Schannel 36888 auf virtuellem Windows Server 2008 R2

Alle Antworten

• 

  

  0

  Anmelden

  Hi Marcel,

   

  > Hallo liebe Forumleser,

  >

  > ich habe wie im Threadtitel beschrieben auf einer virtuellen Maschine den

  Schannel Fehler

  >

  > Das System hostet an für sich nur eine Anwendungssoftware für Hotels und

  die Rolle Dateidienste. Dabei aber wirklich nur "Freigabe und

  Speicherverwaltung".

  > Das System protokolliert seit dem 21.06.2010 die oben eingefügte

  Fehlermeldung. Dabei ändert sich nur die ThreadID und Zeit natürlich. Das

  ganze tritt sehr unregelmäßig auf und scheint auch keine negativen

  > Auswirkungen auf den Betrieb der Branchensoftware zu haben. 15 Minuten

  vor dem ersten auftauchen wurden per Update Definitionen für den Windows

  Defender geladen. Es waren wohl auch mal RDP-Dienste

  > installiert allerdings sind diese mittlerweile wieder entfernt worden.

  Auf diesem System sind keine eigenen Zertifikate installiert (erwähne ich

  weil ich schon einiges über den Fehler gelesen habe bezüglich

  > Zertifikaten und TLS).

  > Ich habe jetzt testweise mal den Echtzeitschutz vom Windows Defender

  deaktiviert. Frage: In welcher Rolle oder welchem Feature wird der

  eigentlich installiert?

   

  Windwos defender kommt bei einem 2008-Server über die Destop Feature:

  http://linhost.info/2009/05/ask-the-admin-how-do-i-install-windows-defender-on-windows-server-2008/

   

  Viele Grüße

  Christian

   

  Sonntag, 4. Juli 2010 13:29

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Danke für die Info,

  hab nur festgestellt das es nicht daran zu liegen scheint..

  ---

  Marcel Brabetz

  Sonntag, 4. Juli 2010 19:08

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi Marcel,

   

  > Danke für die Info,

  >

  > hab nur festgestellt das es nicht daran zu liegen scheint..

  >

  > Marcel Brabetz

   

  Schannel steht für sChannel und dient einer verschlüsselten Übertragung.

   

  Es sieht so aus, als ob ein Website besucht wird (Update Defender?) und es

  zu TLS-Problemen kommt.

   

  Probier mal: Internet Explorer öffnen - Internet Optionen - Erweitert -

  Sicherheit und deaktivier die TLS-Optionen.

   

  Danach schau mal, ob es nach einem Neustart besser wird.

   

  Hier gibt es noch etwas zum Lesen:

   

  http://social.technet.microsoft.com/Forums/en/winserverDS/thread/4c5430f5-43f6-41b4-97d3-03cfb3efa70b

  http://social.answers.microsoft.com/Forums/en-US/w7programs/thread/872a1c9e-06df-4315-8ee2-598f867f0c12

  http://technet.microsoft.com/de-de/library/dd560644(WS.10).aspx

  http://technet.microsoft.com/en-us/library/cc783349%28WS.10%29.aspx

   

  Viele Grüße

  Christian

   

  Sonntag, 4. Juli 2010 19:56

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Das mit den TLS Funktionen habe ich auch schon gefunden, durfte nur leider bisher nicht diesen Server neu starten. Melde mich dann aber sicher noch einmal ob es dieses gewesen ist.
  

  ---

  Marcel Brabetz

  Sonntag, 4. Juli 2010 20:53

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Marcel,

  wurde das Problem durch den Neustart behoben?

  Gruß,
  Andrei

  Mittwoch, 7. Juli 2010 06:50

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Hallo Andrei,

   

  nach einem Neustart heute Nacht kann ich sagen: Nein es hat nichts gebracht. Der Schannel Fehler wird weiterhin protokolliert, und so wie es aussieht scheint entweder jeder Zugriff oder was ich eher vermute  jede  Authentifizierung gegen die Software den Fehler hervorzurufen. Das werd ich dann aber mal prüfen, wenn die dort weniger zu tun haben (mittags oder heute Nacht).

  ---

  Marcel Brabetz

  Mittwoch, 7. Juli 2010 08:13

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Marcel,

  überprüfe bitte auch den Execution ProcessID wenn der Fehler wieder auftret, damit wir den Prozess der die Fehlermeldung verursacht identifizieren können.

  Falls es tatsächlich die Software sein sollte und die Funktionalität durch die Fehlermeldung nicht beeinflußt wird, kann das Schannel Logging auch per HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging Reg Wert deaktiviert werden.

  Falls es nicht klar sein sollte, kann das Logging auch hochgeschraubt werden, wie von Christian im ersten Thread erwähnt.

