Содержание
- Error 0x8009030d returned by acceptsecuritycontext
- Описание ошибки 0x8009030D
- Устранение ошибки ID 36870
- Как предоставить права на сертификат
- Сброс разрешения для папки MachineKeys
- Где хранится самоподписный сертификат в реестре
- Error 0x8009030d returned by acceptsecuritycontext
- Asked by:
- Question
- Error 0x8009030d returned by acceptsecuritycontext
- Question
- Answers
- Проблемы при миграции виртуальной машины Hyper-V в Windows Server 2012 R2 (0x8009030E, 0x8009030D и др.)
- Причины ошибок 0x8009030E и 0x8009030D
- Решения:
- Если у вас SCVMM
- Мигрируем через Powershell
- What might cause System.Net Error:AcquireCredentialsHandle() failed with error 0X8009030D?
Error 0x8009030d returned by acceptsecuritycontext
Добрый день! Уважаемые читатели и гости IT портала Pyatilistnik.org. В прошлый раз мы с вами устраняли ошибку подключения «Код ошибки 0x907. Расширенный код ошибки 0x0». В сегодняшней статье мы рассмотрим еще одну ошибку RDP, которая не дает людям любые подключения «Произошла неустранимая ошибка при обращении к закрытому ключу учетных данных TLS server. Код ошибки, возвращенный модулем шифрования: ошибка 0x8009030D. Внутреннее состояние ошибки«. Данную проблему я стал получать массово в декабре 2022. Давайте покажу куда нужно смотреть.
Описание ошибки 0x8009030D
У меня есть RDS ферма состоящая из 50 RDSH хостов, в какой-то момент люди начали массово на двух хостах получать ошибку «An internal error has occurred». Я долго искал проблему, и таки отыскал ее.
Ей оказалась ошибка появляющаяся каждый раз при попытке подключения ID Schannel 36870:
Вот так это массово выглядит.
В 99% случаев у вас просто не хватает прав на доступ к нужному SSL сертификату, который используется при RDP сессии.
Устранение ошибки ID 36870
Как я и писал ранее, чтобы убрать ошибку 0x907, я на всех участниках RDS ферму, установил нормальный Wildcard сертификат. Все стало нормально. Но, то что теперь я стал получать ошибку с кодом 0x8009030D, стало означать, с проблемой прав доступа к файлу. То есть у учетной записи NETWORK SERVICE отсутствуют разрешения на файл в C:ProgramDataMicrosoftCryptoRSAMachineKey.
Каталог MachineKeys хранит пары ключей сертификатов для пользователей и компьютеров. Эта папка используется службами сертификации и Internet Explorer, другими браузерами. В этой директории и в ее поддиректориях размещаются файлы, связанные с сертификатами и ключами контейнерами.
Для того чтобы понять, что происходит я вам советую скачать утилиту из пакета Sysinernals под названием Process Monitor.
- ✅Далее делаем себе фильтр по событию 36870, чтобы мониторить его появление
- ✅И запускаем Procmon.exe или Procmon64.exe, чтобы спарсить текущие события. Как только событие появилось, вам нужно остановить захват (CTRL+E) и сохранить этот лог в CSV файл.
Далее вам нужно поискать события подобные этому:
Как видно, учетная запись NETWORK SERVICE не смогла прочитать ключ eed523a12125737e6733ccef353672ce_02129252-b210-4f5d-a8a1-2febf0b00564.
Как предоставить права на сертификат
- ✅Нажмите сочетание клавиш Win+R и вызовите оснастку mmc.
Далее Вам нужно нажать CTR:+M. Найдите оснастку «Сертификаты» и переместите ее вправо. Там выберите пункт «Учетной записи компьютера«.
Кажем, что это будет локальный компьютер, но можно сделать и удаленного, если нет доступа по RDP.
Найдите в личном контейнере компьютера, нужный сертификат, который используется при подключении. В контекстном меню выберите пункт «Управление закрытыми ключами«.
Далее в открывшемся ACL вам нужно дать права чтения для NETWORK SERVICE.
