспокойство о них. Мое объяснение заключается в том, что кто-то пытается получить доступ к серверному ресурсу, используя слабый, отключенный набор шифров, возможно, TLS_DHE_XXX.
Ничего подобного с устаревшими сертификатами lol, вызванными патчем под названием KB2992611, вы должны отключить несколько наборов шифров. очень легко сделать в 2012 году, но не в 2008 году.
Но да, ничего общего с истекшими сертификатами LOL
A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 10. The Windows SChannel error state is 1203.
Microsoft answers.
· What is the Operating System installed on your computer?
· Have you made any recent changes on the computer?
Note: SChannel means secure channel.
sChannel uses TLS for security encryption. As long as the sites you visit do not use TLS.
Follow the steps below:
1. Open Internet Explorer.
2. Click Tools.
3. Click Internet Options.
4. Click Advanced tab.
5. Scroll down the list under Security, uncheck all the Use TLS options.
6. Click OK.
Now restart the computer and check if the issue still occurs.
If the issue still persists, then I suggest that you optimize the internet explorer settings on the computer.
Follow the steps in the link below:
How to optimize Internet Explorer: http://support.microsoft.com/kb/936213
If the above steps do not help you, then you may try resetting the internet explorer settings on the computer, you may download the Microsoft fix-it from the above link which automatically resets the browser settings to default settings on the computer.
For the Bluescreen issue, we require the exact error code or error message to troubleshoot further with this issue. To get the exact error code or error message you may have to disable the automatic Feature.
Follow these easy steps to disable the automatic restart feature for system failures.
1. Click Start.
2. Type System in Start Search.
3. Click on System under Control Panel.
4. In the task pane on the left, click the Advanced system settings link.
5. Locate the Startup and Recovery area and click on the Settings button.
6. In the Startup and Recovery window, locate and uncheck the check box next to Automatically restart.
7. Click OK in the Startup and Recovery window.
8. Click OK in the System Properties window.
9. You can now close the System window.
10. From now on, when a problem causes a BSOD or another major error that halts the system, the PC will not automatically reboot. Rebooting manually will be necessary.
Now when the blue screen occurs make a note of the error code or error message provide us the same.
If you are using Vista Operating System, you may refer the link below:
Microsoft Security Bulletin MS09-007 — Important
Vulnerability in SChannel Could Allow Spoofing (960225): http://www.microsoft.com/technet/security/Bulletin/ms09-007.mspx
- Remove From My Forums
Schannel error, Event ID 36888? — IS there a way to Identify what causes Schannel to log error?
-
Question
Answers
-
The reference above isn’t specifically clear on what you will be changing. The value is EventLogging
HKLMSYSTEMCurrentControlSetControlSecurityProvidersSchannel
Value Name: EventLogging
Value Type: REG_DWORD
Value Data: 7The default is one, which makes Schannel a bit chatty to start with. If you can tie the event to a specific site you are connecting to, we would want to make sure that the certificate on that site was appropriate for the site.
The error 1203 indicates invalid ClientHello from the client — enabling more verbose logging may reveal which server it is responding this way and provide additional information. Reviewing other cases indicated multiple certificates for Server authentication
on the web server generating this response on the client.-
Proposed as answer by
Wednesday, June 23, 2010 9:27 PM
-
Marked as answer by
Patfi_msft
Thursday, August 5, 2010 3:40 PM
-
Proposed as answer by
Ошибки 36874, 36887, 36888 Schannel стали регулярно появляться на сервере Exchange 2013. За целый день накапливались десятки сообщений, но при этом работоспособность сервера нарушена не была.
Сокращение Schannel означает Secure Channel 1 – библиотека, криптографический провайдер (Security Support Provider – SSP), используемый для взаимодействия по протоколу http. По большому счету ошибки 36874, 36887, 36888 не сигнализируют о какой-то серьезной проблеме на сервере, а служат скорее для отладки взаимодействия с клиентами. Именно поэтому лишние оповещения от Schannel могут быть просто отключены.
Тем не менее, обилие одних и тех же ошибок Schannel осложняло диагностику на сервере и надо было от них избавляться.
Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики – Exchange 2013 — Установка, настройка, администрирование.
Традиционно в самом начале диагностические сведения об ошибках, чтобы вы могли их точно идентифицировать у себя. Schannel 36874:
|
Получен запрос на подключение TLS 1.2 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой. |
Schannel 36887:
|
С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 46. |
Schannel 36888:
|
Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 10. Состояние ошибки Windows SChannel: 1203. |
Для отключения индикации ошибок достаточно задать нужное значение параметра EventLogging в ветке реестра:
|
HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL |
При этом он может принимать следующие значения:
| Значение | Описание |
|---|---|
| 0x0000 | Не записывать в журнал |
| 0x0001 | Журнал сообщений об ошибках |
| 0x0002 | Журнал предупреждений |
| 0x0004 | Журнал информационные и успешные события |
Вариант 0x0000 меня полностью устраивает.
Открыв нужную ветку реестра, я не увидел раздела SCHANNEL. Поиск по всему реестру по вхождению SCHANNEL выдал:
|
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SecurityProviders\SCHANNEL |
Это не совсем то, о чем говорится в статье Microsoft 2, но можно попробовать задать нужные настройки и в этих ветках реестра. Кстати, это помогло.
Напоминаю, что все изменения в реестре вы выполняете на свой страх и риск, перед изменениями не забудьте сделать бэкап. Некорректные настройки могут привести к остановке работы сервера.
Может быть вам поможет дополнительная информация по кодам ошибок SSL 3.
I have configured Jira for ldap over 636, and imported our ca certs into the keystore. While everything appears to work from Jira’s side of things, from the AD side we are seeing this error:
Schannel 36887 - A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 46
More on this error code:
https://blogs.msdn.microsoft.com/kaushal/2012/10/05/ssltls-alert-protocol-the-alert-codes/
This seems to work fine with confluence (same certs). I cannot, for the life of me, figure out what to do with this one. I have re-imported certs (multiple ways), converted from JKS to PKCS12 (and back again), and everything else I can think of.
I could sure use some pointers.
Encrypted LAN trace shows Jira request some info, AD hands it back with a cert, and we reject it as unknown or mangled. Connection is then reset. Again, everything appears to be working fine symptomatically, but it is bugging our AD admin to no end.
1 answer
Suggest an answer
Still have a question?
Get fast answers from people who know.