none
immer wieder Schannel Fehler (capi2 Fehler 30 und 11) RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    Windows Server 2012 bringt einmal pro Minute Schannel Fehler (im Capi2 Log Error 30 und 11):

    Protokollname: Microsoft-Windows-CAPI2/Operational
    Quelle:        Microsoft-Windows-CAPI2
    Datum:         13.01.2017 10:30:09
    Ereignis-ID:   30
    Aufgabenkategorie:Kettenrichtlinie überprüfen
    Ebene:         Fehler
    Schlüsselwörter:Pfadüberprüfung
    Benutzer:      NETZWERKDIENST
    Computer:      Server
    Beschreibung:
    Für weitere Informationen über dieses Ereignis, wenden Sie sich an den Abschnitt "Details"
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
        <EventID>30</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>30</Task>
        <Opcode>0</Opcode>
        <Keywords>0x4000000000000001</Keywords>
        <TimeCreated SystemTime="2017-01-13T09:30:09.995529700Z" />
        <EventRecordID>12328695</EventRecordID>
        <Correlation />
        <Execution ProcessID="568" ThreadID="13696" />
        <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
        <Computer>Server</Computer>
        <Security UserID="S-1-5-20" />
      </System>
      <UserData>
        <CertVerifyCertificateChainPolicy>
          <Policy type="CERT_CHAIN_POLICY_SSL" constant="4" />
          <Certificate fileRef="FEE449EE0E3965A5246F000E87FDE2A065FD89D4.cer" subjectName="Root Agency" />
          <CertificateChain chainRef="{D88D0719-1FBD-40F7-99FD-2930521DC1C0}" />
          <Flags value="7" CERT_CHAIN_POLICY_IGNORE_NOT_TIME_VALID_FLAG="true" CERT_CHAIN_POLICY_IGNORE_CTL_NOT_TIME_VALID_FLAG="true" CERT_CHAIN_POLICY_IGNORE_NOT_TIME_NESTED_FLAG="true" />
          <SSLAdditionalPolicyInfo authType="client">
            <IgnoreFlags value="0" />
          </SSLAdditionalPolicyInfo>
          <Status chainIndex="0" elementIndex="0" />
          <EventAuxInfo ProcessName="lsass.exe" impersonateToken="S-1-5-20" />
          <CorrelationAuxInfo TaskId="{A2699935-4240-4A6A-8EDB-D020CF7EA1EA}" SeqNumber="1" />
          <Result value="80096004">Die Signatur des Zertifikats konnte nicht bestätigt werden.</Result>
        </CertVerifyCertificateChainPolicy>
      </UserData>
    </Event>
     
    Protokollname: Microsoft-Windows-CAPI2/Operational
    Quelle:        Microsoft-Windows-CAPI2
    Datum:         13.01.2017 10:30:09
    Ereignis-ID:   11
    Aufgabenkategorie:Kette erstellen
    Ebene:         Fehler
    Schlüsselwörter:Pfadsuche,Pfadüberprüfung
    Benutzer:      NETZWERKDIENST
    Computer:      Server
    Beschreibung:
    Für weitere Informationen über dieses Ereignis, wenden Sie sich an den Abschnitt "Details"
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
        <EventID>11</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>11</Task>
        <Opcode>2</Opcode>
        <Keywords>0x4000000000000003</Keywords>
        <TimeCreated SystemTime="2017-01-13T09:30:09.995529700Z" />
        <EventRecordID>12328694</EventRecordID>
        <Correlation />
        <Execution ProcessID="568" ThreadID="13696" />
        <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
        <Computer>Server</Computer>
        <Security UserID="S-1-5-20" />
      </System>
      <UserData>
        <CertGetCertificateChain>
          <Certificate fileRef="FEE449EE0E3965A5246F000E87FDE2A065FD89D4.cer" subjectName="Root Agency" />
          <ExtendedKeyUsage orMatch="true">
            <Usage oid="1.3.6.1.5.5.7.3.2" name="Clientauthentifizierung" />
          </ExtendedKeyUsage>
          <Flags value="0" />
          <ChainEngineInfo context="user" />
          <CertificateChain chainRef="{D88D0719-1FBD-40F7-99FD-2930521DC1C0}">
            <TrustStatus>
              <ErrorStatus value="100028" CERT_TRUST_IS_NOT_SIGNATURE_VALID="true" CERT_TRUST_IS_UNTRUSTED_ROOT="true" CERT_TRUST_HAS_WEAK_SIGNATURE="true" />
              <InfoStatus value="0" />
            </TrustStatus>
            <ChainElement>
              <Certificate fileRef="FEE449EE0E3965A5246F000E87FDE2A065FD89D4.cer" subjectName="Root Agency" />
              <SignatureAlgorithm oid="1.2.840.113549.1.1.4" hashName="MD5" publicKeyName="RSA" />
              <PublicKeyAlgorithm oid="1.2.840.113549.1.1.1" publicKeyName="RSA" publicKeyLength="512" />
              <TrustStatus>
                <ErrorStatus value="100028" CERT_TRUST_IS_NOT_SIGNATURE_VALID="true" CERT_TRUST_IS_UNTRUSTED_ROOT="true" CERT_TRUST_HAS_WEAK_SIGNATURE="true" />
                <InfoStatus value="9" CERT_TRUST_HAS_EXACT_MATCH_ISSUER="true" CERT_TRUST_IS_SELF_SIGNED="true" />
              </TrustStatus>
              <ApplicationUsage any="true" />
              <IssuanceUsage any="true" />
            </ChainElement>
          </CertificateChain>
          <EventAuxInfo ProcessName="lsass.exe" impersonateToken="S-1-5-20" />
          <CorrelationAuxInfo TaskId="{E95CF337-8A2A-48A0-8809-BD1C7EF263EC}" SeqNumber="3" />
          <Result value="80096004">Die Signatur des Zertifikats konnte nicht bestätigt werden.</Result>
        </CertGetCertificateChain>
      </UserData>
    </Event>

    Ich finde das Zertifikat mit certutil -store

    CA
    ================ Zertifikat 0 ================
    Seriennummer: 06376c00aa00648a11cfb8d4aa5c35f4
    Aussteller: CN=Root Agency
     Nicht vor: 28.05.1996 23:02
     Nicht nach: 01.01.2040 00:59
    Antragsteller: CN=Root Agency
    Signatur stimmt mit dem öffentlichen Schlüssel überein.
    Stammzertifikat: Antragsteller stimmt mit Aussteller überein
    Vorlage:
    Zertifikathash(sha1): fe e4 49 ee 0e 39 65 a5 24 6f 00 0e 87 fd e2 a0 65 fd 89 d4
    Keine Informationen über den Schlüsselanbieter
    Das Zertifikat und der private Schlüssel für die Entschlüsselung wurden nicht gefunden.

    und jetzt?

    Wie bekomme ich Details über dieses Zertifikat?

    Über die MMC (Zertifikatsverwaltung) finde ich dieses Zertifikat nicht (, oder)?

    Der Server ist ein Exchange Server 2010. Vielleicht ist das auch noch wichtig. Glaube ich aber nicht. Deswegen poste ich hier und nicht bei Exchange.

    Ideen?


    Greetings/Grüße Gernot

    Dienstag, 17. Januar 2017 10:44

Alle Antworten

  • Hallo Gernot Meyer,

    wir haben ein dediziertes Forum für Windows Server 2012. Ich werde den Thread dorthin verschieben.

    Gruß

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 18. Januar 2017 10:38
    Moderator