- ✅Второй метод, это использовать утилиту командной строки:
Примечание: вам может потребоваться стать владельцем файла, если вы не можете изменить его разрешения.
На этом у меня все. Ошибку я устранил, уровень защищенности сохранил. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.
Сброс разрешения для папки MachineKeys
Для сброса разрешений на данную папку, выполните в консоли в режиме администратора.
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c > c:tempBeforeScript_permissions.txt
takeown /f «C:ProgramDataMicrosoftCryptoRSAMachineKeys» /a /r
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c /grant «NT AUTHORITYSystem:(F)»
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c /grant «NT AUTHORITYNETWORK SERVICE:(R)»
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c /grant «BUILTINAdministrators:(F)»
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c > c:tempAfterScript_permissions.txt
Где хранится самоподписный сертификат в реестре
Это больше для себя, где лежит отпечаток сертификата:
Источник
Error 0x8009030d returned by acceptsecuritycontext
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Asked by:
Question
I am configuring Logshipping , During the same after establishing the logshipping , i waited till the backup job in the source gets triggered in the interval.
But the job failed with the below error :
Message
2016-08-22 16:45:09.60 *** Error: Failed to connect to server WIN-VQ6QHC236G6.(Microsoft.SqlServer.ConnectionInfo) ***
2016-08-22 16:45:09.60 *** Error: Login failed. The login is from an untrusted domain and cannot be used with Windows authentication.(.Net SqlClient Data Provider) ***
2016-08-22 16:45:09.60 —— END OF TRANSACTION LOG BACKUP ——
the server is not in domain , but in the same office. where it is rechable to each machine.
both the instances run with same user account in differnt machine with admin rights(groups) included in it.
Can you please tell me how to resolve the above problem ,
furthur logs to give you better picture on the error .
2016-08-22 16:10:26.75 spid52 Attempting to load library ‘xplog70.dll’ into memory. This is an informational message only. No user action is required.
2016-08-22 16:10:26.76 spid52 Using ‘xplog70.dll’ version ‘2011.110.2100’ to execute extended stored procedure ‘xp_msver’. This is an informational message only; no user action is required.
2016-08-22 16:10:53.74 Logon Error: 17806, Severity: 20, State: 14.
2016-08-22 16:10:53.74 Logon SSPI handshake failed with error code 0x8009030c, state 14 while establishing a connection with integrated security; the connection has been closed. Reason: AcceptSecurityContext failed. The Windows error code indicates the cause of failure. The logon attempt failed [CLIENT: 10.30.14.70]
2016-08-22 16:10:53.74 Logon Error: 18452, Severity: 14, State: 1.
2016-08-22 16:10:53.74 Logon Login failed. The login is from an untrusted domain and cannot be used with Windows authentication. [CLIENT: 10.30.14.70]
Источник
Error 0x8009030d returned by acceptsecuritycontext
Question
I can login into the rdweb site, but when I try and launch any app it fails then when I look on the server I receive the following error.
A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x8009030D. The internal error state is 10001.
Answers
The error indicates that SSL server does not have a private Key on it.You may confer with your cert publisher,and check whether cert has been issued correctly.
TechNet Subscriber Support
If you are TechNet Subscription user and have any feedback on our support quality, please send your feedbackhere.
Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
Источник
Проблемы при миграции виртуальной машины Hyper-V в Windows Server 2012 R2 (0x8009030E, 0x8009030D и др.)
Всем привет сегодня разберем, как решается ошибка 0x8009030E или 0x8009030D при миграции виртуальной машины Hyper-V в Windows Server 2012 R2. Напомню миграция — это перемещение виртуальной машины на другой хост виртуализации, и вот во время этого процесса возникает этот неприятный момент.
Сбой операции миграции виртуальной машины в исходном расположении миграции
Причины ошибок 0x8009030E и 0x8009030D
И та и другая ошибка связаны с тем что нужно входить на каждый сервер для выполнения определенной задачи (через локальный сеанс консоли, сеанс удаленного рабочего стола или удаленный сеанс Windows PowerShell) с сервера с которого осуществляется миграция либо настроить ограниченное делегирование для хостов.
