Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Otravný error 36888 s hodnotou 10 na TMG
květen 31
Otravný error 36888 s hodnotou 10 na TMG

Hardcore, včera jsme konečně identifikovali tu podivnou chybu, kterou se mi zahlcují některá TMG (Threat Management Gateway). Možná jste to už viděli. Je to chyba:

Log: System
Event ID: 36888
Source: Schannel
Level: Error
Message: The following fatal alert was generated: 10. The internal error state is 10.

... a buď to normálně nenastává, nebo to naopak nastává v masivním počtu. Tak už vím proč. Ale ještě pořád nevím, jak se toho zbavit, tedy nejspíš nelze vypnout to logování, takže prostě v logu uvidíte víceméně jenom tohle.

Důvod?

Tohle se děje, když máte zapnutu SSL Inspection (HTTPS Inspection) na TMG. A dělá to Skype. Proč?

Jak už jsem popisoval v článku o rozcházení Skype přes TMG, Skype sice chodí přes standardní HTTPS port (TCP 443), ale ve skutečnosti to není SSL. Skype je potvora, má vlastní šifrování a jenom zneužívá standardní port. A to je ten kámen úrazu. Pokud máte zapnutu HTTP inspekci, TMG se při každém pokusu o připojení TCP 443 snaží stáhnout certifikát serveru, ještě dříve, než tam pustí toho klienta. No a když to není SSL, tak tomu knihovna schannel nerozumí a zaloguje tu otravnou hlášku.

Řešení? Neexistuje. Můžete buď vypnout HTTPS Inspection, což asi nechcete, když jste si ji zapínali. Nebo můžete odinstalovat všechny Skype. Taky dobrý nápad, že? Řešení by bylo, kdyby se to logování dalo nějak v té knihovně schannel vypnout. A to nevím, spíš bych řekl, že to nejde.

 

Comments

schennel logging

vypnout logovani asi jde, viz
http://support.microsoft.com/kb/260729
VasekB on 1.6.2012 20:37

Re: Otravný error 36888 s hodnotou 10 na TMG

kůl, díky! musím to vyzkoušet!
ondass on 2.6.2012 9:16

Re: Otravný error 36888 s hodnotou 10 na TMG

A co ve Skype vypnout použití portu 443 ?
(Nástroje, nastavení, rozšířené, spojení)
Josef on 15.9.2014 11:35

Re: Otravný error 36888 s hodnotou 10 na TMG

Stejná chyba a se vyskytla i v OS, kde Skype nikdy nebyl.
OS W7 SP1 aktuální v AD.
Vzhledem k tomu, že se jedná o chybu nejstarší verze protokolu TLS,
vypnul jsem v konfiguraci IE kompromitovaný protokol TLS v.1.0.
Chyba se po restartu OS už neobjevila.
Milan
MilanR1 on 4.6.2018 10:55

Re: Otravný error 36888 s hodnotou 10 na TMG

Stejná chyba a se vyskytla i v OS, kde Skype nikdy nebyl.
OS W7 SP1 aktuální v AD.
Vzhledem k tomu, že se jedná o chybu nejstarší verze protokolu TLS,
vypnul jsem v konfiguraci IE kompromitovaný protokol TLS v.1.0.
Chyba se po restartu OS už neobjevila.
Milan
MilanR1 on 6.6.2018 11:59

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments