TLS 1.2: Windows Error Reporting Service wirft Fehler

Bei der Umstellung auf die Transportverschlüsselung TLS 1.2 kann es sein, dass der Windows Error Reporting Service nicht mehr funktioniert und Fehler ausspuckt.


Anzeige

Kürzlich hat heise.de in diesem Artikel berichtet, dass die Transportverschlüsselung TLS 1.3 von der IETF offiziell als RFC 8446 verabschiedet wurde. Da fiel mir ein, dass mich Blog-Leser Thomas B. Ende Juli 2018 auf ein Problem bei TLS 1.2 hingewiesen hat, auf das er gestoßen ist. Thomas schrieb:

Im Zuge des Hardening auf TLS 1.2 (RDP, Exchange, SQL, Server 2008R2/2012R2) ist mir folgendes aufgefallen.

Nachdem nur noch TLS 1.2 zugelassen wird, funktioniert der Windows Error Reporting Service nicht mehr und löst einen Event Id 36871 Schannel-Fehler im Ereignisprotokoll / Systemlog aus. Jedenfalls unter Windows Server 2008 R2 SP1.

Zum TLS 1.2-Hardening hat Björn Walter beispielsweise einige Artikel veröffentlicht. Microsoft hat rund um das Thema Beiträge wie TLS/SSL Settings oder Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2 und TLS 1.2 support for Microsoft SQL Server veröffentlicht (danke an Thomas für die Links). Thomas schreibt:

Wenn man in der Systemsteuerung (Control Panel) – Wartung (Maintenance) – Nach Lösungen suchen (Check for solutions) auswählt und sich der Windows Error Reporting Service verbinden will, kommt es zu diesem Fehler.

Das Problem ist auch schon anderen Administratoren aufgefallen. Auf Microsoft Answers findet sich dieser englische Forenthread, der das Event ID 36871 mit dem TLS-Error 10013 ebenfalls thematisiert.

SChannel Error 36871:
“A fatal error occurred while creating a TLS client credential. The internal error state is 10013.”

Im Forenthread schreibt der Betroffene, dass die erneute Aktivierung von SSLv3.0 in IISCrypto den SChannel-Fehler bei ihm behoben habe. Vielleicht als Hinweis an Administratoren in diesem Bereich hilfreich – danke an Thomas für die Tipp.


Anzeige
Dieser Beitrag wurde unter Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu TLS 1.2: Windows Error Reporting Service wirft Fehler

  1. Bernd P, Germany sagt:

    es gibt einen anderen Fix inzwischen. Löschen einer Zertifikatsliste im AuthRoot Zweig die drunter nur zu Cachingzwecken angelegt wird letztlich und wenn zuviel davon da sind findet offenbar keine Auswahl mehr statt.
    Die Wiederaktivierung von SSLv3 ist jedenfalls kein Fix, sondern eher eine ziemlich marode Brücke mit fehlenden Brettern über die man besser nicht mehr laufen sollte.
    Ich für meinen Teil habe alte Suiten manuell aus dem System entfernt. Sämtliches was nicht mehr konform mit der PCIDSS Richtlinie geht. Ältere Algorithmen muss man zwar im System behalten bisher, aber nicht mehr für Verkehre per TLS verwenden. Und MS tut gut daran, auch die gesamte Client-Server-und interdomänen-Kommunikation vollständig auf starke Algorithmen, starke Zertifikate und Hashing bzw. insgesamt hochgradige Verschlüsselung umzustellen, dann könnte man auch den ganzen alten vorhandenen und noch von Uralt-Windows mitgeschleppten Algorithmenkäse da verbannen ausser AES und starkes Kerberos das damit arbeitet. MS hat immer noch eine riesige Latte an Altlasten im System auch diesbezüglich und sollte sich davon schnellstens befreien (und dann bitte auch TLS 1.3 einführen – zeitnah)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.