我们的远程桌面终端服务器上最常遇到以下 schannel 错误。
日志名称:系统
来源:Schannel
日期:2015 年 11 月 18 日下午 1:04:56
事件 ID:36888
任务类别:无
级别:错误
关键字:
用户:SYSTEM
计算机:RD2.{removed}.com
描述:
生成了以下致命警报:10。内部错误状态为 10。
事件 XML:
<事件 xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<系统>
<提供商名称="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
<事件ID>36888</事件ID>
<版本> 0</版本>
<级别> 2 </级别>
<任务> 0 </任务>
<操作码> 0 </操作码>
<关键字>0x8000000000000000</关键字>
<TimeCreated SystemTime="2015-11-18T18:04:56.498068400Z" />
<事件记录ID>1969389</事件记录ID>
<相关性 />
<执行进程ID="572"线程ID="48732"/>
<频道>系统</频道>
<计算机> RD2.{已删除} .com </计算机>
<安全用户 ID="S-1-5-18" />
</系统>
<事件数据>
<数据名称="AlertDesc">10</数据>
<数据名称="ErrorState">10</数据>
</事件数据>
</事件>
有时我们会在 Exchange 服务器或 IIS 服务器上遇到这种情况,但大多数情况下都是从运行 2008 R2 64 位的远程桌面终端服务器中遇到的。从下图中可以看出,我们经常会遇到这样的峰值。此图是过去 12 小时内 1 个终端服务器的图表,它给我们带来了 407 个错误。
关于如何找出导致这些问题的原因,您有什么建议吗?我们应该禁用 schannel 调试吗?
答案1
我不会禁用这些记录,但我不会担心它们。我相信此页面应该提供更多信息:https://msdn.microsoft.com/en-us/library/windows/desktop/dd721886%28v=vs.85%29.aspx。
显然这与 SSLv3 有关,所以可能与旧客户端的连接或客户端与 RDP 服务器之间的网络问题有关。
您可以尝试调查在此期间实际登录的人,并尝试将 schannel 错误与成功或失败的登录关联起来。
答案2
当有人尝试通过端口 3389 ms-wbt-server 进行连接和登录时,这些错误与重置 TCP 连接完全相关。如果此人未能通过系统安全“黑匣子”,则传入连接将通过重置数据包中止。然后,您看到的错误消息将抛出到 Windows 系统日志中。如果您仍然遇到很多这样的情况,那么您可能需要将监听端口从 3389 更改为其他端口,看看错误是否减少。