  Gruß,
  Andrei

  Mittwoch, 7. Juli 2010 08:45

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Hi Andrei,

   

  der Prozess der nach dem Neustart der PID zugeordnet ist, ist lsass.exe. Da schau ich mich dann mal weiter um. Wenn du dazu natürlich noch eine Anregung hast freue ich mich über weitere Denkanstöße.

  Grüße Marcel

  ---

  Marcel Brabetz

  Mittwoch, 7. Juli 2010 08:54

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Habe das Logging mittlerweile einmal hochgesetzt auf den Wert 7 wie im Englischen Thread erwähnt, werde aber momentan auch nicht schlauer daraus.

  Jetzt wird zusätzlich protokolliert einmal:

   

  -

  System

  - Provider       [ Name ] Schannel       [ Guid ] {1F678132-5938-4686-9FDC-C8FF68F15C85}

  EventID 36880

  Version 0

  Level 4

  Task 0

  Opcode 0

  Keywords 0x8000000000000000

  - TimeCreated       [ SystemTime ] 2010-07-07T11:25:25.060967800Z

  EventRecordID 31424

  Correlation

  - Execution       [ ProcessID ] 572       [ ThreadID ] 4256

  Channel System

  Computer

  - Security       [ UserID ] S-1-5-18

  -

  UserData

  - EventXML       Type Client       Protocol TLS 1.0       CipherSuite 0x2f       ExchangeStrength 102

  und einmal:

   

  System

  - Provider       [ Name ] Schannel       [ Guid ] {1F678132-5938-4686-9FDC-C8FF68F15C85}

  EventID 36880

  Version 0

  Level 4

  Task 0

  Opcode 0

  Keywords 0x8000000000000000

  - TimeCreated       [ SystemTime ] 2010-07-07T11:20:02.310798700Z

  EventRecordID 31421

  Correlation

  - Execution [ ProcessID] 572 [ ThreadID] 5100

  Channel System

  Computer

  - Security       [ UserID] S-1-5-18

  -

  UserData

  - EventXML       Type Client       Protocol TLS 1.0       CipherSuite 0x4       ExchangeStrength 1024

  ---

  Marcel Brabetz

  Mittwoch, 7. Juli 2010 11:31

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi Marcel,

   

  > Jetzt wird zusätzlich protokolliert einmal:

  >

  >

  >

  > - System

  >

  > - Provider

  >

  > [ Name ] Schannel

  > [ Guid ] {1F678132-5938-4686-9FDC-C8FF68F15C85}

  >

  > EventID 36880

  >

  > Version 0

  >

  > Level 4

  >

  > Task 0

  >

  > Opcode 0

  >

  > Keywords 0x8000000000000000

  >

  > - TimeCreated

  >

  > [ SystemTime ] 2010-07-07T11:25:25.060967800Z

  >

  > EventRecordID 31424

  >

  > Correlation

  >

  > - Execution

  >

  > [ ProcessID ] 572

  > [ ThreadID ] 4256

  >

  > Channel System

  >

  > Computer

  >

  >

  > - Security

  >

  > [ UserID ] S-1-5-18

  >

  >

  > - UserData

  >

  > - EventXML

  >

  > Type Client

  >

  > Protocol TLS 1.0

  >

  > CipherSuite 0x2f

  >

  > ExchangeStrength 102

  >

  >

  >

  > und einmal:

  >

  >

  >

  > System

  >

  > - Provider

  >

  > [ Name ] Schannel

  > [ Guid ] {1F678132-5938-4686-9FDC-C8FF68F15C85}

  >

  > EventID 36880

  >

  > Version 0

  >

  > Level 4

  >

  > Task 0

  >

  > Opcode 0

  >

  > Keywords 0x8000000000000000

  >

  > - TimeCreated

  >

  > [ SystemTime ] 2010-07-07T11:20:02.310798700Z

  >

  > EventRecordID 31421

  >

  > Correlation

  >

  > - Execution

  >

  > [ ProcessID] 572

  > [ ThreadID] 5100

  >

  > Channel System

  >

  > Computer

  >

  >

  > - Security

  >

  > [ UserID] S-1-5-18

  >

  >

  > - UserData

  >

  > - EventXML

  >

  > Type Client

  >

  > Protocol TLS 1.0

  >

  > CipherSuite 0x4

  >

  > ExchangeStrength 1024

   

  Soweit ich das von Deinen bis jetzt angebotenen Daten eruieren kann, findet

  ein Versuch statt, einen sicheren Verbindungskanal aufzubauen, jedoch sind

  sich Client und Server nicht einig, welchen Algorithmus und/oder

  Schlüsselstärke vereinbart werden soll bzw. der jeweilig andere unterstützt.

