События 677 и сообщения аудита отказов событие ID 673 периодически регистрируются в журнале безопасности контроллеров домена, работающих под управлением Windows 2000 и Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 824905 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

В домене Microsoft Windows Server 2003 сообщения о событиях, связанных с ошибками входа учетной записи несколько раз регистрируется в журнале событий безопасности на контроллерах домена. Например на контроллерах домена под управлением Microsoft Windows 2000 многократно регистрируется следующее сообщение об ошибке:

Типа: Аудит отказов
Источник: безопасность
Категория события: Вход учетной записи
КОД события: 677
Пользователя: NT AUTHORITY\SYSTEM
Описание: Ошибка запроса билета службы:
Имя пользователя: Имя пользователя
Домен пользователя: Имя_домена
Имя службы: Имя_службы
Параметры билета: 0x40830000
Код ошибки: 0xE
Адрес клиента: IP-адрес

На контроллерах домена под управлением Windows Server 2003 многократно регистрируется следующее сообщение об ошибке:

Типа: Аудит отказов
Источник: Событие безопасности
Категория: Учетная запись входа в систему
КОД события: 673
Пользователя: NT AUTHORITY\SYSTEM
Описание: Запрос билета службы:
Имя пользователя: Имя пользователя
Домен: Имя_домена
Имя службы: Имя_службы
КОД службы: Имя_службы
Билет параметры: 0x40830000
Тип шифрования билета: TicketEncryptionType
Клиент Адрес: IP-адрес
Код ошибки: 0xD
Вход в систему GUID: ИДЕНТИФИКАТОР GUID
Transited Службы: Имя_службы

Причина

Эта проблема возникает, если клиент Kerberos на Компьютеры под управлением Windows 2000, а на компьютерах под управлением Windows Server 2003 центр распространения ключей (KDC) через заданные интервалы времени, чтобы убедиться, что поддерживается расширения Service-for-User (S4U) Kerberos. По умолчанию клиент Kerberos изучает KDC каждые 15 минут. Windows 2000 поддерживает расширения S4U Kerberos, события 677 идентификатор сообщения записываются в журнал событий безопасности контроллера домена Windows 2000. В Windows Server 2003 673 идентификатор сообщения заносятся в журнал событий безопасности, если расширения S4U Kerberos не настроена. Использование расширения S4U Kerberos, необходимо иметь собственный домен Windows Server 2003 и необходимо настроить соответствующие учетные записи компьютеров для ограниченного делегирования.

Решение

Это исправление подавляет событие ID 677 и 673 идентификатор события в данном контексте.

Windows Server 2003

Сведения об исправлении

Корпорация Майкрософт выпустила исправление. Однако данное исправление предназначено для устранения проблемы, описанной в этой статье. Данное исправление только в тех системах, в которых обнаружена эта специфическая неполадка. Это исправление может проходить дополнительное тестирование. Таким образом Если вы не представляет особой эта проблема, рекомендуется отложить ее решение до выхода ближайшего пакета обновления, содержащего это исправление.

Если исправление доступно для загрузки, имеется раздел «Исправление доступно для загрузки» в верхней части статьи базы знаний. Если этот раздел не отображается, обратитесь в службу и службу поддержки для получения исправления.

Примечание Если возникают другие проблемы или необходимо устранить неполадки, возможно создать отдельный запрос на обслуживание. Затраты на обычные службы поддержки будут применяться дополнительные вопросы и проблемы, не связанные с данным исправлением, оплачиваются. Для получения полного списка телефонов службы поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос посетите следующий веб-узел корпорации Майкрософт:
http://support.Microsoft.com/contactus/?ws=Support
Примечание В форме «Исправление доступно для загрузки» отображаются языки, для которых доступно исправление. Если язык не отображается, значит исправления недоступна для данного языка.

Необходимые условия

Не требуется соблюдения.

Необходимость перезагрузки

После установки этого исправления необходимо перезагрузить компьютер.

Сведения о замене исправлений

Это исправление не заменяет других исправлений.

Сведения о файлах

Английская версия исправления содержит атрибуты файла (или более поздними), приведенные в следующей таблице. Дата и время для файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать Часовой пояс на вкладке Дата и время элемент панели управления.
Windows Server 2003, 32 разрядных выпусков
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Kdcsvc.dll5.2.3790.288226,81616 Марта 2005 г.02: 02X86
Windows Server 2003 для систем на базе процессоров Itanium
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Kdcsvc.dll5.2.3790.288586,75215 -Мар-200510: 03IA-64

Windows 2000

Сведения об исправлении

Корпорация Майкрософт выпустила исправление. Однако данное исправление предназначено для устранения проблемы, описанной в этой статье. Данное исправление только в тех системах, в которых обнаружена эта специфическая неполадка. Это исправление может проходить дополнительное тестирование. Таким образом Если вы не представляет особой эта проблема, рекомендуется отложить ее решение до выхода ближайшего пакета обновления, содержащего это исправление.

Если исправление доступно для загрузки, имеется раздел «Исправление доступно для загрузки» в верхней части статьи базы знаний. Если этот раздел не отображается, обратитесь в службу и службу поддержки для получения исправления.

