Exchange: Schannel 36888 / 36871 Fehler nach Erneuern des BackEnd Zertifikats

Nach der Erneuerung des Exchange Backend Zertifikats, kann es zu häufigen Schannel Fehlermeldungen im Eventlog kommen, wenn der POP3 Dienst des Exchange Servers genutzt wird. So kann es nachdem Wechsel des Zertifikats zu den folgenden beiden Fehlermeldungen kommen:

Exchange: Schannel 36888 / 36871 Fehler nach Erneuern des BackEnd Zertifikats

Quelle: Schannel

Ereignis-ID: 36871

Ebene: Fehler

Schwerwiegender Fehler beim Erstellen der Client-Anmeldeinformationen für TLS. Der interne Fehlerstatus ist 10013.

Eine weitere Meldung kann der Fehler 36888 sein, dieser tritt scheinbar häufiger auf, wenn das Exchange Backend Zertifikat ausgetauscht wurde:

Quelle: Schannel

Ereignis-ID: 36888

Ebene: Fehler

Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende
Warnung hat folgenden für das TLS-Protokoll definierten Code: 10. Der Windows-SChannel-Fehlerstatus lautet: 1203

Der Fehler 36888 lässt sich meistens beheben indem die Konfiguration des POP Dienstes angepasst wird. In der Standardkonfiguration ist die der Wert für “ExternalConnectionSettings” leer, dies kann zu dem oben beschrieben Fehler führen, da Exchange hier unter umständen das falsche Zertifikat auswählt:

POP Settings

Das Problem lässt sich aber einfach beheben in dem die entsprechenden Hostnamen für POP3 angegeben werden und an ein Zertifikat gebunden werden:

1
Set-PopSettings -ExternalConnectionSettings "mail.frankysweb.de:995:SSL","mail.frankysweb.de:110:TLS" -X509CertificateName mail.frankysweb.de

POP Settings

Nach einem Neustart des POP Dienstes sollte der Fehler verschwunden sein.

Alternativ lässt sich das Logging der Schannel Fehler auch komplett deaktivieren, dazu muss nur der folgende Registry Schlüssel geändert werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Name: EventLogging

Wert: 0

Exchange: Schannel 36888 / 36871 Fehler nach Erneuern des BackEnd Zertifikats

Der Fehler mit der EventID 36871 ist in der Regel harmlos und bedeutet, dass auf einem TLS/SSL Port, keine Verbindung zustande gekommen ist. Der Fehler lässt sich beispielsweise mit einem HTTP-Request (unverschlüsselt) gegen Port 443 auslösen, dazu reicht es einen Browser auf einem Exchange Server zu öffnen und zu versuchen die URL “http://localhost:443” aufzurufen. Nach kurzer Zeit wird der oben gezeigte Fehler im Eventlog protokolliert. Da hier keine Verbindung zustande kommt, kann der Fehler 36871 eher ignoriert werden.

Das Event 36888 welches beim POP Dienst protokolliert wird, sollte hingegen beachtet werden, beispielsweise kann es hier passieren, dass ein ein Client eine unverschlüsselte Verbindung nutzt, obwohl im Prinzip eine TLS Verbindung möglich wäre. Dies wäre beispielsweise bei SMTP und POP der Fall, wenn anstatt SMTP/POP mit TLS, unverschlüsseltes SMTP/POP ausgehandelt wird. Es ist also nicht empfehlenswert das Logging der Schannel Fehler komplett zu deaktivieren.

2 Gedanken zu „Exchange: Schannel 36888 / 36871 Fehler nach Erneuern des BackEnd Zertifikats“

  1. Hallo Franky,

    ich habe auf dem Exchange 2016 CU23 auch massenhaft diesen Fehler. Wir haben tls1.0 und 1.1 abgeschaltet. Es läßt sich anhand der Logs aber kein Schuldiger ermitteln? Das abstellen des Loggings halte ich pers nicht für gut. Vllt weißt du ja eine Möglichkeit das zu ermitteln. Oder soll ich einfach mal den Traffic mit dem KabelHai abhören wer da ständig reifunkt?

    Antworten
  2. Moin Franky, wir setzen eine Exchange 2016 CU23 ein und erhalten die Meldung „36871“ ca. alle 2 Sekunden. Pop Dienste sind bei usn jedoch nicht aktiv und die Dienste nicht gestartet. Hast du noch eine Idee?

    Danke und gruss
    Marius

    Antworten

Schreibe einen Kommentar