ID do Evento: 36888 O seguinte alerta fatal foi gerado: 10. O estado de erro interno é 10

Navegue suas respostas
3

Estamos enfrentando os seguintes erros schannel com mais freqüência em nossos servidores de terminal de área de trabalho remota. 

Log Name:      System
Source:        Schannel
Date:          11/18/2015 1:04:56 PM
Event ID:      36888
Task Category: None
Level:         Error
Keywords:      
User:          SYSTEM
Computer:      RD2.{removed}.com
Description:
The following fatal alert was generated: 10. The internal error state is 10.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
    <EventID>36888</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2015-11-18T18:04:56.498068400Z" />
    <EventRecordID>1969389</EventRecordID>
    <Correlation />
    <Execution ProcessID="572" ThreadID="48732" />
    <Channel>System</Channel>
    <Computer>RD2.{removed}.com</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="AlertDesc">10</Data>
    <Data Name="ErrorState">10</Data>
  </EventData>
</Event>

Ocasionalmente, obteremos isso em nosso servidor do Exchange ou em um servidor IIS, no entanto, isso ocorre principalmente em nossos Servidores de Terminal de Área de Trabalho Remota que executam o 2008 R2 de 64 bits. Como você pode ver no gráfico a seguir, obtemos picos como este com frequência. Este gráfico é de 1 servidor de terminal nas últimas 12 horas, o que nos deu 407 erros.

Alguma sugestão sobre como descobrir o que está causando esses problemas? Devemos apenas desabilitar a depuração do schannel?

    
por DanielJay 18.11.2015 / 21:15

2 respostas

1

Eu não desabilitarei o log desses, mas não ficaria preocupado com eles. Acredito que esta página deve fornecer mais informações: link .

Aparentemente, isso está conectado ao SSLv3, então talvez esteja relacionado à conexão de clientes mais antigos ou problemas de rede entre os clientes e o servidor RDP.

Você pode tentar investigar quem realmente faz logon durante esses períodos e tentar correlacionar o erro de schannel com um logon bem-sucedido ou com falha.

    
por 21.11.2015 / 17:04
0

Esses erros são exatamente correlacionados com as conexões TCP de redefinição quando alguém está tentando se conectar e efetuar logon através da porta 3389 ms-wbt-server. Se a pessoa falhar na "caixa preta" de segurança do sistema, a conexão de entrada será abortada com um pacote de redefinição. A mensagem de erro que você está vendo é lançada no log de sistemas do Windows. Se você está experimentando muitos destes ainda, então você pode querer mudar a porta de escuta de 3389 para outra coisa, e ver se os erros diminuem.

    
por 24.08.2016 / 04:30

Tags

Não é possível adicionar certificado SSL personalizado no traço do AppEngine Logstash event @timestamp adjustment