EventID: 36888; Source: Schannel; Alert: 10; Fehlerstatus: 1203

Auf einem Windows Server mit installiertem IIS kommt es uU zu folgenden Logeinträgen, die erst mal doch recht beunruhigend klingen: »Event ID: 36888; Source: Schannel; Alert: 10; Fehlerstatus: 1203«:

Dieser Fehler (36888; 10; 1203) zeigt ein ungültiges »ClientHello« vom Client an, was in diesem Fall durch die Benutzung des HTTP-Protokolls mit Angabe des SSL Ports getriggert wird (zB: »http://www.domain.de:4343«). Dadurch wird ein Fehler mit dem Fehlercode »UNEXPECTED_MESSAGE« erzeugt. In diesem Fall ist der Fehler zu erwarten und kann ignoriert werden. Da diese Vorgehensweise nicht grundsätzlich falsch ist, scheint es auch auf den verwendeten IIS Webserver im Speziellen anzukommen. Bei uns wurde der Fehler auf einem Exchange 2010 Standard Server auf Windows Server 2008 R2 festgestellt.

Das Login kann auch in der Registry deaktiviert werden:

Key: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel

Value: (REG_SZ) EventLogging
Data: 0

Von der Deaktivierung würde ich aber nur im Ausnahmefall Gebrauch machen, da somit auch alle anderen Fehlermeldungen bzgl. dem Secure Channel ausgeblendet werden.

Weitere Schannel Fehlercodes

TLS1_ALERT_CLOSE_NOTIFY (0)
TLS1_ALERT_UNEXPECTED_MESSAGE (10)
TLS1_ALERT_BAD_RECORD_MAC (20)
TLS1_ALERT_DECRYPTION_FAILED (21)
TLS1_ALERT_RECORD_OVERFLOW (22)
TLS1_ALERT_DECOMPRESSION_FAIL (30)
TLS1_ALERT_HANDSHAKE_FAILURE (40)
TLS1_ALERT_BAD_CERTIFICATE (42)
TLS1_ALERT_UNSUPPORTED_CERT (43)
TLS1_ALERT_CERTIFICATE_REVOKED (44)
TLS1_ALERT_CERTIFICATE_EXPIRED (45)
TLS1_ALERT_CERTIFICATE_UNKNOWN (46)
TLS1_ALERT_ILLEGAL_PARAMETER (47)
TLS1_ALERT_UNKNOWN_CA (48)
TLS1_ALERT_ACCESS_DENIED (49)
TLS1_ALERT_DECODE_ERROR (50)
TLS1_ALERT_DECRYPT_ERROR (51)
TLS1_ALERT_EXPORT_RESTRICTION (60)
TLS1_ALERT_PROTOCOL_VERSION (70)
TLS1_ALERT_INSUFFIENT_SECURITY (71)
TLS1_ALERT_INTERNAL_ERROR (80)
TLS1_ALERT_USER_CANCELED (90)
TLS1_ALERT_NO_RENEGOTIATION (100)
TLS1_ALERT_UNSUPPORTED_EXT (110)

pronto 2015/11/17 16:16