Поскольку каждый раз входить с сервера на сервер неудобно, я опишу как настроить ограниченное делегирование.
Решения:
На вкладке Динамическая миграция, должна стоять галка Включить входящие и исходящие миграции.
Вторая причина у вас не включен Kerberos. Если у вас по CredSSp, не удается мигрировать выставляем тогда Kerberos, для большей безопасности, его мы еще поднастроим.
Так же если вы пытаетесь делать миграцию работающей виртуальной машины, может возникнуть ошибка VMM:
virtual machine … is using processor-specific features not supported on host…
Для решения, удостоверьтесь, что у вас стоит галка в свойствах виртуалки, на вкладке Процессор (Выполнить перенос на физический компьютер с другой версией процессора). Данная галка нужна если у вас разные процессоры, так как не везде все сервера одинаковые.
Если вы выполняете миграцию с рабочей станции, через оснастку Диспетчер Heper-V вы опять словите данную ошибку 0x8009030E или 0x8009030D, так как данную операцию нужно производить с хоста Hyper-V, где лежит тачка подключенного по RDP, но не спешите расстраиваться, мы же не зря настраивали kerberos, делаем ниже инструкции и радуемся жизни
Для того чтобы kerberos отработал и вы не получили ни 0x8009030E, ни 0x8009030D при миграции виртуальной машины Hyper-V в Windows Server 2012 R2, делаем следующее. Открываем оснастку Active Directory — Пользователи и компьютеры, ищем там ваши компьютеры Hyper-V и переходим в их свойства. Переходим на вкладку Делегирование, выставляем там Доверять компьютеру делегирование указанных служб > Использовать только Kerberos и добавляем туда две службы первая — cifs (для миграции хранилищ), вторая — Microsoft Virtual System Migration Service
Все можно теперь мигрировать спокойно.
Если у вас SCVMM
Если у вас есть scvmm, то проверьте, что в свойствах хоста
Перейдите на вкладку Доступ к узлу и проверьте, что в Учетная запись запуска от имени не пуста, если там ничег онет, то через обор добавьте.
Мигрируем через Powershell
- VMName — Имя виртуальной машины
- Hyper-V-ServerName — Имя сервера, куда вы мигрируете
- VMNameFolder — Имя папки, в которую размещается VM
Думаю было не сложно и вы победили свою ошибку 0x8009030E.
Источник
What might cause System.Net Error:AcquireCredentialsHandle() failed with error 0X8009030D?
I have a simple piece of https connection code that works well with one ssl host, connecting even though the root certificate authority is untrusted (this is a sandbox environment, so we’re not worried about the security hole this creates, for now), and loading the certificate and key from text files, using the Nuget package OpenSSL.X509Certificate2Provider :
When I point this code to another host, that should be secured in precisely the same manner, I get the following error: System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.
And digging into the logs, I discover: System.Net Information: 0 : [35036] AcquireCredentialsHandle(package = Microsoft Unified Security Protocol Provider, intent = Outbound, scc = System.Net.SecureCredential) System.Net Error: 0 : [35036] AcquireCredentialsHandle() failed with error 0X8009030D.
Searching stack for this, I find many errors related to certificate store permissions, but the client certificate in this case isn’t loaded from the store.
I also find many issues relating to SecurityProtocolType. I have verified that the server is using Tls1.2 (only).
I’m calling the code from a unit test within VS 2017 Enterprise running with Administrative privileges on Win10 x64. The code is contained in a .Net 4.7 Class Library, not hosted in IIS.
What could be causing this issue?
UPDATE Following @Jeroen Mostert’s useful comments below, I tried a basic connection test with OpenSSL. Slightly anonymised results:
Is there anything amiss there?
I’ve also looked in the CAPI2 log (as suggested in the comments). This shows errors relating to the root certificate not being trusted, like this: 
Does this mean my validation callbacks aren’t working — and if so, any idea why that would be?
Further Update:
If I remove the line of code which attaches the certificate, then the error goes away — I get through to the MTLS test endpoint (but, of course, fail the MTLS test that is conducted there).
