IDENTIFICAÇÃO de evento 677 e as mensagens de falha de auditoria do evento ID 673 são registradas repetidamente o log de segurança de controladores de domínio que executam o Windows 2000 e Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 824905 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Em um domínio Microsoft Windows Server 2003, mensagens de identificação de evento associados com falhas de logon de conta podem ser registradas repetidamente no log de eventos de segurança em controladores de domínio. Por exemplo, a seguinte mensagem de evento é registrada várias vezes em controladores de domínio baseado no Microsoft Windows 2000:

Tipo: Auditoria de falha
Fonte: segurança
Categoria do evento: Logon de conta
IDENTIFICAÇÃO de evento: 677
Usuário: NT AUTHORITY\SYSTEM
Descrição: Falha na solicitação de tíquete de serviço:
Nome de usuário: UserName
Domínio de usuário: DomainName
Nome do serviço: ServiceName
Opções de tíquete: 0x40830000
Código de falha: 0xE
Endereço do cliente: IPAddress

A seguinte mensagem de evento é registrada repetidamente em controladores de domínio baseado no Windows Server 2003:

Tipo: Auditoria de falha
Origem: Eventos de segurança
Categoria: Logon de conta
IDENTIFICAÇÃO de evento: 673
Usuário: NT AUTHORITY\SYSTEM
Descrição: Solicitação de tíquete de serviço:
Nome de usuário: UserName
Domínio: DomainName
Nome do serviço: ServiceName
Identificação do serviço: ServiceName
Opções de tíquete: 0x40830000
Tipo de criptografia de permissão: TicketEncryptionType
Endereço do cliente: IPAddress
Código de falha: 0xd
Logon GUID: GUID
Serviços transited: ServiceName

Causa

Esse problema ocorre porque o cliente Kerberos em computadores baseados no Windows 2000 e em computadores baseados no Windows Server 2003 examina o Centro de distribuição de chaves (KDC) em intervalos definidos para verificar se a extensão de serviço para usuário (S4U) Kerberos é dá suporte. Por padrão, o cliente Kerberos examina o KDC a cada 15 minutos. Porque Windows 2000 não oferece suporte a extensão S4U Kerberos, mensagens de evento ID 677 são registradas no log de eventos de segurança de um controlador de domínio do Windows 2000. No Windows Server 2003, mensagens de evento ID 673 são registradas no log de eventos de segurança se a extensão S4U Kerberos não estiver configurada. Para usar a extensão S4U Kerberos, você deve ter um domínio nativo do Windows Server 2003, e você deve configurar as contas de computador apropriado para a delegação restrita.

Resolução

Esse hotfix suprime 677 de identificação de evento e de evento ID 673 neste contexto.

Windows Server 2003

Informações sobre o hotfix

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico. Esta correcção poderá submetida a testes adicionais. Portanto, se você não tiver sido gravemente afetado por esse problema, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibida, contate o atendimento e suporte para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Não pré-requisitos são necessários.

Requisitos de reinicialização

Reinicie o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix tem atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas no horário de universal coordenado (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.
Windows Server 2003, versões com base em 86 x
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataforma
Kdcsvc.dll5.2.3790.288226,81616-Mar-200502: 02x 86
Windows Server 2003, versões com base em Itanium
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataforma
Kdcsvc.dll5.2.3790.288586,75215-Mar - 200510: 03IA-64

Windows 2000

Informações sobre o hotfix

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico. Esta correcção poderá submetida a testes adicionais. Portanto, se você não tiver sido gravemente afetado por esse problema, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibida, contate o atendimento e suporte para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Para aplicar esse hotfix, você deve ter o Windows 2000 Service Pack 3 (SP3) instalado no computador.

