Возникло следующее неустранимое предупреждение 40 внутреннее состояние ошибки 1205

SQL Server 2014 Developer SQL Server 2014 Developer SQL Server 2014 Enterprise SQL Server 2014 Enterprise SQL Server 2014 Enterprise Core SQL Server 2014 Enterprise Core SQL Server 2014 Express SQL Server 2014 Express SQL Server 2014 Standard SQL Server 2014 Standard SQL Server 2014 Web SQL Server 2014 Web SQL Server 2014 Developer SQL Server 2014 Developer SQL Server 2014 Enterprise SQL Server 2014 Enterprise SQL Server 2014 Standard SQL Server 2014 Standard Еще…Меньше

Обновлено 20.06.2019

Добрый день! Уважаемые читатели и гости крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами научились ремонтировать ваше оборудование в операционных системах Windows, у которых был статус ошибки «Запуск этого устройства невозможен. (код 10)». Двигаемся дальше и мы рассмотрим ситуацию, когда у вас на компьютере или сервере в журналах событий, фиксируется ошибка «Schannel ID 36887: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40«. Мы рассмотрим на сколько критичны данные события и стоит ли на них обращать внимание.

Описание ошибки Schannel 3688

И так я проводил оптимизацию своей RDS фермы, кто не помнит, то в последнем посте я производил удаление неактивных портов TS. После после выполненной оптимизации я перезагрузил RDSH сервер и стал мониторить наличие новых и старых ошибок. Мое внимание привлекла ошибка из системного журнала логов Windows.

Ошибка «СИСТЕМА», Источник Schannel ID 3688: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 70.

Что такое Secure Channel

Schannel означает Secure Channel — библиотека, криптографический провайдер (Security Support Provider — SSP) — Защищенный канал, который содержит набор протоколов безопасности, которые обеспечивают зашифрованную идентификацию и безопасную связь. Пакет используется программным обеспечением, использующим встроенные SSL и TLS, в том числе IIS, Active Directory, OWA, Exchange, Internet Explorer и Центр обновления Windows.

Как избавиться от ошибки Schannel 36887

Для начала вам необходимо понять, что за процесс или приложение вызывает данную ошибку. Что мы делаем, открываем самое свежее оповещение и переходим на вкладку подробности, режим XML. Находим тут строку «<Execution ProcessID=»696« ThreadID=»26540« />«, как видим ошибку вызывает процесс с ID 696

Далее нам необходимо понять, что это за процесс, для этого откройте командную строку или окно PowerShell и введите команду:

tasklist /svc | findstr 696

В результате мы видим отфильтрованный вывод всех процессов у которых в ID встречается 696. Оказывается, что 696 ID имеет процесс lsass.exe, системный процесс Windows, но тут может быть и другой процесс, например, geforce experience, удалив который или обновив, вы избавитесь от ошибки 36887. Но в моем случае, это lsass.exe.

Я стал искать закономерности в работе данного сервера и мне удалось ее обнаружить. Теперь я точно определил, когда происходят эти события в Schannel.  Они возникают только тогда, когда я пытаюсь получить безопасное подключение к интернет-банкингу службы одного конкретного банка.  Они не возникают, когда я пытаюсь получить безопасное соединение с любым другим онлайн-сервисом.  Похоже, что-то пошло не так во время обмена рукопожатиями SSL/TLS. В таком случае вы можете поступить двумя путями:

• Позвонить в банк и разобраться почему они не используют TLS 1.2
• Отключить в Internet Explorer использование TLS 1.2 и запретить в журналах Windows регистрацию событий «Schannel ID 3688: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40«

Правильный метод

На время пока у вас идет общение с представителями клиент-банка, вы можете в реестре Windows запретить журналирование для данного события. Для этого откройте ветку:

HKLMSystemCurrentControlSetControlSecurityProvidersSCHANNEL

Найдите ключ EventLogging и выставите ему значение 0.

• 0 — не записывать в журнал
• 1 — записывать в журнал ошибок
• 2 — записывать в журнал предупреждений
• 3 — Журнал информационные и успешные события

После внесения ключа реестра, может потребоваться перезагрузка компьютера или сервера.