   

  Mit einer Verschlüsselungslänge von 102-Bit (s.o. "ExchangeStrength 102" )

  bring ich aktuell nur WLAN-Clients mit WEP 128-Bit (24-bit

  Initialisierungsvektor + 102-bit Schlüssellänge) in Verbindung. Kann es also

  sein, dass eine WLAN-Verbindung hergestellt werden soll, jedoch dabei

  Probleme entstehen die richtigen Verbindungsparameter zu finden?

   

   

  Zugehörige Hintergrundinformationen:

   

  "SID: S-1-5-18"

  Name: Lokales System

  Beschreibung: Dienstkonto, das vom Betriebssystem genutzt wird.

  Source: http://support.microsoft.com/kb/243330

   

   

  CipherSuite 0x2 - TLS_RSA_WITH_NULL_SHA

  ExchangeStrength 102 - Schlüssellänge 102 Bit

  [..]

  CipherSuite 0x4 - TLS_RSA_WITH_RC4_128_MD5

  ExchangeStrength 1024 - Schlüssellänge 1024 Bit

  [..]

  How to Determine the Cipher Suite for the Server and Client

  http://support.microsoft.com/kb/299520/en-us

   

  --

  Tobias Redelberger

  StarNET Services (HomeOffice)

  Frankfurter Allee 193

  D-10365 Berlin

  Tel: +49 (30) 86 87 02 678

  Mobil: +49 (163) 84 74 421

  Email: T.Redelberger@starnet-services.net

  Web: http://www.starnet-services.net

   

   

   

  Donnerstag, 8. Juli 2010 11:41

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Tobias,

  es tut mir leid aber

  ich habe offensichtlich beim kopieren der Informationsmeldung die 4 abgeschnitten... sollte also heissen

  CipherSuite 0x2 - TLS_RSA_WITH_NULL_SHA

  ExchangeStrength 102 - Schlüssellänge 1024 Bit

  
  

  CipherSuite 0x4 - TLS_RSA_WITH_RC4_128_MD5

  ExchangeStrength 1024 - Schlüssellänge 1024 Bit

  
  

  und mich würde ehrlich gesagt wundern wo der virtuelle Server über WLAN  versucht ne Verbindung aufzubauen.

  
  

  ---

  Marcel Brabetz

  Donnerstag, 8. Juli 2010 15:15

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi Marcel,

   

  >> Soweit ich das von Deinen bis jetzt angebotenen Daten eruieren kann,

  >> findet

  >> ein Versuch statt, einen sicheren Verbindungskanal aufzubauen, jedoch

  >> sind

  >> sich Client und Server nicht einig, welchen Algorithmus und/oder

  >> Schlüsselstärke vereinbart werden soll bzw. der jeweilig andere

  >> unterstützt.

  [..]

  > es tut mir leid aber

  >

  > ich habe offensichtlich beim kopieren der Informationsmeldung die 4

  > abgeschnitten... sollte also heissen

  >

  > CipherSuite 0x2 - TLS_RSA_WITH_NULL_SHA

  > ExchangeStrength 102 - Schlüssellänge 1024 Bit

  >

  >

  > CipherSuite 0x4 - TLS_RSA_WITH_RC4_128_MD5

  > ExchangeStrength 1024 - Schlüssellänge 1024 Bit

  >

  >

  > und mich würde ehrlich gesagt wundern wo der virtuelle Server über WLAN

  > versucht ne Verbindung aufzubauen.

   

  Uppps, "virtuell" im Betreff ganz überlesen.. ;)

   

  Na, dann fällt mir so erst auch mal nichts mehr weiter als oben gesagter

  Anhaltspunkt ein:

   

  "Soweit ich das von Deinen bis jetzt angebotenen Daten eruieren kann, findet

  ein Versuch statt, einen sicheren Verbindungskanal aufzubauen, jedoch sind

  sich Client und Server nicht einig, welchen Algorithmus und/oder

  Schlüsselstärke vereinbart werden soll bzw. der jeweilig andere

  unterstützt."

   

  Poste uns einmal mehr Informationen über die zugrundeliegende Infrastruktur

  (Virtualisierung mal ausgenommen, sollte hier erst mal nicht direkt mit dem

  Fehlerursprung verwickelt sein), der speziellen Andwendungssoftware und

  deren Anfoderungen.

   

  --

  Tobias Redelberger

  StarNET Services (HomeOffice)

  Frankfurter Allee 193

  D-10365 Berlin

  Tel: +49 (30) 86 87 02 678

  Mobil: +49 (163) 84 74 421

  Email: T.Redelberger@starnet-services.net

  Web: http://www.starnet-services.net

   

   

   

  Donnerstag, 8. Juli 2010 17:25

  Antworten

  |

  Zitieren