Ошибка Schannel 36887 lsass.exe, решаем за минуту

error logo

Добрый день! Уважаемые читатели и гости крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами научились ремонтировать ваше оборудование в операционных системах Windows, у которых был статус ошибки "Запуск этого устройства невозможен. (код 10)". Двигаемся дальше и мы рассмотрим ситуацию, когда у вас на компьютере или сервере в журналах событий, фиксируется ошибка "Schannel ID 36887: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40". Мы рассмотрим на сколько критичны данные события и стоит ли на них обращать внимание.

Описание ошибки Schannel 3688

И так я проводил оптимизацию своей RDS фермы, кто не помнит, то в последнем посте я производил удаление неактивных портов TS. После после выполненной оптимизации я перезагрузил RDSH сервер и стал мониторить наличие новых и старых ошибок. Мое внимание привлекла ошибка из системного журнала логов Windows.

Ошибка "СИСТЕМА", Источник Schannel ID 3688: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40.

С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40.

Ошибка "СИСТЕМА", Источник Schannel ID 3688: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 70.

Schannel ID 3688: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 70

Что такое Secure Channel

Schannel означает Secure Channel — библиотека, криптографический провайдер (Security Support Provider — SSP) - Защищенный канал, который содержит набор протоколов безопасности, которые обеспечивают зашифрованную идентификацию и безопасную связь. Пакет используется программным обеспечением, использующим встроенные SSL и TLS, в том числе IIS, Active Directory, OWA, Exchange, Internet Explorer и Центр обновления Windows.

Как избавиться от ошибки Schannel 36887

Для начала вам необходимо понять, что за процесс или приложение вызывает данную ошибку. Что мы делаем, открываем самое свежее оповещение и переходим на вкладку подробности, режим XML. Находим тут строку "<Execution ProcessID="696" ThreadID="26540" />", как видим ошибку вызывает процесс с ID 696

Узнаем ProcessID Schannel 3688

Далее нам необходимо понять, что это за процесс, для этого откройте командную строку или окно PowerShell и введите команду:

tasklist /svc | findstr 696

В результате мы видим отфильтрованный вывод всех процессов у которых в ID встречается 696. Оказывается, что 696 ID имеет процесс lsass.exe, системный процесс Windows, но тут может быть и другой процесс, например, geforce experience, удалив который или обновив, вы избавитесь от ошибки 36887. Но в моем случае, это lsass.exe.

Поиск ID процесса из командной строки

Я стал искать закономерности в работе данного сервера и мне удалось ее обнаружить. Теперь я точно определил, когда происходят эти события в Schannel.  Они возникают только тогда, когда я пытаюсь получить безопасное подключение к интернет-банкингу службы одного конкретного банка.  Они не возникают, когда я пытаюсь получить безопасное соединение с любым другим онлайн-сервисом.  Похоже, что-то пошло не так во время обмена рукопожатиями SSL/TLS. В таком случае вы можете поступить двумя путями:

  • Позвонить в банк и разобраться почему они не используют TLS 1.2
  • Отключить в Internet Explorer использование TLS 1.2 и запретить в журналах Windows регистрацию событий "Schannel ID 3688: С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40"

Правильный метод

На время пока у вас идет общение с представителями клиент-банка, вы можете в реестре Windows запретить журналирование для данного события. Для этого откройте ветку:

HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Найдите ключ EventLogging и выставите ему значение 0.

  • 0 - не записывать в журнал
  • 1 - записывать в журнал ошибок
  • 2 - записывать в журнал предупреждений
  • 3 - Журнал информационные и успешные события

После внесения ключа реестра, может потребоваться перезагрузка компьютера или сервера.

EventLogging

Более грубый метод

Чтобы отключить в системе появление событий Schannel ID 3688 вам необходимо открыть ваш браузер Internet Explorer 11 и перейти в раздел  "Свойства браузера"

Свойства браузера IE11

Далее идем на вкладку "Дополнительно", где выключаем пункт "Использовать TLS 1.2", что не совсем правильно с точки зрения безопасности. Перезапускаем браузер и пользуемся своим клиент-банком.