Более грубый метод

Чтобы отключить в системе появление событий Schannel ID 3688 вам необходимо открыть ваш браузер Internet Explorer 11 и перейти в раздел  «Свойства браузера»

Далее идем на вкладку «Дополнительно», где выключаем пункт «Использовать TLS 1.2», что не совсем правильно с точки зрения безопасности. Перезапускаем браузер и пользуемся своим клиент-банком.

На этом у меня все, мы с вами рассмотрели причины и решения ошибки с кодом ID 3688. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Форум КриптоПро
 » 
Общие вопросы
 » 
Общие вопросы
 » 
Разные типы взаимодействия с удаленными пользователями

slmaxim	#1 Оставлено : 21 августа 2012 г. 21:59:54(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 21.08.2012(UTC) Сообщений: 8	Добрый день. Существует две задачи организации удаленного взаимодействия клиента и сервера в рамках организации, соответственно, двух ИСПДн. Одна ИСПДн, локальная, развернутая на сервере, — далее, ИСПДн-1, — работает по принципу удаленного портала (хранилища ПДн), клиентами которого являются соответственно субъекты ПДн. Соответственно, клиентов (субъектов ПДн) может быть произвольное количество, входить они могут с нефиксированных ПЭВМ. Вторая ИСПДн, распределенная, — ИСПДн-2, — имеет развернутые на сервере компоненты и АРМ удаленных пользователей (операторов ИСПДн), на которых обрабатываются ПДн субъектов. Количество АРМ и их задачи фиксированы в рамках организации, они территориально удалены от системы, доступ организован через сеть Интернет. Соответственно, в рамках ИСПДн-2 имеется возможность установить на АРМ операторов любое ПО, в том числе — платное. Компьютеры клиентов ИСПДн-1 необходимо подготовить к защищенному взаимодействию максимально просто и бесплатно, т.к. это может быть абсолютно любой пользователь сети Интернет. Насколько я понимаю, в случае ИСПДн-1 (да и в случае ИСПДн-2, мне кажется) может быть применен подход, описанный здесь — http://www.cryptopro.ru/….aspx?g=posts&t=3136 . То есть бесплатное использование криптопровайдера с модулем TLS возможно при условии, что клиент аутентифицирует сервер, а не на наоборот. Однако, здесь — http://cryptopro.ru/foru….aspx?g=posts&t=3831 — говорится о том, что использование криптопровайдера CSP бесплатно возможно только для проверки ЭЦП. О защите канала (т.е. об односторонней аутентификации и шифровании канала https) нет ни слова. В официальном описании КриптоПро CSP также нет информации о свободном использовании. Не могли бы вы разъяснить этот вопрос? Также, не могли бы вы дать информацию о том, что должно быть установленно на сервере, к которому будут обращаться клиенты (субъекты ПДн) ИСПДн-1? Согласно ссылке на FAQ, для этого достаточно серверной версии криптопровайдера, но здесь — http://www.cryptopro.ru/….aspx?g=posts&t=3133 — описывается похожая задача и приводится информация о необходимости приобретения дополнительно одной лицензии для клиента. Не могли бы вы разъяснить эту коллизию? Также интересуют вопросы ключевого распределения. Я правильно понимаю, что если мы устанавливаем КриптоПро на каждый АРМ клиента ИСПДн-2, мы будем иметь разные ключи для каждого пользователя, а в случае ИСПДн-1 все клиенты портала будут работать на одном ключе, который будут получать у сервера? Итак, резюме: — можно ли использовать КриптоПро без ввода серийного номера (скачиваемую с офф. сайта версию) для работы https с ГОСТ-шифрованием с удаленным сервером? — какие продукты КриптоПро должны быть приобретены для сервера, чтобы организовать бесплатную работу клиентов? — какие особенности ключевого распределения в случае установки оплаченного клиента и бесплатного использования? Заранее благодарю за ответ.

