ID de evento 677 e mensagens de falha de auditoria de evento ID 673 não são registadas no registo de segurança dos controladores de domínio com o Windows 2000 e Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 824905 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Um domínio do Microsoft Windows Server 2003, as mensagens de ID de eventos que estão relacionadas com falhas de início de sessão de conta podem ser repetidamente registadas no registo de eventos de segurança nos controladores de domínio. Por exemplo, a seguinte mensagem de evento é registada repetidamente nos controladores de domínio baseado no Microsoft Windows 2000:

Tipo: Falha na auditoria
Origem: segurança
Categoria do evento: Conta de início de sessão
ID do evento: 677
Utilizador: NT AUTHORITY\SYSTEM
Descrição: Falha ao pedido de permissão de serviço:
Nome de utilizador: UserName
Domínio de utilizador: DomainName
Nome de serviço: ServiceName
Opções de permissão: 0x40830000
Código de falha: 0xE
Endereço do cliente: IPAddress

A seguinte mensagem de evento repetidamente é registada em controladores de domínio baseado no Windows Server 2003:

Tipo: Falha na auditoria
Origem: Eventos de segurança
Categoria: Conta de início de sessão
ID do evento: 673
Utilizador: NT AUTHORITY\SYSTEM
Descrição: Pedido de permissão de serviço:
Nome de utilizador: UserName
Domínio: DomainName
Nome do serviço: ServiceName
ID do serviço: ServiceName
Opções de permissão: 0x40830000
Permissão de tipo de encriptação: TicketEncryptionType
Endereço do cliente: IPAddress
Código de falha: 0xD
Início de sessão GUID: GUID
Serviços transited: ServiceName

Causa

Este problema ocorre porque o cliente Kerberos em computadores baseados no Windows 2000 e em computadores baseados no Windows Server 2003 examina o Centro de distribuição de chaves (KDC, Key Distribution Center) em intervalos definidos para verificar que a extensão de serviço de utilizador (S4U) Kerberos é suportada. Por predefinição, o cliente Kerberos examina o KDC, Key Distribution Center a cada 15 minutos. Porque o Windows 2000 não suporta a extensão de Kerberos S4U, mensagens de evento ID 677 são registadas no registo de eventos de segurança de um controlador de domínio do Windows 2000. No Windows Server 2003, são registadas mensagens 673 de ID de evento no registo de eventos de segurança se a extensão de Kerberos S4U não estiver configurada. Para utilizar a extensão de Kerberos S4U, tem de ter um domínio nativo do Windows Server 2003 e tem de configurar as contas de computador apropriado para a delegação restrita.

Resolução

Esta correcção suprime 677 de ID de evento e evento ID 673 neste contexto.

Windows Server 2003

Informações sobre a correcção

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico. Esta correcção poderá submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentado, contacte o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Não pré-requisitos são necessários.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário no item data e hora no painel de controlo.
Windows Server 2003, versões em x 86
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataforma
Kdcsvc.dll5.2.3790.288226,81616-Mar-200502: 02x 86
Windows Server 2003, versões baseadas em Itanium
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataforma
Kdcsvc.dll5.2.3790.288586,75215-Mar - 200510: 03IA-64

Windows 2000

Informações sobre a correcção

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico. Esta correcção poderá submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentado, contacte o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Para aplicar esta correcção, tem de ter Windows 2000 Service Pack 3 (SP3) instalado no computador.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário no item data e hora no painel de controlo.
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataforma
Adsldp.dll5.0.2195.6824124,68814-Nov - 200323: 56x 86
Adsldpc.dll5.0.2195.6824132,36814-Nov-200323: 56x 86
Adsmsext.dll5.0.2195.682463,76014-Nov-200323: 56x 86
Advapi32.dll5.0.2195.6824381,71214-Nov-200323: 56x 86
Browser.dll5.0.2195.686669,90414-Nov-200323: 56x 86
Dnsapi.dll5.0.2195.6824136,46414-Nov-200323: 56x 86
Dnsrslvr.dll5.0.2195.682496,01614-Nov-200323: 56x 86
Eventlog.dll5.0.2195.686647,37614-Nov-200323: 56x 86
Kdcsvc.dll5.0.2195.6871148,24014-Nov-200323: 56x 86
Kerberos.dll5.0.2195.6871205,58405-Nov-200319: 32x 86
Ksecdd.sys5.0.2195.682471,88821-Sep-200300: 32x 86
Lsasrv.dll5.0.2195.6869511,24829-Out-200306: 45x 86
Lsass.exe5.0.2195.686933,55229-Out-200306: 45x 86
Msv1_0.dll5.0.2195.6866114,96017-Out-200300: 33x 86
NETAPI32.dll5.0.2195.6866307,98414-Nov-200323: 56x 86
Netlogon.dll5.0.2195.6863361,23214-Nov-200323: 56x 86
Ntdsa.dll5.0.2195.6874931,60014-Nov-200323: 56x 86
Samsrv.dll5.0.2195.6824392,46414-Nov-200323: 56x 86
Scecli.dll5.0.2195.6824113,93614-Nov-200323: 56x 86
Scesrv.dll5.0.2195.6824259,85614-Nov-200323: 56x 86
Sp3res.dll5.0.2195.68705,847,55206-Nov-200322: 29x 86
W32time.dll5.0.2195.682448,91214-Nov-200323: 56x 86
W32tm.exe5.0.2195.682457,10421-Sep-200300: 32x 86
Wldap32.dll5.0.2195.6869126,22414-Nov-200323: 56x 86

Nota Esta correcção deve ser aplicada seguintes computadores:
  • Controladores de domínio com o Windows 2000 ou Windows Server 2003
  • Servidores membro que executem o Windows Server 2003

Como contornar

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows


Para contornar este problema e para reduzir a frequência de evento ID 677 e mensagens de evento de evento ID 673, aumente o valor de tempo de espera de cache S4U no cliente Kerberos em computadores que estão a executar o Windows Server 2003:
  1. Num computador com o Windows Server 2003, clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique na seguinte chave de registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. No menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
  4. Escreva S4UCacheTimeout e, em seguida, prima ENTER.
  5. Na caixa dados do valor , escreva o número de minutos que pretende especificar o valor do tempo limite e, em seguida, clique em OK .

    Nota Por predefinição, o valor de tempo limite da cache S4U é 15 minutos.
  6. Saia do Editor de registo.

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Windows Server 2003 inclui suporte para a delegação restrita na extensão de serviço-para-utilizador-para-proxy (S4U2Proxy) para Kerberos. Utilizando a extensão S4U2Proxy, um serviço pode obter bilhetes para outro serviço para um utilizador. Para obter mais informações sobre as extensões Kerberos S4U, visite o seguinte Web site da Microsoft:
Para obter mais informações sobre LsaLogonUser, visite o seguinte Microsoft Web site:
http://msdn2.microsoft.com/en-us/library/aa378292.aspx
Para obter informações adicionais sobre a nomes a pacotes de correcções, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
816915Novo esquema de atribuição de nomes para pacotes de correcção do Microsoft Windows do
Para obter informações adicionais sobre a terminologia utilizada para descrever actualizações de software da Microsoft, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
824684Descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft

Propriedades

Artigo: 824905 - Última revisão: 4 de novembro de 2007 - Revisão: 5.6
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbwinserv2003presp1fix kbbug kbfix kbqfe kbwin2000presp5fix KB824905 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 824905

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com