Назад | Перейти на главную страницу

Ошибка SChannel SSL 3.0 - OWA - Windows Server 2008 R2

Я получаю сообщения об ошибках в журнале событий с идентификаторами 36888 и 36874. Состояние ошибки: «Было создано следующее критическое предупреждение: 40. Состояние внутренней ошибки - 1205.» и «Запрос на соединение SSL 3.0 был получен от удаленного клиентского приложения, но ни один из наборов шифров, поддерживаемых клиентским приложением, не поддерживается сервером. Запрос на соединение SSL не удался» соответственно. Я хотел бы найти причину этого, не отключая ведение журнала schannel. ОС работает под управлением Windows Server 2008 R2 и Outlook Web Access. В настройках IE на сервере отмечены флажки TLS 1.0, TLS 1.1, TLS 1.2, SSL 3.0, в то время как SSL 2.0 не отмечен. Как мне заняться исследованием этой проблемы? Захватить с помощью wirehark и перейти оттуда или что-то еще?

Такое происшествие всегда может быть вызвано извне; достаточно подключиться и отправить ClientHello сообщение, в котором перечислены только нежелательные значения как «поддерживаемые наборы шифров». С помощью Wireshark или какой-либо эквивалентный инструмент мониторинга, например Сетевой монитор Microsoft действительно путь:

  • Активируйте ведение журнала на уровне HTTP в IIS.
  • Запустите инструмент монитора.
  • Подождите, пока событие не появится снова.
  • Посмотреть полученные ClientHello сообщения во время запуска события.

В ClientHello сообщения по необходимости не зашифрованы. Таким образом, вы можете увидеть список объявленных наборов шифров и сопоставить его с конфигурацией вашего сервера. Инструмент сетевого монитора также покажет вам IP-адрес клиента. Если сообщение является частью попытки нескольких подключений (например, клиент сначала пытается подключиться с некоторыми параметрами, а затем пытается снова с некоторыми другими), вы можете увидеть успешное подключение от того же клиента, после чего выполняется вход на уровне HTTP. IIS сообщит вам, какое программное обеспечение использует клиент (это часть заголовков HTTP).

Правдоподобное объяснение: зондирование: если кто-то хочет выяснить, какие наборы шифров поддерживает ваш сервер, он сделает несколько попыток подключения с сокращающимся списком поддерживаемых наборов шифров; этот должен в конечном итоге получится событие, подобное тому, которое вы показываете. Инструменты, которые это делают, доступен как онлайн-сервис; другие могут быть загруженным.

Любой сервер с выходом в Интернет может время от времени подвергаться зондированию; таково положение вещей (морально плачевное, но вряд ли изменится в ближайшем будущем). Лучше всего просто отфильтровать эти события из вашего механизма оповещения, чтобы полностью их игнорировать. В любом случае они в основном безвредны.