What does this suggest? A problem with the certificate itself?
Источник
frolalex |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 1 раз |
Установлен CSP 3.9 а) Сертификат Личный Установлен Stunnel с таким конфигом: output=c:stunneltempstun.log Сервис стартует от конкретного юзера. 2015.10.19 10:02:52 LOG7[4068:3792]: https accepted FD=512 from 10.0.3.32:56232 Без Stunnel через IE зайти на https://icrs.nbki.ru/score получается. Получаю: HTTP Status 405 — HTTP method GET is not supported by this URL…. Вопрос, что надо для Stunnel надо сделать, чтобы избавиться от «Error 0x8009030d returned by AcquireCredentialsHandle»? |
 |
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 451 раз |
Цитата: Через «C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc» в личные импортирован: Цитата: Сервис стартует от конкретного юзера. КриптоПРО CSPСервисПротестироватьПо сертификату — есть в списке личный сертификат? |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
frolalex |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 1 раз |
Автор: Андрей * Цитата: Через «C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc» в личные импортирован: Цитата: Сервис стартует от конкретного юзера. КриптоПРО CSPСервисПротестироватьПо сертификату — есть в списке личный сертификат? При нажатии на «По сертификату…» Правильно я понимаю, что надо контейнер закрытого ключа перенести сначала в реестр? |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 451 раз |
Автор: frolalex Автор: Андрей * Цитата: Через «C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc» в личные импортирован: Цитата: Сервис стартует от конкретного юзера. КриптоПРО CSPСервисПротестироватьПо сертификату — есть в списке личный сертификат? При нажатии на «По сертификату…» Правильно я понимаю, что надо контейнер закрытого ключа перенести сначала в реестр? У Вас есть пользовательский сертификат и контейнер с закрытым ключом? После пункта 1 — должно появиться имя контейнера автоматически, если личный сертификат был корректно установлен в Личное хранилище. |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
frolalex |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 1 раз |
Автор: Андрей * У Вас есть пользовательский сертификат и контейнер с закрытым ключом? После пункта 1 — должно появиться имя контейнера автоматически, если личный сертификат был корректно установлен в Личное хранилище. Пользовательского сертификата и контейнера нет. Соответственно, по доке не могу сделать, так как Ключевых контейнеров нет. Убрал ссылку на сертификат из conf. Дошел до handshake. буду дальше копать… 2015.10.20 11:00:33 LOG7[5276:4396]: https accepted FD=228 from 10.0.3.32:60933 |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 451 раз |
Цитата: connect=icrs.nbki.ru:80 Почему? |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
|
frolalex
оставлено 20.10.2015(UTC) |
1 пользователь поблагодарил Андрей * за этот пост.|
frolalex |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 1 раз |
Автор: Андрей * Цитата: connect=icrs.nbki.ru:80 Почему? в IE добился открытия страницы: http://10.0.3.32:1500/score2 с такими CONF: output=c:stunneltempstun.log и с таким логом: Надеюсь кому-нибудь поможет. Андрей, огромное СПАСИБО! |
|
|
|
|
aakosenkov |
|
|
Статус: Новичок Группы: Участники
|
output=c:cryptoprostun.log клиента: Все сертификаты вставлены в личные и доверенные, контейнер без пароля. |
|
|
|
ca4server.cer.zip |
basid |
|
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 6 раз |
WSAEADDRNOTAVAIL 10049: Cannot assign requested address |
|
|
|
|
aakosenkov |
|
|
Статус: Новичок Группы: Участники
|
WSAEADDRNOTAVAIL 10049: Cannot assign requested address Невозможно присвоить требуемый адрес. Спасибо. может кто то помоч? |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest (2) |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Обновлено 08.12.2022
Добрый день! Уважаемые читатели и гости IT портала Pyatilistnik.org. В прошлый раз мы с вами устраняли ошибку подключения «Код ошибки 0x907. Расширенный код ошибки 0x0». В сегодняшней статье мы рассмотрим еще одну ошибку RDP, которая не дает людям любые подключения «Произошла неустранимая ошибка при обращении к закрытому ключу учетных данных TLS server. Код ошибки, возвращенный модулем шифрования: ошибка 0x8009030D. Внутреннее состояние ошибки«. Данную проблему я стал получать массово в декабре 2022. Давайте покажу куда нужно смотреть.
