Schannel error messages are common and can have many different causes. Here is a rather specific error message that occurred on a Windows Server 2022 after the operating system underwent standard hardening. After disabling outdated cipher suites and SSL / TLS protocols, the following error message appeared very frequently in the system event log:
Source: Schannel
Event ID: 36871
A fatal error occurred while creating a TLS client credential. The internal error state is 10013.
The SSPI client process is svchost[wlidsvc] (PID: 4828).
Die Lösung dieses Problems war recht einfach, denn die Fehlermeldung weißt schon in die richtige Richtung. Die Fehlermeldung weißt darauf hin, dass der problematische Dienst „wlidsvc“ ist, welcher von „svchost“ gestartet wird (siehe Screenshot der Fehlermeldung). WLIDSVC gehört zu dem Dienst „Microsoft Account Sign-In Assistant“ und ermöglichst die Anmeldung mit Microsoft Accounts. Auf Windows Servern wird dieser Dienst allerdings nicht benötigt und kann daher deaktiviert werden:
Der Dienst „Microsoft Account Sign-In Assistent“ steht in der Standardeinstellung auf der Startart „Manuell“ und startet zyklisch. Immer wenn der Dienst gestartet wird, kommt es zu den oben angegebenen Fehlermeldungen in Eventlog. Bei Windows Server 2016 war es noch in Ordnung den Dienst zu deaktivieren, daher gehe ich mal davon aus, dass dies auch bei Windows Server 2022 der Fall ist. Siehe dazu hier:
After the service was deactivated, the error messages no longer occurred.
Here you can find the Microsoft Security Baselines for Windows Server 2022 and Edge:
Zum Thema „Härtung von Windows Server 2022“ wird es hier noch einen gesonderten Artikel geben.