Seit wir unseren Exchange 2003 durch einen 2010er ersetzt haben füllt mir folgender Fehler das Log:

The following fatal alert was generated: 10. The internal error state is 1203.

Da soweit alles einwandfrei läuft habe ich diesem Fehler vorerst keine Beachtung geschenkt. Inzwischen sind einige Stunden an Recherche vergangen und ich denke ich habe zumindest das Verhalten verstanden.

Der Fehler taucht immer dann auf, wenn ein Client eine sichere Verbindung auf eine Webseite (z. B. OWA) herstellen will und dabei ein falsches “Client Hello”  sendet. Das kommt z. B. dann vor, wenn ich zwar http als Protokoll wähle aber hinter der URL noch ein :433 anhänge. Die Verbindung wird dann mit dem HTTP-Protokoll auf den HTTPS Port hergestellt was IIS nicht mehr gefällt und einen solchen Fehler ins Log schreibt. Da der Fehler über s Wochenende extrem selten auftritt gehe ich davon aus, dass es Clients im Unternehmen haben muss welche über eine falsche URL auf Exchange verbinden (RPC, Autodiscover, etv).

Der Fehler kann mit Telnet ganz einfach reproduziert werden: telnet servername 443 – danach einfach irgendwelche Zeichen senden und kurz darauf erscheint der Fehler im Event-Log.

Das Problem wird anscheinend durch das verwenden von mehreren Zertifikaten mit dem “Extend Key Usage”-Attribut “Server Authentication” hervorgerufen. In unserem Fall ist das so. Wir haben ein öffentliches Zertifikat für unseren Exchange 2010 (SSL) und dann auch noch das “originale” Self-Signed-Exchange-Certificate welches beim installieren abgelegt worden ist und für SMTP verwendet wird. Da dies aber bei den meisten Single-Exchange-Servern (also keine getrennten Rollen) der Fall sein müsste frage ich mich, wieso es im Netz nicht mehr Infos dazu gibt. Leider weiss ich noch nicht genau, wie das Problem zu beheben ist (abgesehen von der Verteilung der Rollen auf andere Server).

Eine andere Möglichkeit ist die Symptombekämpfung (welche eigentlich nie die erste Wahl sein sollte): Das Logging für Schannel kann in der Registrierung deaktiviert werden. Da dies den Fehler aber nur unterdrückt und nicht behebt empfehle ich euch meine anderen Ansätze zu verfolgen.

Für das unterdrücken der Meldung muss der Key “EventLoggin” unter HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel auf 0 gesetzt werden.

Für weitere Inputs und Tipps bin ich dankbar!

Tags: 1203, 2010, 36888, Exchange

This entry was posted on Montag, April 18th, 2011 at 14:35 and is filed under Exchange, IT. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.