Описание ошибки 0x8009030D
У меня есть RDS ферма состоящая из 50 RDSH хостов, в какой-то момент люди начали массово на двух хостах получать ошибку «An internal error has occurred». Я долго искал проблему, и таки отыскал ее.
Ей оказалась ошибка появляющаяся каждый раз при попытке подключения ID Schannel 36870:
Произошла неустранимая ошибка при обращении к закрытому ключу учетных данных TLS server. Код ошибки, возвращенный модулем шифрования: ошибка 0x8009030D. Внутреннее состояние ошибки (A fatal error occurred while accessing the private key of the TLS server credential. Error code returned by encryption module: error 0x8009030D. Internal error state)
Вот так это массово выглядит.
В 99% случаев у вас просто не хватает прав на доступ к нужному SSL сертификату, который используется при RDP сессии.
Устранение ошибки ID 36870
Как я и писал ранее, чтобы убрать ошибку 0x907, я на всех участниках RDS ферму, установил нормальный Wildcard сертификат. Все стало нормально. Но, то что теперь я стал получать ошибку с кодом 0x8009030D, стало означать, с проблемой прав доступа к файлу. То есть у учетной записи NETWORK SERVICE отсутствуют разрешения на файл в C:ProgramDataMicrosoftCryptoRSAMachineKey.
Каталог MachineKeys хранит пары ключей сертификатов для пользователей и компьютеров. Эта папка используется службами сертификации и Internet Explorer, другими браузерами. В этой директории и в ее поддиректориях размещаются файлы, связанные с сертификатами и ключами контейнерами.
Для того чтобы понять, что происходит я вам советую скачать утилиту из пакета Sysinernals под названием Process Monitor.
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
- ✅Далее делаем себе фильтр по событию 36870, чтобы мониторить его появление
- ✅И запускаем Procmon.exe или Procmon64.exe, чтобы спарсить текущие события. Как только событие появилось, вам нужно остановить захват (CTRL+E) и сохранить этот лог в CSV файл.
Обратите внимание, что если у вас Procmon запущен давно, то лог файл может быть весьма внушительного размера.
Далее вам нужно поискать события подобные этому:
«17:07:32,2856463″,»lsass.exe«,»912″,»CreateFile»,» C:ProgramDataMicrosoftCryptoKeys eed523a12125737e6733ccef353672ce_02129252-b210-4f5d-a8a1-2febf0b00564«,»ACCESS DENIED«,»Desired Access: Generic Read, Disposition: Open, Options: Sequential Access, Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, AllocationSize: n/a, Impersonating: NT AUTHORITYNETWORK SERVICE«
Как видно, учетная запись NETWORK SERVICE не смогла прочитать ключ eed523a12125737e6733ccef353672ce_02129252-b210-4f5d-a8a1-2febf0b00564.
Как предоставить права на сертификат
- ✅Нажмите сочетание клавиш Win+R и вызовите оснастку mmc.
Далее Вам нужно нажать CTR:+M. Найдите оснастку «Сертификаты» и переместите ее вправо. Там выберите пункт «Учетной записи компьютера«.
Кажем, что это будет локальный компьютер, но можно сделать и удаленного, если нет доступа по RDP.
Найдите в личном контейнере компьютера, нужный сертификат, который используется при подключении. В контекстном меню выберите пункт «Управление закрытыми ключами«.
Далее в открывшемся ACL вам нужно дать права чтения для NETWORK SERVICE.
- ✅Второй метод, это использовать утилиту командной строки:
icacls «C:ProgramDataMicrosoftCryptoRSAMachineKeyseed523a12125737e6733ccef353672ce_02129252-b210-4f5d-a8a1-2febf0b00564» /grant *S-1-5-20:RX
Примечание: вам может потребоваться стать владельцем файла, если вы не можете изменить его разрешения.
takeown /F «C:ProgramDataMicrosoftCryptoRSAMachineKeysfilename»
На этом у меня все. Ошибку я устранил, уровень защищенности сохранил. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.
