TLS 1.2: Windows Error Reporting Service wirft Fehler

Bei der Umstellung auf die Transportverschlüsselung TLS 1.2 kann es sein, dass der Windows Error Reporting Service nicht mehr funktioniert und Fehler ausspuckt.


Anzeige

Kürzlich hat heise.de in diesem Artikel berichtet, dass die Transportverschlüsselung TLS 1.3 von der IETF offiziell als RFC 8446 verabschiedet wurde. Da fiel mir ein, dass mich Blog-Leser Thomas B. Ende Juli 2018 auf ein Problem bei TLS 1.2 hingewiesen hat, auf das er gestoßen ist. Thomas schrieb:

Im Zuge des Hardening auf TLS 1.2 (RDP, Exchange, SQL, Server 2008R2/2012R2) ist mir folgendes aufgefallen.

Nachdem nur noch TLS 1.2 zugelassen wird, funktioniert der Windows Error Reporting Service nicht mehr und löst einen Event Id 36871 Schannel-Fehler im Ereignisprotokoll / Systemlog aus. Jedenfalls unter Windows Server 2008 R2 SP1.

Zum TLS 1.2-Hardening hat Björn Walter beispielsweise einige Artikel veröffentlicht. Microsoft hat rund um das Thema Beiträge wie TLS/SSL Settings oder Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2 und TLS 1.2 support for Microsoft SQL Server veröffentlicht (danke an Thomas für die Links). Thomas schreibt:

Wenn man in der Systemsteuerung (Control Panel) – Wartung (Maintenance) – Nach Lösungen suchen (Check for solutions) auswählt und sich der Windows Error Reporting Service verbinden will, kommt es zu diesem Fehler.

Das Problem ist auch schon anderen Administratoren aufgefallen. Auf Microsoft Answers findet sich dieser englische Forenthread, der das Event ID 36871 mit dem TLS-Error 10013 ebenfalls thematisiert.

SChannel Error 36871:
"A fatal error occurred while creating a TLS client credential. The internal error state is 10013."

Im Forenthread schreibt der Betroffene, dass die erneute Aktivierung von SSLv3.0 in IISCrypto den SChannel-Fehler bei ihm behoben habe. Vielleicht als Hinweis an Administratoren in diesem Bereich hilfreich – danke an Thomas für die Tipp.


Anzeige


Anzeige

Dieser Beitrag wurde unter Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu TLS 1.2: Windows Error Reporting Service wirft Fehler

  1. Bernd P, Germany sagt:

    es gibt einen anderen Fix inzwischen. Löschen einer Zertifikatsliste im AuthRoot Zweig die drunter nur zu Cachingzwecken angelegt wird letztlich und wenn zuviel davon da sind findet offenbar keine Auswahl mehr statt.
    Die Wiederaktivierung von SSLv3 ist jedenfalls kein Fix, sondern eher eine ziemlich marode Brücke mit fehlenden Brettern über die man besser nicht mehr laufen sollte.
    Ich für meinen Teil habe alte Suiten manuell aus dem System entfernt. Sämtliches was nicht mehr konform mit der PCIDSS Richtlinie geht. Ältere Algorithmen muss man zwar im System behalten bisher, aber nicht mehr für Verkehre per TLS verwenden. Und MS tut gut daran, auch die gesamte Client-Server-und interdomänen-Kommunikation vollständig auf starke Algorithmen, starke Zertifikate und Hashing bzw. insgesamt hochgradige Verschlüsselung umzustellen, dann könnte man auch den ganzen alten vorhandenen und noch von Uralt-Windows mitgeschleppten Algorithmenkäse da verbannen ausser AES und starkes Kerberos das damit arbeitet. MS hat immer noch eine riesige Latte an Altlasten im System auch diesbezüglich und sollte sich davon schnellstens befreien (und dann bitte auch TLS 1.3 einführen – zeitnah)

  2. Kurt sagt:

    Hallo Bernd,
    ich stelle bei mir gerade das selbe Problem auf Server 2019 mit Exchange fest.
    Hast Du allenfalls eine kurze aber genaue Beschreibung, was du wo gelöscht hast?
    Danke im Voraus.

  3. Christoph sagt:

    Das Problem kann auch sein, dass NET Framework nicht mit bekommt, dass TLS 1 und 1.1 deaktiviert wurden.
    Mittels Registry und Reboot kann man das ändern.

    Windows Registry Editor Version 5.00

    ; NET 3.5
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
    "SystemDefaultTlsVersions"=dword:00000001

    ; NET 4.x
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001

  4. Christian Sieber sagt:

    Grüße,

    mein PC startet sich seit heute beim spielen mit "Es wurde ein Problem festgestellt" neu und habe im Ereignisprotokoll diesen oben genannten Fehler gefunden. Hat dieser mit dem Zwangsneustart zutun? Bitte um Hilfe, bin nämlich nicht so affin wie ihr, eher ein Leihe aber mit Verständnis der Sache. Nur weiß ich oft nicht, was der Fehler ist :D
    Danke im Voraus.
    Mit besten Grüßen

  5. Jathagrimon sagt:

    Hallo

    Ich muss das Thema wieder aufrollen. Habe den gleichen Fehler und bekomme den mit den Tipps oben nicht weg.
    Ich nutze einen Windows Server 2019 und konnte feststellen, dass ich die "Client Protocols" TLS 1.0 und 1.1 aktiviert lassen muss um die Fehlermeldung nicht zu erhalten.

    Nun stellt sich die Frage ob das ein sicherheitsrelevantes Problem darstellt?
    Bei den "Server Protocols" ist einzig TLS 1.2 aktiviert.

    Wäre dankbar für eine Einschätzung.

  6. Nick sagt:

    Have added all the registry keys mentioned above and also checked the Third Party Certificates as well has running IIS Crypto to force Best Practices suite. Clients are still reporting this error. Anyone have any ideas on this

  7. Rico sagt:

    HI, ich hab den selben Fehler aber nur bei Verbindung mit einem server da wir die doppelt haben, kann ich sagen das es nur bei diesem einen, aber sporadisch auftritt und ich mich nicht anmelden kann

  8. Christopher Konrads sagt:

    Gibt es hierzu etwas neues? Unser DC hat haufenweise Einträge dieser Art. Zusätzlich kommen noch Schannel 36875 Warnings hinzu. Wir verwenden Server 2016 (aktueller Patchlevel) und Hybrid-Sync mit AAD.

    36871 Schwerwiegender Fehler beim Erstellen der Client-Anmeldeinformationen für TLS. Der interne Fehlerstatus ist 10013.
    36875 Der Remoteserver fordert die TLS-Clientauthentifizierung an, aber es wurde kein geeignetes Clientzertifikat gefunden. Es wird versucht, eine anonyme Verbindung herzustellen. Die TLS-Verbindungsanforderung ist abhängig von den Richtlinieneinstellungen des Servers erfolgreich oder fehlerhaft.

  9. Roland sagt:

    Habe das gleiche Phänomen, auch haufenweise Schannel-Warnungen und 36874-Fehler. Abwechselnd lautet die Meldung "Eine TLS1.0-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt" oder "Eine TLS1.1-Verbindungsanforderung …". Bei mir tritt das auf einer alten Windows 7-Partition auf, die ich als "Notfall-Partition" neben der Hauptpartition (Windows 10) noch mitschleppe. Das System funktioniert ganz ordentlich, nur diese ganzen Fehlermeldungen sind unschön. Habe auch all die Registry-Einträge in den bisherigen Posts hier gesetzt, ohne Erfolg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.