概要
以下のイベントログが記録される
LogFile:System
Event Type: エラー
Category: 0
Computer Name: xxxxxxxxx
Event Code: 36888
Message: 致命的な警告が生成され、リモート エンドポイントに送信されました。これにより、接続が終了される可能性があります。TLS プロトコルで定義されているこの致命的な警告のコードは 10 です。Windows SChannel エラーの状態は 1203 です。 Record Number: 302832
Source Name: Schannel
Time Written: 2016/07/11 7:06:55
User: NT AUTHORITY\SYSTEM
ログの名前: System
ソース: Schannel
日付: 2020/07/05 15:29:16
イベント ID: 36887
タスクのカテゴリ: なし
レベル: エラー
キーワード:
ユーザー: SYSTEM
コンピューター: xxxxxxxxx
説明:
リモート エンドポイントから致命的な警告を受け取りました。TLS プロトコルで定義されているこの致命的な警告のコードは 20 です。
原因
Microsoft によると・・・ (https://support.microsoft.com/ja-jp/kb/2904855)
SSL/TLS で利用されるポート (443/tcp) に対して、SSL/TLS 以外の目的で通信を受けた場合に記録されるイベントです。具体的には、現象発生サーバーの SSL/TLS で利用されるポート (443/tcp) に対してクライアントが TCP でコネクションを確立したものの、当該コネクションに対して、Client Hello 以外のメッセージを受信した場合や、受信したClient Helloの内容が不正である場合など、正常に SSL/TLS ハンドシェイクが処理できない時に記録されます。
例えば、以下のような操作を実施した場合にも、当イベントは記録されます。
- telnet コマンドでサーバーの TCP 443 ポートに接続し、任意のデータ送信を行った場合 (telnet servername443 コマンド実行時)
- IE から HTTP でサーバーの TCP 443 ポートに接続した場合 (http://servername:443/iisstart.htm 接続時など)
- サーバー監視アプリケーションなどから、TCP 443 ポートのサービス死活監視のため、SSL 通信以外の接続を行った場合
解決方法
調査するためには、現象発生タイミングでネットワーク パケットを取得し、不正な接続要求を行った送信元を特定する必要がある。
イベントID:36881 の場合
以下のページに詳細を記載しています。
プロパティ
Windows Server 2012 R2
コメント