하기 내용도 참고해 보시기 바랍니다.
단계1. Schannel 36887 발생되는 일반적인 원인
: Schannel 36887 이벤트가 발생 되는 경우는 다음과 같습니다.
- server certificate 의 trusted root CA certificate 이 client 에 존재하지 않거나 expired 되었을 경우
- network issue 로 인해서 올바른 format 의 server certificate 이 server 에서 client 로 제대로 전달되지 못했을 때
- firewall 단에서 HTTPS inspection 을 할 경우
ex) Event id: 36887 은 속성정보에 표시되는 상태 코드가 42일 경우
The following fatal alert was received: 42.
42는 Bad certificate의미로 client 가 서버로부터 certificate 을 받았는데 그것이 bad certificate 이어서 client 가 서버로에게 이를 알린 것 입니다.
Client 가 그 당시 서버가 보낸 server certificate 을 어떤 이유에 의해서 인식하지 못했을 가능성이 있습니다
[참고 절]
TLS1_ALERT_CLOSE_NOTIFY (0)
TLS1_ALERT_UNEXPECTED_MESSAGE (10)
TLS1_ALERT_BAD_RECORD_MAC (20)
TLS1_ALERT_DECRYPTION_FAILED (21)
TLS1_ALERT_RECORD_OVERFLOW (22)
TLS1_ALERT_DECOMPRESSION_FAIL (30)
TLS1_ALERT_HANDSHAKE_FAILURE (40)
TLS1_ALERT_BAD_CERTIFICATE (42)
TLS1_ALERT_UNSUPPORTED_CERT (43)
TLS1_ALERT_CERTIFICATE_REVOKED (44)
TLS1_ALERT_CERTIFICATE_EXPIRED (45)
TLS1_ALERT_CERTIFICATE_UNKNOWN (46)
TLS1_ALERT_ILLEGAL_PARAMETER (47)
TLS1_ALERT_UNKNOWN_CA (48)
TLS1_ALERT_ACCESS_DENIED (49)
TLS1_ALERT_DECODE_ERROR (50)
TLS1_ALERT_DECRYPT_ERROR (51)
TLS1_ALERT_EXPORT_RESTRICTION (60)
TLS1_ALERT_PROTOCOL_VERSION (70)
TLS1_ALERT_INSUFFIENT_SECURITY (71)
TLS1_ALERT_INTERNAL_ERROR (80)
TLS1_ALERT_USER_CANCELED (90)
TLS1_ALERT_NO_RENEGOTIATION (100)
TLS1_ALERT_UNSUPPORTED_EXT (110)
[참고자료]
SCHANNEL_ALERT_TOKEN structure
https://msdn.microsoft.com/en-us/library/windows/desktop/ff476074(v=vs.85).aspx
SSL/TLS Alert Protocol & the Alert Codes
https://blogs.msdn.microsoft.com/kaushal/2012/10/05/ssltls-alert-protocol-the-alert-codes/
단계2. 출처(Client) 확인 하는 방법
: 해당 이벤트가 발생하는 서버에 Network Monitor 설치 및 Packet을 수집하여 이벤트 발생 시점에서 TCP 443등으로 접근을 시도하는 클라이언트 IP를 확인할 수 있습니다.
Microsoft Network Monitor 3.4 (archive)
http://www.microsoft.com/downloads/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en
단계3. Schannel 이벤트 로깅 활성화 및 비활성화 방법.
: Schannel 36888 이벤트는 경고성 메시지로서 서비스에 문제가 있어서 발생 되는 메시지는 아니며, 필요 시 다음 방법으로 이벤트 로깅을 중지할 수 있습니다.
How to enable Schannel event logging in IIS
http://support.microsoft.com/kb/260729/en-us
단계4. Exchange 2010에서 Event ID 4999 발생시 Known issue.
Event ID 4999 is logged on an Exchange Server 2010 Client Access server (CAS)
http://support.microsoft.com/kb/2665115/en-us
Event ID 4999 when the Exchange Mailbox Assistants service crashes in Exchange 2010
http://support.microsoft.com/kb/2619237
감사합니다.