我收到ID为36888和36874的事件日志中的错误。错误状态“以下致命警报已生成:40。内部错误状态为1205.” 和“从远程客户端应用程序接收到SSL 3.0连接请求,但服务器不支持客户端应用程序支持的密码套件,SSL连接请求分别失败”。 我想查找是什么导致这个不禁用schannel日志logging。 操作系统正在运行Windows Server 2008 R2和Outlook Web Access。 服务器上的IE设置具有TLS 1.0,TLS 1.1,TLS 1.2,SSL 3.0选中,而SSL 2.0未选中。 我应该如何去调查这个问题? 捕捉wireshark并从那里或其他东西完全?
这样的事情总是可以从外面强迫的。 只需将仅列出垃圾值的ClientHello消息连接并发送为“支持的密码套件”即可。 使用Wireshark或者像微软的networking监视器这样的对等监视工具确实是一个很好的select:
ClientHello消息。 ClientHello消息必须不encryption。 因此,您可以看到已公布的密码套件列表,并将其与您的服务器configuration进行匹配。 networking监视工具也会显示你的客户端IP地址。 如果消息是多连接尝试的一部分(例如,客户端首先尝试连接一些参数,然后再尝试与其他一些参数),那么您可能会看到来自同一客户端的成功连接,此时HTTP级别loginIIS会告诉你客户声称使用什么软件(这是HTTP标题的一部分)。
一个合理的解释是探索 :如果有人想弄清楚你的服务器支持哪些密码套件,那么它会做一些连接尝试,支持密码套件的列表逐渐减less; 这最终必须像你展示的那样。 探索工具可以作为在线服务提供 ; 其他人可以下载 。
任何面向Internet的服务器都可能会偶尔被探测到; 事情的状况(道德上令人遗憾,但在不久的将来不太可能改变)。 您最好的select可能是简单地从您的警报机制中滤除这些事件,以便完全忽略它们。 无论如何,它们大都是无害的。