Юрий Маслов	#2 Оставлено : 28 августа 2012 г. 20:23:45(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах	slmaxim написал: Насколько я понимаю, в случае ИСПДн-1 (да и в случае ИСПДн-2, мне кажется) может быть применен подход, описанный здесь — http://www.cryptopro.ru/….aspx?g=posts&t=3136 . То есть бесплатное использование криптопровайдера с модулем TLS возможно при условии, что клиент аутентифицирует сервер, а не на наоборот. Однако, здесь — http://cryptopro.ru/foru….aspx?g=posts&t=3831 — говорится о том, что использование криптопровайдера CSP бесплатно возможно только для проверки ЭЦП. О защите канала (т.е. об односторонней аутентификации и шифровании канала https) нет ни слова. В официальном описании КриптоПро CSP также нет информации о свободном использовании. Не могли бы вы разъяснить этот вопрос? Мы подтверждаем, что бесплатно (без ввода лицензии и без ввода серийного номера) можно использовать в следующих случаях: — для проверки электронной подписи; — для защиты информации при использовании одностороннего TLS; — для вычисления значения хеш-функции. slmaxim написал: Также, не могли бы вы дать информацию о том, что должно быть установленно на сервере, к которому будут обращаться клиенты (субъекты ПДн) ИСПДн-1? Согласно ссылке на FAQ, для этого достаточно серверной версии криптопровайдера, но здесь — http://www.cryptopro.ru/….aspx?g=posts&t=3133 — описывается похожая задача и приводится информация о необходимости приобретения дополнительно одной лицензии для клиента. Не могли бы вы разъяснить эту коллизию? Я внимательно перечитал указанный Вами http://www.cryptopro.ru/….aspx?g=posts&t=3133 но не нашёл информации о необходимости приобретения дополнительно одной лицензии для клиента. Достаточно приобретения лицензии СКЗИ «КриптоПро CSP» на сервер. Но перед Вами стоит задача изготовить сертификат для веб-сервера на Ваш сервер. Как будете её решать? Варианта три: Вариант 1: Если веб-сервер стоит на Windows Server то Вы устанавливаете на этом сервере службу сертификации из состава Windows Server и выпускаете на нём сертификат серверной аутентификации. Потом удаляете эту службу. Вариант 2: Берёте комп, устанавливаете на нём Windows Server. Потом устанавливаете СКЗИ «КриптоПро CSP» с лицензией на рабочее место (вот она эта клиентская лицензия!!!). Потом Вы устанавливаете на этом компе службу сертификации из состава Windows Server и выпускаете на нём сертификат серверной аутентификации. Вариант 3: Покупаете у кого-либо SSL-сертификат на ГОСТах. slmaxim написал: Также интересуют вопросы ключевого распределения. Я правильно понимаю, что если мы устанавливаем КриптоПро на каждый АРМ клиента ИСПДн-2, мы будем иметь разные ключи для каждого пользователя, а в случае ИСПДн-1 все клиенты портала будут работать на одном ключе, который будут получать у сервера? В ИСПДн-1 у клиентов нет личных ключей. При установлении соединения клиента с сервером вырабатывается сессионный ключ шифрования. Он уникальный для кадого клиента и действует только на сессию. В ИСПДн-2 у клиентов есть личные ключи. Вот тут и появляются вопросы ключевого распределения. Т.е. их нужно сгенерить, оформить в виде ключевого документа и передать клиенту. slmaxim написал: — можно ли использовать КриптоПро без ввода серийного номера (скачиваемую с офф. сайта версию) для работы https с ГОСТ-шифрованием с удаленным сервером? Да, можно. slmaxim написал: — какие продукты КриптоПро должны быть приобретены для сервера, чтобы организовать бесплатную работу клиентов? Лицензия на право использования СКЗИ «КриптоПро CSP» на одном сервере и дистрибутив СКЗИ. slmaxim написал: — какие особенности ключевого распределения в случае установки оплаченного клиента и бесплатного использования? Описал их выше. Т.е. при бесплатном использовании нет ключевого распределения. При платном — есть.
С уважением, КРИПТО-ПРО
	WWW

