2018. 7. 3. 11:40

원격 끝점에서 경고를 받았습니다. 경고 코드에 정의된 tls 프로토콜은 40입니다

# 이벤트 로그 원본.


로그 이름:         System

원본:            Schannel

날짜:            2018-07-03 오전 11:28:54

이벤트 ID:        36887

작업 범주:         없음

수준:            오류

키워드:           

사용자:           SYSTEM

컴퓨터:           xxxxxxxxxxx

설명:

원격 끝점에서 경고를 받았습니다. 경고 코드에 정의된 TLS 프로토콜은 46입니다.

이벤트 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

  <System>

    <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />

    <EventID>36887</EventID>

    <Version>0</Version>

    <Level>2</Level>

    <Task>0</Task>

    <Opcode>0</Opcode>

    <Keywords>0x8000000000000000</Keywords>

    <TimeCreated SystemTime="2018-07-03T02:28:54.179499200Z" />

    <EventRecordID>176141</EventRecordID>

    <Correlation />

    <Execution ProcessID="588" ThreadID="6008" />

    <Channel>System</Channel>

    <Computer>2dea-107</Computer>

    <Security UserID="S-1-5-18" />

  </System>

  <EventData>

    <Data Name="AlertDesc">46</Data>

  </EventData>

</Event>






# 상세내역.

답변

  • 안녕하세요?

    하기 내용도 참고해 보시기 바랍니다.

    단계1. Schannel 36887 발생되는 일반적인 원인

    : Schannel 36887 이벤트가 발생 되는 경우는 다음과 같습니다.

    1. server certificate      trusted root CA certificate client 에 존재하지      않거나 expired 되었을 경우
    2. network      issue 로 인해서 올바른      format server certificate server 에서 client 로 제대로 전달되지 못했을      때
    3. firewall      단에서 HTTPS      inspection 을 할 경우

    ex) Event id: 36887 은 속성정보에 표시되는 상태 코드가 42일 경우

    The following fatal alert was received: 42.

     

    42 Bad certificate의미로 client 가 서버로부터 certificate 을 받았는데 그것이 bad certificate 이어서 client 가 서버로에게 이를 알린 것 입니다.

    Client 가 그 당시 서버가  보낸 server certificate 을 어떤 이유에 의해서  인식하지 못했을 가능성이 있습니다

    [참고 절]

    TLS1_ALERT_CLOSE_NOTIFY (0)

    TLS1_ALERT_UNEXPECTED_MESSAGE (10)

    TLS1_ALERT_BAD_RECORD_MAC (20)

    TLS1_ALERT_DECRYPTION_FAILED (21)

    TLS1_ALERT_RECORD_OVERFLOW (22)

    TLS1_ALERT_DECOMPRESSION_FAIL (30)

    TLS1_ALERT_HANDSHAKE_FAILURE (40)

    TLS1_ALERT_BAD_CERTIFICATE (42)

    TLS1_ALERT_UNSUPPORTED_CERT (43)

    TLS1_ALERT_CERTIFICATE_REVOKED (44)

    TLS1_ALERT_CERTIFICATE_EXPIRED (45)

    TLS1_ALERT_CERTIFICATE_UNKNOWN (46)

    TLS1_ALERT_ILLEGAL_PARAMETER (47)

    TLS1_ALERT_UNKNOWN_CA (48)

    TLS1_ALERT_ACCESS_DENIED (49)

    TLS1_ALERT_DECODE_ERROR (50)

    TLS1_ALERT_DECRYPT_ERROR (51)

    TLS1_ALERT_EXPORT_RESTRICTION (60)

    TLS1_ALERT_PROTOCOL_VERSION (70)

    TLS1_ALERT_INSUFFIENT_SECURITY (71)

    TLS1_ALERT_INTERNAL_ERROR (80)

    TLS1_ALERT_USER_CANCELED (90)

    TLS1_ALERT_NO_RENEGOTIATION (100)

    TLS1_ALERT_UNSUPPORTED_EXT (110)

    [참고자료]

    SCHANNEL_ALERT_TOKEN structure

    https://msdn.microsoft.com/en-us/library/windows/desktop/ff476074(v=vs.85).aspx

    SSL/TLS Alert Protocol & the Alert Codes

    https://blogs.msdn.microsoft.com/kaushal/2012/10/05/ssltls-alert-protocol-the-alert-codes/

    단계2. 출처(Client) 확인 하는 방법

    : 해당 이벤트가 발생하는 서버에 Network Monitor 설치 및 Packet을 수집하여 이벤트 발생 시점에서 TCP 443등으로 접근을 시도하는 클라이언트 IP를 확인할 수 있습니다.

    Microsoft Network Monitor 3.4 (archive)

    http://www.microsoft.com/downloads/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en

    단계3. Schannel 이벤트 로깅 활성화 및 비활성화 방법.

    : Schannel 36888 이벤트는 경고성 메시지로서 서비스에 문제가 있어서 발생 되는 메시지는 아니며, 필요 시 다음 방법으로 이벤트 로깅을 중지할 수 있습니다.

    How to enable Schannel event logging in IIS

    http://support.microsoft.com/kb/260729/en-us

    단계4. Exchange 2010에서 Event ID 4999 발생시 Known issue.

    Event ID 4999 is logged on an Exchange Server 2010 Client Access server (CAS)

    http://support.microsoft.com/kb/2665115/en-us

    Event ID 4999 when the Exchange Mailbox Assistants service crashes in Exchange 2010

    http://support.microsoft.com/kb/2619237

    감사합니다.

    2018년 1월 5일 금요일 오전 7:54

모든 응답

  • 안녕하세요,

    Event ID 36887 경고 코드 40은 아래와 같은 오류 내용을 알립니다.

    "Indicates that the sender was unable to negotiate an acceptable set of security parameters given the options available. This is a fatal error."

    오류에 대한 더 자세한 내용은 아래 링크에서 확인하실 수 있습니다.

    ■ SSL/TLS Alert Protocol & the Alert Codes
    https://blogs.msdn.microsoft.com/kaushal/2012/10/05/ssltls-alert-protocol-the-alert-codes/

    다음 해결 방법을 진행해보신 후 문제가 지속되는지 확인해주시기 바랍니다.

    1. Uninstall KB3161606
    or
    2. Edit the server registry in question to allow a minimum key length required by your application.

    To edit this registry entry, follow these steps:
    1)Click Start, click Run, type regedit in the Open box, and then click OK.
    2) Locate and then click the following subkey in the registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\

    3) On the edit Menu, point to new and click Key, name the new Key "Diffie-Hellman"
    4) Navigate the the new Key created.
    5) On the Edit menu, point to New, and then click DWORD Value.
    6) Type ClientMinKeyBitLength for the name of the DWORD, and then press Enter.
    7) Right-click ClientMinKeyBitLength, and then click Modify.
    8) In the Value data box, type 00000200 (keep this in hexidecimal format), and then click OK.
    **Note 00000200 is the hex format for 512 - this should be changed to what your 2FA application needs***

    once you make this change, you will possibly need to restart the service running for your 2FA application, or just reboot the server.

    [추가 참고 링크] Schannel Fatal Alert 40! What is going on?!
    https://community.spiceworks.com/topic/401868-schannel-fatal-alert-40-what-is-going-on




원본 링크 : https://social.technet.microsoft.com/Forums/ko-KR/34fe90d4-6e8e-4456-b1a4-a72bc11f6346/5089644201-45149512165064049436-442214425647484?forum=winserver2012ko