none
SChannel Error TLS RRS feed

  • Allgemeine Diskussion

  • Guten Tag,

    ich habe einen Windows Server 2016 mit allen Updates und ca. 300 Errorlogs in 1 Stunde alle mit dem SChannel Event ID 36870.

    "A fatal error occurred when attempting to access the TLS server credential private key. The error code returned from the cryptographic module is 0x8009030D. The internal error state is 10001."

    Beim recherchieren bin ich immer wieder auf SSL Verbindungen mit Zertifikaten gestoßen sowohl bei IIS als auch für RDP. Auf dem betroffenen Server läuft kein IIS und die RDP Verbindung verwende ich mit den Standard Einstellungen von Microsoft (Also kein eigenes Zertifikat). Es ist bei mir auch immer der TLS der scheinbar einen Fehler hat. Ich habe auch bereits dem Network Service in dem Ordner "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys" auf den Dateien "Lesen" erlaubt ohne, dass sich etwas verändert hätte.

    Der Server ist ein DC und hat daher auch DHCP Rollen installiert.

    Hat jemand eine Idee welcher Fehler das sein könnte oder in welchem Log ich noch nachsehen könnte?

    Vielen Dank im Voraus.

    Beste Grüße

    Michael

    Anbei noch die XML View des Error Logs:

    - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    - <System>
      <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
      <EventID>36870</EventID>
      <Version>0</Version>
      <Level>2</Level>
      <Task>0</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8000000000000000</Keywords>
      <TimeCreated SystemTime="2019-07-13T12:13:46.577743300Z" />
      <EventRecordID>2336870</EventRecordID>
      <Correlation />
      <Execution ProcessID="648" ThreadID="2704" />
      <Channel>System</Channel>
      <Computer>SERVERNAME.DOMAIN</Computer>
      <Security UserID="S-1-5-18" />
      </System>
    - <EventData>
      <Data Name="Type">server</Data>
      <Data Name="ErrorCode">0x8009030d</Data>
      <Data Name="ErrorStatus">10001</Data>
      </EventData>
      </Event>

    Samstag, 13. Juli 2019 12:25

Alle Antworten

  • Schau mal hier: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

    ob da nicht doch ein SSLCertificateSHA1Hash Schlüssel gesetzt ist. Wenn ja, versucht er das dazu passende Zertifikat für RDP zu verwendet wird. 

    Den Key dann einfach löschen, dann sollten die Fehler verschwinden. Sollte doch ein Zertifikat vorhanden sein, wird der Schlüssel neu gesetzt. Ein möglicher Fehler kann dort auch ein Mismatch des Hashs zum Zertifikat sein, dass passiert manchmal beim wechsel des Zertifikats.


    Montag, 15. Juli 2019 11:34
  • Hallo,

    vielen Dank für den Tipp, bei mir gibt es keinen Eintrag "SSLCertificateSHA1Hash".

    Beste Grüße

    Michael Stiefmayer

    Montag, 15. Juli 2019 12:34
  • Ok, dann setzt mal folgenden Befehl in der CMD ab:

    wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
    Wenn er dir da einen Hash anzeigt, musst du in die mmc und dort in deinem Zertifikatsspeicher gehen und schauen, ob es dort ein Zertifikat mit dem entsprechenden Hash gibt.

    Montag, 15. Juli 2019 13:13
  • Guten Morgen,

    entschuldige bitte die verzögerte Antwort, ich bin leider nicht früher dazu gekommen.

    Ich habe den Hash Wert erhalten und ein entsprechendes Zertifikat im RemoteDesktop Store gefunden.

    Der Hashwert wird als SelfSignedCertificate in der Registry verwendet.

    Vielen Dank im Voraus.

    Beste Grüße

    Michael Stiefmayer


    Dienstag, 16. Juli 2019 05:58
  • Du kannst mal probieren unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp den Schlüssel SSLCertificateSHA1Hash selbst zu setzen und den Hash zu hinterlegen. Wenn dass nicht klappt, muss du den Schlüssel wieder löschen und dir mal ein neues Computer Zertifikat ausstellen.

    Wenn man beim aktivieren von RDP die schärfste Sicherheitsvariante auswählt (Stichwort NLA), dann läuft die Kommunikation über TLS, dafür verwendet er normalerweise das Computerzertifikat, das automatisch erstellt wird.

    In deinem Fall hat er da, warum auch immer, den Hash zum Zertifikat für die Registry hinterlegt.

    Dienstag, 16. Juli 2019 08:59
  • Ich habe den Schlüssel angelegt mit dem korrekten Wert, danach habe ich den Server neugestartet, Fehler blieb unverändert.

    Also habe ich den Schlüssel wieder gelöscht.

    Danach habe ich das Remote Desktop Zertifikat gelöscht, und den Dienst "The Remote Desktop Configuration" gestoppt und wieder gestartet, dadurch hat der Server ein neues Remote Desktop Zertifikat angelegt.

    In der Registry hat der den Wert bei SelfsignedCertificate auf das neue Zertifikat geändert.

    Der Fehler bleibt aber weiterhin bestehen.

    Beste Grüße

    Michael

    Dienstag, 16. Juli 2019 14:25
  • Dann kann ich dir nicht mehr weiter helfen, eine andere Idee habe ich erstmal nicht.
    Dienstag, 16. Juli 2019 14:37
  • Trotzdem vielen Dank für die Unterstützung :)

    Beste Grüße

    Michael

    Mittwoch, 17. Juli 2019 06:28