Выключение TLS 1.2 в IE11

На этом у меня все, мы с вами рассмотрели причины и решения ошибки с кодом ID 3688. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Оцените статью
Настройка серверов windows и linux
Добавить комментарий

  1. Роман

    Красава! Более грамотного разбора проблемы, я не видел! Респект!

  2. Иван Семин автор

    Спасибо.

  3. Денис

    Иван, спасибо за статью.
    Рад, конечно, что у вас дело оказалось в банкинге.
    В моём случае ошибки сыпятся при попытке создания rdp сессии. Тоже в сторону TLS1.2 копнуть?

  4. Иван Семин автор

    А ошибка так же звучит и с таким же номером ID?

  5. Трындюк

    Это круто. Может я чего не так понял, но тогда разъясните мне, тугодуму. Вы предлагаете не журналировать проблему и всё?
    Проблема есть, но мы тупо закрываем на неё глаза?
    Гениально, млин. Вы — кулхацкер фарева.

  6. Андрей

    Трындюку:
    Непремлемо неуважить человека, который пытается разобрать тему.
    И при этом не предложить альтенативу.

  7. man_ad

    Согласен с Трындюк, скрытие логирования не дает решения проблемы, если она есть.
    Мне вот нечего предложить альтернативное, в общем-то я сюда пришел найти решение, но его как-такого нет (?)
    У меня тоже иногда появляются такие сообщения.

  8. Иван Семин автор

    Какая у вас ОС и при каких ситуациях появляется проблема?

  9. Евгений

    Добрый день, а как быть, если этот процесс svchost.exe&

  10. Александр

    Добрый вечер .эта ошибка отмечаеца в одну секунду раза по 4.при этом чистый рабочий стол и ничего неделал премерно час.вообще решение есть?весь инет перерыл.даже америкосы задоют вопросы

  11. ilisab

    В этой ошибке виноват Nvidia GeForce Experence.
    Удалите его.

  12. Антон Юрьевич

    Спасибо большое за короткое и быстрое решение проблемы! Не подключался к RDP из-за установленного расширения «browsec vpn» в Яндекс.браузере у пользователя, причем соединение не было инициировано, а сам браузер был закрыт. Но стояла галка «разрешать работу браузера в фоновом режиме». С помощью вашего метода нашел виновный процесс «browser.exe» и решил проблему. Еще раз спасибо!

  13. Fenix

    Супер! Хотелось бы найти побольше таких адекватных писателей в интернете.

  14. Павел

    Добавлю свои комментарии.
    Schannel ID 36887: …. The TLS protocol defined fatal alert code is 40.

    Говорит о том, что одна из ваших программ пытается установить защищённое/шифрованное соединение.
    Одна из ваших программ запускает шифрованный канал используя протокол TLS версии 1.2 или 1.3 а внутри протокола используются системы шифрования (Cipher).

    Системы шифрования подключаемые внутри протокола могут быть разными, например,
    +ECDHE-ECDSA-AES128-GCM-SHA256:
    -ECDHE-RSA-AES128-GCM-SHA256:
    +ECDHE-ECDSA-AES256-GCM-SHA384:
    -ECDHE-RSA-AES256-GCM-SHA384:
    -ECDHE-ECDSA-CHACHA20-POLY1305:
    -ECDHE-RSA-CHACHA20-POLY1305:
    +DHE-RSA-AES128-GCM-SHA256:
    +DHE-RSA-AES256-GCM-SHA384:
    -TLS_AES_128_GCM_SHA256:
    -TLS_AES_256_GCM_SHA384:
    -TLS_CHACHA20_POLY1305_SHA256;

    И если вторая сторона, с которой устанавливается такое шифрованное соединение, не поддерживает версию протокола TLS, которую использует ваша программа или не поддерживает ни один из имеющихся у вас на операционке Cipher, то вы получите такую ошибку.