schannel error 36887 fatal alert 46
Schannel errors on three of my DC's; Event ID 36887, Alert 46

從遠(yuǎn)程終點(diǎn)接收到一個(gè)嚴(yán)重警告。TLS 協(xié)議所定義的嚴(yán)重警告代碼為 46

1 您可以關(guān)閉事件提示，但是解決不了根本問題:

生成了一個(gè)嚴(yán)重警告并將其發(fā)送到遠(yuǎn)程終結(jié)點(diǎn)。這會(huì)導(dǎo)致連接終止。TLS 協(xié)議所定義的嚴(yán)重錯(cuò)誤代碼是
您可以檢查下HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel下的EventLogging，默認(rèn)應(yīng)該是1，我們可以通過如下步驟來把它設(shè)置成不記錄任何錯(cuò)誤事件。

定位到HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel
注：因?yàn)橐韵虏僮麝P(guān)系到注冊表，我們建議您先對注冊表值做備份。
把Schannel下的EventLogging的值改成0。然后重啟下電腦讓所做的改變生效。

2 解決問題：

Did battle with this event log error recently. It turned out to be an IIS binding configuration where Server Name Indication (SNI) was turned off. Since SNI was not enabled for the web application, IIS would accept the request which then failed the SSL handshake, producing the schannel error. Turning on SNI (requiring SNI) tells IIS to refuse the HTTPS request to the IP address, so the client will get an error and will need to use the hostname.

最近是否與此事件日誌錯(cuò)誤作鬥爭。原來是 IIS 綁定配置，其中服務(wù)器名稱指示 (SNI) 已關(guān)閉。由於未為 Web 應(yīng)用程序啟用 SNI，IIS 會(huì)接受請求，然後 SSL 握手失敗，從而產(chǎn)生 schannel 錯(cuò)誤。打開 SNI（需要 SNI）告訴 IIS 拒絕對 IP 地址的 HTTPS 請求，因此客戶端會(huì)收到錯(cuò)誤消息，需要使用主機(jī)名。

3 知識(shí)點(diǎn)：

常見的SNI支持情況 注意: SNI兼容TLS1.0及以上的協(xié)議,但不被SSL支持。目前，大多數(shù)操作系統(tǒng)和瀏覽器都已經(jīng)很好地支持SNI擴(kuò)展。

桌面版瀏覽器支持

Chrome 5及以上版本
Chrome 6及以上版本（Windows XP）
Firefox 2及以上版本
IE 7及以上版本（運(yùn)行在Windows Vista/Server 2008及以上版本版本系統(tǒng)中，在XP系統(tǒng)中任何版本的IE瀏覽器都不支持SNI）
Konqueror 4.7 及以上版本
Opera 8 及以上版本
Safari 3.0 on Windows Vista/Server 2008 及以上版本, or Mac OS X 10.5.6 及以上版本

手機(jī)端瀏覽器支持

Android Browser on 3.0 Honeycomb 及以上版本
iOS Safari on iOS 4 及以上版本
Windows Phone 7 及以上版本

客戶端不支持SNI如何解決

SNI是一個(gè)很便利的擴(kuò)展，隨著IPv4地址的耗盡，全面支持SNI是趨勢。對于不支持SNI的客戶端，我們有兩個(gè)解決方案：

建議用戶升級(jí)或使用新版本的瀏覽器，如Chrome、Firefox等（強(qiáng)烈推薦），或使用非Windows 7及更高版本W(wǎng)in操作系統(tǒng)。
聯(lián)系商務(wù)人員購買獨(dú)享SSL服務(wù)。