besoft	#3 Оставлено : 5 октября 2012 г. 17:35:06(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.08.2012(UTC) Сообщений: 24 Откуда: Москва Сказал(а) «Спасибо»: 1 раз	Добрый день. Как я понял, модуль TLS можно использовать для односторонней (на стороне клиента) аутентификации сервера без покупки лицензии для клиента. А можно ли использовать TLS для двухсторонней (клиент-сервер) аутентификации во время действия пробного периода использования КриптоПро 3.6 R2? Очень хотелось бы проверить возможность двухсторонней аутентификации для публикации веб-сервера Заказчика (средствами TMG 2010) до того, как запланировать для него закупку клиентских лицензий КриптоПро для установки на удалённые АРМ Заказчика. Спасибо.
С уважением, besoft

MCR	#4 Оставлено : 5 октября 2012 г. 18:12:44(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 06.03.2012(UTC) Сообщений: 177 Сказал(а) «Спасибо»: 57 раз Поблагодарили: 11 раз в 8 постах	besoft написал: Добрый день. Как я понял, модуль TLS можно использовать для односторонней (на стороне клиента) аутентификации сервера без покупки лицензии для клиента. А можно ли использовать TLS для двухсторонней (клиент-сервер) аутентификации во время действия пробного периода использования КриптоПро 3.6 R2? Очень хотелось бы проверить возможность двухсторонней аутентификации для публикации веб-сервера Заказчика (средствами TMG 2010) до того, как запланировать для него закупку клиентских лицензий КриптоПро для установки на удалённые АРМ Заказчика. Спасибо. Ничего не мешает перед покупкой проверить. Для того и пробный период.

besoft	#5 Оставлено : 5 октября 2012 г. 18:29:10(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.08.2012(UTC) Сообщений: 24 Откуда: Москва Сказал(а) «Спасибо»: 1 раз	Всё так, но вопрос-то в другом: будут ли работать Модули поддержки сетевой аутентификации КриптоПро TLS, входящие в состав СКЗИ КриптоПро CSP, на сервере (TMG) и на клиенте, и будут ли они поддерживать двухсторонюю аутентификацию в этот пробный период (без введённых лицензионных ключей)?
С уважением, besoft

Андрей Писарев	#6 Оставлено : 5 октября 2012 г. 19:57:30(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,736 Сказал «Спасибо»: 451 раз Поблагодарили: 1838 раз в 1421 постах	будут MCR написал: Для того и пробный период. за это время, наверное, уже можно было проверить Отредактировано пользователем 5 октября 2012 г. 20:04:12(UTC)  | Причина: Не указана
Техническую поддержку оказываем тут Наша база знаний
	WWW

besoft	#7 Оставлено : 5 октября 2012 г. 23:16:36(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.08.2012(UTC) Сообщений: 24 Откуда: Москва Сказал(а) «Спасибо»: 1 раз	Я уже пробовал, потому и вопрос возник. При попытке аутентификации пользователя по сертификату MS Forefront TMG 2010 SP2 выдаёт вот такую ошибку: Событие 36874, Schannel «Получен запрос на подключение TLS1.0 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой». Событие 36888, Schannel «Возникло следующее неустранимое предупреждение: 40. Внутреннее состояние ошибки: 1205.» Если аутентификация клиента по HTTP — никаких проблем: запросит имя-пароль и предоставит веб-сайт. Если сертификат — то ни в какую. Вот ссылка на обсуждение на форуме по TMG:ссылка на обсуждение
С уважением, besoft

Максим Коллегин	#8 Оставлено : 6 октября 2012 г. 2:05:29(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	А серверный сертификат для TMG сделали ГОСТовый? Односторонний TLS работает? Я правильно помню, что клиентские сертификаты должны отображаться на пользователей AD? Отредактировано пользователем 6 октября 2012 г. 2:08:34(UTC)  | Причина: Не указана
Знания в базе знаний, поддержка в техподдержке
	WWW