Примечание Если возникают другие проблемы или необходимо устранить неполадки, возможно создать отдельный запрос на обслуживание. Затраты на обычные службы поддержки будут применяться дополнительные вопросы и проблемы, не связанные с данным исправлением, оплачиваются. Для получения полного списка телефонов службы поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос посетите следующий веб-узел корпорации Майкрософт:
http://support.Microsoft.com/contactus/?ws=Support
Примечание В форме «Исправление доступно для загрузки» отображаются языки, для которых доступно исправление. Если язык не отображается, значит исправления недоступна для данного языка.

Необходимые условия

Данное исправление необходимо иметь Windows 2000 Service Pack 3 (SP3) на компьютере.

Необходимость перезагрузки

После установки этого исправления необходимо перезагрузить компьютер.

Сведения о замене исправлений

Это исправление не заменяет других исправлений.

Сведения о файлах

Английская версия исправления содержит атрибуты файла (или более поздними), приведенные в следующей таблице. Дата и время для файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать Часовой пояс на вкладке Дата и время элемент панели управления.
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Adsldp.dll5.0.2195.6824124,68814 -Ноя-200323: 56X86
Adsldpc.dll5.0.2195.6824132,36814 - Ноя- 200323: 56X86
Adsmsext.dll5.0.2195.682463,76014 - Ноя- 200323: 56X86
Advapi32.dll5.0.2195.6824381,71214 - Ноя- 200323: 56X86
Browser.dll5.0.2195.686669,90414 - Ноя- 200323: 56X86
DnsApi.dll5.0.2195.6824136,46414 - Ноя- 200323: 56X86
Dnsrslvr.dll5.0.2195.682496,01614 - Ноя- 200323: 56X86
EventLog.dll5.0.2195.686647,37614 - Ноя- 200323: 56X86
Kdcsvc.dll5.0.2195.6871148,24014 - Ноя- 200323: 56X86
Kerberos.dll5.0.2195.6871205,58405 - Ноя- 200319: 32X86
KsecDD.sys5.0.2195.682471,88821-Сен - 200300: 32X86
Lsasrv.dll5.0.2195.6869511,24829 - Окт- 200306: 45X86
Lsass.exe5.0.2195.686933,55229 - Окт- 200306: 45X86
Msv1_0.dll5.0.2195.6866114,96017 - Окт- 200300: 33X86
NetApi32.dll5.0.2195.6866307,98414 - Ноя- 200323: 56X86
Netlogon.dll5.0.2195.6863361,23214 - Ноя- 200323: 56X86
Ntdsa.dll5.0.2195.6874931,60014 - Ноя- 200323: 56X86
Samsrv.dll5.0.2195.6824392,46414 - Ноя- 200323: 56X86
Scecli.dll5.0.2195.6824113,93614 - Ноя- 200323: 56X86
Scesrv.dll5.0.2195.6824259,85614 - Ноя- 200323: 56X86
Sp3res.dll5.0.2195.68705,847,55206 - Ноя- 200322: 29X86
W32time.dll5.0.2195.682448,91214 - Ноя- 200323: 56X86
W32tm.exe5.0.2195.682457 10421-Сен - 200300: 32X86
Wldap32.dll5.0.2195.6869126,22414 - Ноя- 200323: 56X86

Примечание Это исправление следует применять на следующих компьютерах:
  • Контроллеры домена под управлением Windows 2000 или Windows Server 2003
  • Рядовые серверы под управлением Windows Server 2003

Временное решение

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows


Чтобы обойти эту проблему и уменьшить частоту событие ID 677 и 673 идентификатор события сообщения, увеличить значение таймаута кэша S4U в клиент Kerberos на компьютерах, работающих под управлением Windows Server 2003:
  1. На компьютере под управлением Windows Server 2003 нажмите кнопку Начало, нажмите кнопку Запустить, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. На Редактирование Выберите пункт Новый, а затем нажмите кнопку Значение типа DWORD.
  4. Тип S4UCacheTimeout, а затем нажмите клавишу ВВОД.
  5. В Значение данных Введите количество минут, чтобы указать значение времени ожидания и нажмите кнопку ОК.

    Примечание По умолчанию значение таймаута кэша S4U равен 15 минутам.
  6. Закройте редактор реестра.

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Microsoft, перечисленных в разделе «Относится к».

Дополнительная информация

Windows Server 2003 обеспечивает поддержку для ограниченного делегирования в расширении службы для пользователя к прокси (S4U2Proxy) протокола Kerberos. С помощью расширения S4U2Proxy, службы могут получать билеты на другую службу для пользователя. Дополнительные сведения о расширениях S4U Kerberos посетите следующий веб-узел корпорации Майкрософт:
Для получения дополнительных сведений о LsaLogonUser по адресу Micorosoft веб-узла:
http://msdn2.Microsoft.com/en-us/library/aa378292.aspx
Для получения дополнительных сведений о том, как пакеты исправлений с именем, щелкните следующий номер статьи базы знаний Майкрософт:
816915Новая схема присвоения имен пакетам исправлений для Microsoft Windows
Для получения дополнительных сведений о терминологии, используемой при описании обновлений программных продуктов Майкрософт щелкните следующий номер статьи базы знаний Майкрософт:
824684Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

Свойства

Код статьи: 824905 - Последний отзыв: 15 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbautohotfix kbhotfixserver kbwinserv2003presp1fix kbbug kbfix kbqfe kbwin2000presp5fix kbmt KB824905 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:824905

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com