Сброс разрешения для папки MachineKeys
Для сброса разрешений на данную папку, выполните в консоли в режиме администратора.
Md C:temp
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c > c:tempBeforeScript_permissions.txt
takeown /f «C:ProgramDataMicrosoftCryptoRSAMachineKeys» /a /r
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c /grant «NT AUTHORITYSystem:(F)»
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c /grant «NT AUTHORITYNETWORK SERVICE:(R)»
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c /grant «BUILTINAdministrators:(F)»
icacls C:ProgramDataMicrosoftCryptoRSAMachineKeys /t /c > c:tempAfterScript_permissions.txt
Где хранится самоподписный сертификат в реестре
Это больше для себя, где лежит отпечаток сертификата:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlTerminal ServerWinStations
Дополнительные ссылки
- https://meta.stackexchange.com/questions/8231/are-answers-that-just-contain-links-elsewhere-really-good-answers/8259#8259
- https://learn.microsoft.com/en-US/troubleshoot/windows-server/remote/custom-server-authentication-certificate-for-tls
- https://serverfault.com/questions/541364/how-to-fix-rdp-on-windows-server-2012
- https://learn.microsoft.com/ru-ru/troubleshoot/azure/virtual-machines/troubleshoot-rdp-internal-error
Hi,
I am configuring Logshipping , During the same after establishing the logshipping , i waited till the backup job in the source gets triggered in the interval.
But the job failed with the below error :
Message
2016-08-22 16:45:09.60 *** Error: Failed to connect to server WIN-VQ6QHC236G6.(Microsoft.SqlServer.ConnectionInfo) ***
2016-08-22 16:45:09.60 *** Error: Login failed. The login is from an untrusted domain and cannot be used with Windows authentication.(.Net SqlClient Data Provider) ***
2016-08-22 16:45:09.60 —— END OF TRANSACTION LOG BACKUP ——
the server is not in domain , but in the same office. where it is rechable to each machine.
both the instances run with same user account in differnt machine with admin rights(groups) included in it.
Can you please tell me how to resolve the above problem ,
furthur logs to give you better picture on the error .
2016-08-22 16:10:26.75 spid52 Attempting to load library ‘xplog70.dll’ into memory. This is an informational message only. No user action is required.
2016-08-22 16:10:26.76 spid52 Using ‘xplog70.dll’ version ‘2011.110.2100’ to execute extended stored procedure ‘xp_msver’. This is an informational message only; no user action is required.
2016-08-22 16:10:53.74 Logon Error: 17806, Severity: 20, State: 14.
2016-08-22 16:10:53.74 Logon SSPI handshake failed with error code 0x8009030c, state 14 while establishing a connection with integrated security; the connection has been closed. Reason: AcceptSecurityContext failed. The Windows error code
indicates the cause of failure. The logon attempt failed [CLIENT: 10.30.14.70]
2016-08-22 16:10:53.74 Logon Error: 18452, Severity: 14, State: 1.
2016-08-22 16:10:53.74 Logon Login failed. The login is from an untrusted domain and cannot be used with Windows authentication. [CLIENT: 10.30.14.70]
Please suggest me the right way to log on.
hemadri
I’m trying to create a secure connection for my SQL server using certificate. I have generated CA certificate and used it to sign the subordinate certificate using XCA tool.
Installed the certificate in Local computer «Personal» store and CA in «Trusted Root Authorities» store. Also added the SQL server user in the «Manage Private Keys -> Security» option and given permission to SQL user for the «MSSQL» installation folder.
I could able to see the certificate in «SQl Server Configuration Manager -> SQL Server Network Configuration» and added the certificate. Set «Force Encryption» option as YES.
Now when i restart the SQL server, getting the following error:
The server could not load the certificate it needs to initiate an SSL
connection. It returned the following error: 0x8009030d. Check
certificates to make sure they are valid.Starting up database ‘model’.