besoft	#9 Оставлено : 6 октября 2012 г. 2:12:58(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.08.2012(UTC) Сообщений: 24 Откуда: Москва Сказал(а) «Спасибо»: 1 раз	Да, все сертификаты ГОСТовые: и УЦ (MS CA), и серверный и клиентские. Про одностороннюю тоже уже не могу сказать, работает или нет. Уже сомневаюсь. Но клиенты подключаются по HTTPS/SSL и аутентификация (клиентская) по «HTTP» тоже работает (логин и пароль из AD). Если аутентификацию клиентов отменить (поставить «Все пользователи»), то доступ к веб-сайту также предоставляется клиентам без всяких проверок (паролей, сертификатов, …). И в AD, в свойствах учетных записей, сертификаты пользователей присутствуют. Отредактировано пользователем 6 октября 2012 г. 2:14:39(UTC)  | Причина: Не указана
С уважением, besoft

Максим Коллегин	#10 Оставлено : 6 октября 2012 г. 4:14:26(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	Если бы на TMG был ГОСТ-сертификат — указанного выше сообщения об ошибке не могло бы быть. Где ключ? Если в реестре — давали доступ учетной записи TMG?
Знания в базе знаний, поддержка в техподдержке
	WWW

Форум КриптоПро
 » 
Общие вопросы
 » 
Общие вопросы
 » 
Разные типы взаимодействия с удаленными пользователями

Быстрый переход
 

Ошибки 36874, 36887, 36888 Schannel стали регулярно появляться на сервере Exchange 2013. За целый день накапливались десятки сообщений, но при этом работоспособность сервера нарушена не была .

Сокращение Schannel означает Secure Channel 1 — библиотека, криптографический провайдер (Security Support Provider — SSP), используемый для взаимодействия по протоколу http. По большому счету ошибки 36874, 36887, 36888 не сигнализируют о какой-то серьезной проблеме на сервере, а служат скорее для отладки взаимодействия с клиентами. Именно поэтому лишние оповещения от Schannel могут быть просто отключены.

Тем не менее, обилие одних и тех же ошибок Schannel осложняло диагностику на сервере и надо было от них избавляться.

Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики — Exchange 2013 — Установка, настройка, администрирование.

Устранение ошибок Schannel 36874, 36887, 36888

Традиционно в самом начале диагностические сведения об ошибках, чтобы вы могли их точно идентифицировать у себя. Schannel 36874:

Здравствуйте, подскажите что это за ошибка и как ее исправить (случилась на облаке)?

6 комментариев

Это значит, что одновременно выполняется много SQL-запросов к одной базе данных. В нормальных условиях запросы выполняются очень быстро (доли секунды) и накладываются друг на друга крайне редко. Такое одновременное наложение друг на друга большого количества запросов по времени может происходить в следующих ситуациях:

1. У вас ОЧЕНЬ высокая посещаемость сайта, и при открытии страниц SQL-запросы выполняются ОЧЕНЬ часто.
2. При открытии страниц выполняются медленные SQL-запросы. Если даже небольшое количество пользователей более-менее одновременно откроют страницу (или выполнят другое действие на сайте — например, запустят поиск), которые используют такие медленные запросы, то они легко наложатся друг на друга. Медленные запросы обычно свидетельствуют о неоптимально написанном программном коде приложения или плагина, которые используются на страницах сайта. Если есть информация, на каких страницах у вас чаще всего возникает такая ошибка и какие действия пользователи выполняют перед возникновением ошибки, то это может помочь выяснить, используется ли какой-то плагин на таких страницах. Такую информацию можно попробовать получить из логов веб-сервера и сервисов наподобие «Гугл-аналитики» и «Яндекс.Метрики».

Медленные SQL-запросы могут выполняться и без установки плагинов. Например, если у вас ОЧЕНЬ большой каталог товаров и настроены фильтры в категориях, то одновременное применение фильтров большим количеством пользователей может привести к тому, что сразу будет выполнено большое количество медленных SQL-запросов, которые требует больше времени, чем обычно, чтобы получить информацию из базы данных. Такая ситуация может возникнуть, например, если вы рекламируете ссылки на заранее подготовленные результаты фильтрации товаров в категориях по каким-то параметрам (характеристикам), и по этим ссылкам из ваших рекламных объявлений более-менее одновременно переходит сразу большое количество посетителей.

