schannel

AD FS 事件日志
schannel

AD FS 事件日志

因此,我们将 ADFS 代理与 ADFS(Install-WebApplicationProxy)连接起来,两者都是 Windows Server 2019。必须重新建立信任,但它要等待很长时间,重试身份验证 AD FS 事件日志 ADFS 端发生事件 276,其值很奇怪: 联合服务器代理无法向联合服务进行身份验证。用户操作确保代理受联合服务信任。为此,请使用证书使用者名称中标识的主机名登录代理计算机,然后使用 Install-WebApplicationProxy cmdlet 在代理和联合服务之间重新建立信任。 附加数据 证书详细信息: 主题名称: 指...

Admin

Ssl 重新协商消息是否应该加密?
schannel

Ssl 重新协商消息是否应该加密?

RFC5246 中未提及 Ssl 重新协商消息应加密。但使用 Windows Schannel API 时,我发现重新协商消息已加密。我尝试向 Windows 中的 Ssl 客户端发送未加密的精心设计的“服务器问候请求”,但客户端未接受,并返回一条 ALERT 消息,指出无法解密该消息。有没有什么想法,我可以在不加密握手消息的情况下进行 Ssl 重新协商? ...

Admin

如何查看传入 Active Directory DS 的 bindRequest 的内容?
schannel

如何查看传入 Active Directory DS 的 bindRequest 的内容?

我在 Windows Server 2016 上运行了一个功能齐全的 AD DS。我有一个 Spring 应用程序,我使用它通过 SSL 连接使用简单的身份验证绑定对我的活动目录数据库进行身份验证。我想检查所有传入 AD 服务器的 bindRequests 的内容,无论它们是成功还是失败。 此外,我想排查绑定请求中的名称形式是否与我的用户对象的 CN 或 displayName 属性匹配。我的 CN 和 displayName 对于某些用户完全相同,而对于某些用户则不同,因此我想查看日志或类似内容以确保无误。 如果 Schannel 是解决此问题的方案,我应...

Admin

仍然受到 Windows NPS 2022 年 5 月证书更新的影响
schannel

仍然受到 Windows NPS 2022 年 5 月证书更新的影响

2022 年 5 月 微软改变了客户端证书映射到 AD 帐户的方式,导致 802.1X EAP-TLS 计算机帐户身份验证停止工作。以下是具有详细背景信息的附加资源在 Schannel<=>Kerbers S4U2 上自我认证 对此可用的解决方案是: 使用创建强映射替代安全身份映射 使用新的证书扩展szOID_NTDS_CA_SECURITY_EXT 通过以下方式暂时禁用 Schannel<=>Kerberos S4u2Self证书映射方法注册表项和设置标志 0x4 用于 SAN 证书映射 如果 NPS 服务器和客户端计算机帐户位...

Admin

Windows Server 2012 R2 - 添加密码
schannel

Windows Server 2012 R2 - 添加密码

这可能是一个完全新手的问题。我有一台 2012 R2 服务器,应用程序应该在该服务器上调用仅提供以下密码的合作伙伴:(0xc02f) TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1(相当于 3072 位 RSA)FS 128 (0xc030) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1(相当于 3072 位 RSA)FS 如果我检查 schnannel 注册表项,我的系统会提供:TLS_ECDHE_RSA_WITH_AES_256_CBC_...

Admin

域控制器无法复制。SChannel 问题。客户端无法加入域
schannel

域控制器无法复制。SChannel 问题。客户端无法加入域

我遇到了 AD 林中树域的 PDC 问题。它无法复制到其他 DC,并且其客户端正在失去对域的信任,无法使用 Test-computersecurechannel -repair 进行重置,我无法将客户端加入/重新加入域。 这是 Server 2016 林,站点创建为树域。林是 xyz.den.lcl,其他树是 xyz.atl.lcl(损坏的)、xyz.sea.lcl、xyz.cle.lcl、xyz.qucy.lcl 和 xyz.sat.lcl。所有 DC 都是 Windows 2016 STD,大多数是 2016 数据中心 Hyper-V 群集上的 VM。...

Admin

SChannel 错误:收到以下致命警报:80 错误代码 0x80090304
schannel

SChannel 错误:收到以下致命警报:80 错误代码 0x80090304

在调查某些客户请求意外被 HTTP 403 拒绝的问题时,我注意到 Windows 事件日志包含大量源 Schannel 错误。 EventID 36887 The following fatal alert was received: 80. 这参考显示此代码为 SEC_E_INTERNAL_ERROR 0x80090304。进一步搜索此新代码发现这一页但以下情况均不适用: 我们的服务器证书是2048位 我们不使用 EAP。 我们不使用 EAP,我们的场景中不涉及 VPN。 我们不使用 ISA。 我如何才能找出导致我的 schanne...

Admin

从远程客户端应用程序收到未知的连接请求,但没有任何密码.....SSL 连接请求失败
schannel

从远程客户端应用程序收到未知的连接请求,但没有任何密码.....SSL 连接请求失败

我的系统错误日志中出现太频繁的错误: 从远程客户端应用程序收到未知的连接请求,但服务器不支持客户端应用程序所支持的密码套件。SSL 连接请求失败。 在我们的一个 .net web 应用程序中。我们还遇到了与证书相关的问题。这两个问题可能是相互关联的。我们在应用程序日志中看到的错误是: Merchnant Update Service returned Exception[System.InvalidOperationException: General Error https://www.mytestwebsite.pk/appli/inde...

Admin

选择“允许本地激活安全检查豁免”有哪些安全风险?
schannel

选择“允许本地激活安全检查豁免”有哪些安全风险?

在 Windows Server 2012 R2 下的服务器管理器中查看事件时,我收到许多 schannel 错误消息,提示“生成了致命警报并将其发送到远程端点。这可能会导致连接终止。TLS 协议定义的致命错误代码为 10。Windows SChannel 错误状态为 1203。”多个站点建议“允许本地激活安全检查豁免”作为解决方案。虽然这可能会减少事件列表中的错误消息数量,但我对允许这些豁免所带来的实际安全风险感兴趣。 ...

Admin

SSL/TLS 握手失败
schannel

SSL/TLS 握手失败

配置 Windows 2008R2 RDS 服务器RDS01 Windows 2008R2 RDS 服务器RDS02 Windows 2012R2 RemoteApp 服务器APP01 问题 呼叫网址https://APP01.domain.local/rdweb: 从RDS01:Schannel 错误 40(握手失败) 来自RDS02:响应代码 200,证书链正常 诊断 使用安全诊断工具来自RDS01(握手失败已删除): -= SUMMARY =- Weak: 0 Intermediate: 0 ...

Admin

4625 事件数不胜数。登录尝试失败。没有 IP,没有用户名
schannel

4625 事件数不胜数。登录尝试失败。没有 IP,没有用户名

我的服务器不断收到登录失败事件 (4625)。这些事件每天大约每 20-30 分钟发生一次。而且似乎有计划发生。 我尝试删除存储的凭证。禁用 RDS。我尝试使用 Procmon 和 Wireshark 查找模式,一度认为它可能是 Labtech (ConnectWise Automate) 的服务,但暂时禁用它并没有什么作用。 帐户登录失败。 主题: Security ID: SYSTEM Account Name: SERVER$ Account Domain: DOMAIN Logon ID: ...

Admin

将 SSRS 服务迁移到 TLS 1.2 时,剩下 0 个客户端证书可供选择
schannel

将 SSRS 服务迁移到 TLS 1.2 时,剩下 0 个客户端证书可供选择

环境: Reporting Services 在 Windows 2008 服务器上的 SQL Server 2008 R2 SP3 安装上运行,其中安装了 .Net 4.6.1 并启用了 .Net 3.5 功能。IIS、数据库和报告服务都在本地计算机上(自定义登录 URL 在不同的计算机上,但似乎这无关)。 已完成的更改: 由于安全原因,我们被迫转向 TLS 1.2,因此我们使用 IISCrypto 启用了 TLS 1.2 结果: 从此刻起,只有在尝试访问报告管理站点时我们才会收到错误: 底层连接已关闭:接收时发生意外错误 在 SSR...

Admin

IIS 7.5 - 重启后 SSL 失败 - 重新绑定证书修复,直到重启
schannel

IIS 7.5 - 重启后 SSL 失败 - 重新绑定证书修复,直到重启

最近,我的 IIS 7.5 SSL 站点在重启后开始拒绝连接。奇怪的是,可以通过将站点与不同的证书绑定并切换回正确的证书来解决此问题。 失败时,wireshark 显示客户端发送各种 SSL hello 数据包(TLS 1.0、1.1、1.2),服务器以 TCP RST 响应。正常工作时,客户端 hello 几乎相同(相同的密码/压缩/SNI)。IE 和 Chrome 显示的行为相同(内容略有不同,但即时 RST 很常见)这表明很可能是服务器端的问题。 我唯一的提示是随机 SChannel 事件 ID 36870“尝试访问 SSL 服务器凭据私钥时发生致...

Admin

在 Active Directory 中使用第三方证书而无需证书请求
schannel

在 Active Directory 中使用第三方证书而无需证书请求

客户希望在 Windows Server 2012 R2 域控制器上为 LDAPS 使用 COMODO 签名的 TLS 证书。 证书已购买但域控制器上未创建 CSR(按照https://support.microsoft.com/en-us/kb/321051)。 该证书满足用于 ADDS 的要求: 通用名称是 DC 的 FQDN 该证书可用于客户端和服务器身份验证 该证书具有多个用于域控制器的备用 DNS 名称的 SAN 条目 我现在已将证书、私钥和所有中间证书导入到本地计算机证书存储和 NTDS\Personal 证书存储中。 但是,使用证...

Admin

查找导致 schannel ldap 错误的客户端
schannel

查找导致 schannel ldap 错误的客户端

在我们的网络中,某个 ldap 客户端正在查询我们的 AD 服务器,但没有正确的 CA 信息。这会在域控制器的事件日志中引发(在我看来毫无用处的)系统严重(来源:schannel)事件 ID 36887: 收到以下致命警报:46。 我如何找到配置错误的客户端? ...

Admin