Server name is ‘VCE-W0031’. This is an informational message only. No
user action is required.Error: 26014, Severity: 16, State: 1. Unable to load user-specified
certificate [Cert Hash(sha1) «xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx»].
The server will not accept a connection. You should verify that the
certificate is correctly installed. See «Configuring Certificate for
Use by SSL» in Books Online.Error: 17182, Severity: 16, State: 1.
TDSSNIClient initialization failed with error 0x80092004, status code
0x80. Reason: Unable to initialize SSL support. Cannot find object or
property.Error: 17182, Severity: 16, State: 1.
TDSSNIClient initialization
failed with error 0x80092004, status code 0x1. Reason: Initialization
failed with an infrastructure error. Check for previous errors. Cannot
find object or property.Error: 17826, Severity: 18, State: 3.
Could not start the network
library because of an internal error in the network library. To
determine the cause, review the errors immediately preceding this one
in the error log.
I have created another CA and certificate using Openssl tool and insalled in Trusted Authorities and Personal stores respectively. Added this certificate in
«SQl Server Configuration Manager -> SQL Server Network Configuration» and added the certificate. Set «Force Encryption» option as YES.
Without any further setting, i could able to run the SQL server and the encrypted connection is established when client is connected.
Please let me know why this error could happen in case of certificate generated using XCA, but not Openssl.
The question what i wanted to ask is, using a certificate which is signed by an existing certification authority instead of creating a CA with openssl could cause any issue?
First published on MSDN on Apr 28, 2017
Recently, I have assisted a Premier customer who installed a new certificate on Windows Server 2008 R2 but was unable to bind the certificate to the Website hosted on IIS. 7.5. This is the error we were getting:
A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x8009030d. The internal error state is 10001
Log Name: System
Source: Schannel
Date: 7/2/2016 9:52:25 AM
Event ID: 36870
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: MyComp.Mydomain.com
Description:
A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x8009030D. The internal error state is 10001.
The error indicates that IIS is not able to access the certificate’s private key.
Steps we took to fix the issue:
-
Resolution:
- Contact your certificate vendor for a certificate with private key. Import the cert and do the binding in IIS.
-
Temporary Workaround:
- Assuming this is a valid certificate, verify that the certificate includes a private key. Double clicking the certificate in certificate manager (Certificate store) should say «You have a private key that corresponds to this certificate»:
-
Export certificate
with its private key
-
Now
re-imported
using the «Mark the private key exportable».
- Now do the binding in IIS.
While working with a colleague this past week, I ran into a weird scenario with this error that you might find interesting. We had a 2 server active/passive cluster, and while on node b, the SQL Cluster Resource would fail to come online. We could bring the resource online outside of the cluster, but it would still fail to connect with this error, which we got from the SQL Error Logs:
SSPI handshake failed with error code 0x8009030c, state 14 while establishing a connection with integrated security; the connection has been closed. Reason: AcceptSecurityContext failed. The Windows error code indicates the cause of failure. The logon attempt failed
Login failed. The login is from an untrusted domain and cannot be used with Windows authentication.
Now, AcceptSecurityContext is the Windows API to authenticate on the server, and it’s returning the error code that the login is denied. Furthermore, it says that the login is from an untrusted domain and cannot be used with Windows Authentication. We know that the login is not from another domain, and we’re able to connect using the same user on node a. The service accounts were also the same on both servers.
We ran through the following blog and added the user and the service account explicitly to the “Access this computer from the network” permissions, and made sure that none of those accounts were in the deny permissions. Still, we were seeing the same issues while failed over to node b.
We thought that it might have to do with NTLM connections failing, but after adding SPNs so that the connection would go through Kerberos, I took an SSPI Client trace, and saw that it was still going through NTLM. But why?
Then something stood out at me. The FQDN of the SPN that was requested was misspelled. So what could lead to this? Either their DNS resolution was incorrect, or something specific on node b was causing this name resolution error. We know that DNS was working as we don’t have the same issues on node a, so the likely culprit was a hosts file entry.