Requisitos de reinicialização

Reinicie o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix tem atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas no horário de universal coordenado (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataforma
Adsldp.dll5.0.2195.6824124,68814-Nov - 200323: 56x 86
Adsldpc.dll5.0.2195.6824132,36814-Nov-200323: 56x 86
Adsmsext.dll5.0.2195.682463,76014-Nov-200323: 56x 86
Advapi32.dll5.0.2195.6824381,71214-Nov-200323: 56x 86
Browser.dll5.0.2195.686669.90414-Nov-200323: 56x 86
Dnsapi.dll5.0.2195.6824136,46414-Nov-200323: 56x 86
Dnsrslvr.dll5.0.2195.682496,01614-Nov-200323: 56x 86
EventLog.dll5.0.2195.686647,37614-Nov-200323: 56x 86
Kdcsvc.dll5.0.2195.6871148,24014-Nov-200323: 56x 86
Kerberos.dll5.0.2195.6871205,58405-Nov-200319: 32x 86
Ksecdd.sys5.0.2195.682471.88821-Set-200300: 32x 86
Lsasrv.dll5.0.2195.6869511,24829-Out-200306: 45x 86
Lsass.exe5.0.2195.686933.55229-Out-200306: 45x 86
Msv1_0.dll5.0.2195.6866114,96017-Out-200300: 33x 86
Netapi32.dll5.0.2195.6866307,98414-Nov-200323: 56x 86
Netlogon.dll5.0.2195.6863361,23214-Nov-200323: 56x 86
Ntdsa.dll5.0.2195.6874931,60014-Nov-200323: 56x 86
Samsrv.dll5.0.2195.6824392,46414-Nov-200323: 56x 86
Scecli.dll5.0.2195.6824113,93614-Nov-200323: 56x 86
Scesrv.dll5.0.2195.6824259,85614-Nov-200323: 56x 86
Sp3res.dll5.0.2195.68705,847,55206-Nov-200322: 29x 86
W32Time.dll5.0.2195.682448.91214-Nov-200323: 56x 86
W32tm.exe5.0.2195.682457.10421-Set-200300: 32x 86
Wldap32.dll5.0.2195.6869126,22414-Nov-200323: 56x 86

Observação Esse hotfix deve ser aplicado aos seguintes computadores:
  • Controladores de domínio que executam o Windows 2000 ou Windows Server 2003
  • Servidores membro que executam o Windows Server 2003

Como Contornar

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows


Para contornar este problema e para reduzir a freqüência de evento ID 677 e mensagens de evento do evento ID 673, aumente o valor de tempo limite de cache S4U no cliente Kerberos em computadores que estão executando o Windows Server 2003:
  1. Em um computador que está executando o Windows Server 2003, clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. No menu Editar , aponte para novo e, em seguida, clique em Valor DWORD .
  4. Digite S4UCacheTimeout e, em seguida, pressione ENTER.
  5. Na caixa dados do valor , digite o número de minutos que você deseja especificar o valor de tempo limite e, em seguida, clique em OK .

    Observação Por padrão, o valor de tempo limite de cache S4U é 15 minutos.
  6. Feche o Editor do Registro.

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Mais Informações

Windows Server 2003 introduz o suporte a delegação restrita na extensão do serviço-para-usuário-a-proxy (S4U2Proxy) para Kerberos. Usando a extensão S4U2Proxy, um serviço pode obter permissões para outro serviço para um usuário. Para obter mais informações sobre extensões S4U Kerberos, visite o seguinte site:
Para obter mais informações sobre LsaLogonUser, visite o seguinte site da Microsoft:
http://msdn2.microsoft.com/en-us/library/aa378292.aspx
Para obter informações adicionais sobre como os pacotes de hotfix são nomeados, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
816915Novo esquema de nomeação para pacotes de hotfix do Microsoft Windows
Para obter informações adicionais sobre a terminologia usada para descrever as atualizações de software da Microsoft, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684Descrição da terminologia padrão que é usada para descrever as atualizações de software

Propriedades

ID do artigo: 824905 - Última revisão: domingo, 4 de novembro de 2007 - Revisão: 5.6
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbwinserv2003presp1fix kbbug kbfix kbqfe kbwin2000presp5fix KB824905 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 824905

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com