Другая ситуация, когда это бывает возможно: если у вас в теме дизайна используются нестандартные размеры изображений товаров и включено формирование эскизов изображений «на лету». При одновременном первом открытии разных страниц витрины формируется большое количество новых нестандартных эскизов. Для получения информации о каждом эскизе PHP-скрипт обращается к базе данных. Если на странице, скажем, 30 новых изображений, которые нужно сформировать «на лету», и таких страниц много, и все они открываются большим количеством посетителей в сравнительно сжатый период времени (что довольно маловероятно, но теоретически возможно), то начинают выполняться сразу много SQL-запросов с той же самой ошибкой «слишком много подключений».

Как от этого избавиться: увеличить значение параметра max_user_connections в конфигурации MySQL на хостинге. В облаке персонально для вас вряд ли этот параметр будет увеличен, если только эта проблема не будет признана массовой. Поэтому сначала понаблюдайте, насколько часто и на каких страницах возникает ошибка. На основании этой информации можно будет решать, какие меры стоит предпринимать.

Как с помощью Яндекс.Метрики вычислить кривой плагин, который дает ошибку 1203?

Я искал в Интернете, но не могу найти никакой информации; почему эта ошибка возникает?

Он запустил мой просмотр событий: с интервалом в 1 минуту эта ошибка продолжает появляться. (т. е. частота составляет 1 минуту)

Этот сервер является чисто контроллером домена, и никакая другая роль не была добавлена.

Пожалуйста, предложите, что мне делать?

Серверная ОС — Windows Server 2008 R2 Standard Edition.

4 ответа

Я понимаю, что вы не используете IIS, но, похоже, другие процессы также могут вызвать это сообщение об ошибке.

Это может помочь:

Один из ваших сертификатов, скорее всего, истек. Либо разверните ADCS и создайте новый первичный корневой сертификат, либо просто удалите истекшие сертификаты и создайте новые. Надеюсь это поможет.

Отправляйтесь через этот пост, исследуя 36888 и 36874 события из SChannel на одном из наших серверов Windows 2008 R2. Я решил перекопать в KB2992611 , упомянутый в другом ответе.

36888 — это неудачный запрос SSL-запроса на TLS 1.2 — ни один из наборов шифров, поддерживаемых клиентским приложением, не поддерживается сервером.

36874 текст ошибки: появилось следующее фатальное предупреждение: 40. Внутреннее состояние ошибки — 1205.

Нижняя строка: OP предшествовал KB2992611 на 2+ года. Я не думаю, что это связано с проблемой ОП. Я не думаю, что это связано с событиями, которые я сейчас вижу.

Детали:

KB2992611 (ссылка на бюллетень по безопасности Microsoft MS14-066 ) была патч для исправления уязвимости в SChannel. Патч вызвал множество проблем и был повторно выпущен вместе со вторым обновлением 3018238 для Windows 2008 R2 и Windows Server 2012.

На нашем сервере KB2992611 был установлен еще в 2014 году, как и в последующем повторном выпуске.

В КБ2992611 добавлено 4 комплекта шифрования к 2008R2 и 2012:

[. ] Некоторые клиенты сообщили о проблеме, связанной с добавлением следующих новых наборов шифров для Windows Server 2008 R2 и Windows Server 2012: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 [. ]

На данный момент у нас нет разрешенных наборов шифрования TLS_DHE, но два упомянутых набора TLS_RSA включены.

Хотя эти ошибки происходят полурегулярно (не заливаясь), они не кажутся серьезными. Я больше не собираюсь тратить время на беспокойство о них. Мое объяснение заключается в том, что кто-то пытается получить доступ к серверному ресурсу, используя слабый, отключенный набор шифров, возможно, TLS_DHE_XXX.

Ничего подобного с устаревшими сертификатами lol, вызванными патчем под названием KB2992611, вы должны отключить несколько наборов шифров. очень легко сделать в 2012 году, но не в 2008 году.

Но да, ничего общего с истекшими сертификатами LOL