Sure enough, someone had edited the hosts file entry on that server and misspelled the FQDN for the SQL Cluster Virtual Name. Once this was deleted, and their DNS cached was flushed, their SQL Server Resource came online.
SlipKo |
|
|
Статус: Новичок Группы: Участники
|
Добрый день! Провожу стендирование решения с использованием стороннего УЦ (в качестве такового выступает локальный CA на Win2012 + CryptoPro 4). Сделал по инструкции requestы, выдал в УЦ на их основании серты и установил их на все ноды стенда (1 MGMT, 1 Gate (пока), 1 АРМ администратора). При попытке привязать сертификат АРМа администратора в ng-certcfg процесс проходит успешно, службы перезапускаются, но после этого Show certificate выдает сообщение, что сертификата нет и попытка зайти на MGMT node с АРМа завершается 400ым сообщением nginx: no required ssl certificate was sent. P.S. Тестирую сертифицированную версию, скачанную с офф сайта. |
 |
|
|
Павел Заика |
|
|
Статус: Сотрудник Группы: Участники
|
Добрый день! попытка зайти на MGMT node с АРМа завершается 400ым сообщением nginx: no required ssl certificate was sent. |
|
Техническую поддержку оказываем тут. |
|
|
|
|
|
SlipKo |
|
|
Статус: Новичок Группы: Участники
|
Здравствуйте! 1. Использовал Яндекс Браузер и IE Пока ждал ответа не сидел сложа руки: попробовал переделать все на внутреннем УЦ ngate. Для этого заново поднял ngate-mgmt и ngate-1 (нода кластера). Проблема с 400 кодом осталась. Замечание: в документации весьма слабо описаны требования к настройке сетевых интерфейсов. Нет понимания как можно комбинировать роли интерфейсов и можно ли это делать. Отредактировано пользователем 13 мая 2020 г. 15:15:49(UTC) |
|
|
|
|
Павел Заика |
|
|
Статус: Сотрудник Группы: Участники
|
На ПК администратора запустите КриптоПро CSP и выполните тестирование контейнера ЗК ключа администратора. |
|
Техническую поддержку оказываем тут. |
|
|
|
|
|
SlipKo |
|
|
Статус: Новичок Группы: Участники
|
Автор: Павел Заика На ПК администратора запустите КриптоПро CSP и выполните тестирование контейнера ЗК ключа администратора.
|
|
|
|
testirovanie KZK.txt |
Андрей Куликов |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 2 раз |
Автор: SlipKo Проблема с 400 кодом осталась. 400-й код и отсутствие запроса на сертификат админа в бразуере говорит о том что у вас скорее всего корневой не установлен в Trusted Root. |
|
|
|
|
SlipKo |
|
|
Статус: Новичок Группы: Участники
|
Автор: Андрей Куликов Автор: SlipKo Проблема с 400 кодом осталась. 400-й код и отсутствие запроса на сертификат админа в бразуере говорит о том что у вас скорее всего корневой не установлен в Trusted Root. Ну тогда бы при клике на замочек в браузере я не видел и такой картинки. Отредактировано пользователем 14 мая 2020 г. 10:33:38(UTC) |
|
|
|
|
Павел Заика |
|
|
Статус: Сотрудник Группы: Участники
|
Используйте csptest для проверки: Приложите результат выполнения команды полностью. |
|
Техническую поддержку оказываем тут. |
|
|
|
|
|
SlipKo |
|
|
Статус: Новичок Группы: Участники
|
Автор: Павел Заика Используйте csptest для проверки: Приложите результат выполнения команды полностью. C:Program FilesCrypto ProCSP>csptest.exe -tlsc -server ngate-mgmt -port 8000 **** Error 0x80092004 returned by CertFindCertificateInStore Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,031 sec Прикладываю серт и изображение оснастки сертификатов. Отредактировано пользователем 14 мая 2020 г. 17:44:12(UTC) |
|
|
|
|
Андрей Куликов |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 2 раз |
Поставьте сертификат текущему пользователю в хранилище. Отредактировано пользователем 14 мая 2020 г. 21:26:48(UTC) |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.