事件 ID 677 和事件 ID 673 审核失败消息反复运行 Windows 2000 和 Windows Server 2003 的域控制器的安全日志记录

文章翻译 文章翻译
文章编号: 824905 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

在 Microsoft Windows Server 2003 域中帐户登录失败与相关联的事件 ID 消息可能反复记录到域控制器上的安全事件日志。 例如对于基于 Microsoft Windows 2000 的域控制器上反复记录以下事件消息:

类型: 失败审核
源: 安全
帐户登录事件类别:
事件 ID: 677
用户: NT AUTHORITY\SYSTEM
描述: 服务票证请求失败:
用户名称: UserName
用户域: DomainName
服务名称: ServiceName
票证选项: 0x40830000
故障代码: 0xE
客户端地址: IPAddress

在基于 Windows Server 2003 的域控制器上反复记录以下事件消息:

类型: 失败审核
源: 安全事件
类别: 帐户登录
事件 ID: 673
用户: NT AUTHORITY\SYSTEM
描述: 服务票证请求:
用户名称: UserName
域: DomainName
服务名称: ServiceName
服务标识: ServiceName
票证选项: 0x40830000
票证的加密类型: TicketEncryptionType
客户端地址: IPAddress
故障代码: 0xD
登录 GUID: GUID
transited 的服务: ServiceName

原因

出现此问题的原因是 Kerberos 客户端在基于 Windows 2000 的计算机上和在基于 Windows Server 2003 的计算机上检查密钥分发中心 (KDC) 以设定的时间间隔,以验证该服务的用户 (S4U) Kerberos 扩展受支持。 默认状态下,Kerberos 客户端检查 KDC 每隔 15 分钟。因为 Windows 2000 不支持 S4U Kerberos 扩展名,Windows 2000 域控制器的安全事件日志记录事件 ID 677 消息。 在 Windows Server 2003,如果 S4U Kerberos 扩展名未配置到安全事件日志记录事件 ID 673 消息。若要用于 S4U Kerberos 扩展名,您必须具有 Windows Server 2003 本机域,您必须配置相应的计算机帐户作为受约束的委派。

解决方案

此修补程序在此上下文中禁止显示事件 ID 677 和 $ 事件 ID 673。

Windows 2003 Server

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。此修补程序可能会接受进一步的测试。因此,如果此问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果不会显示此部分,请联系 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

需要任何先决条件不。

重新启动要求

应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和时间对这些文件列出在协调世界时 (UTC)。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的 日期和时间 项中的 时区 选项卡。
Windows Server 2003、 x 基于 x86 的版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Kdcsvc.dll5.2.3790.288226,8162005 年三月 16 日02: 02x86
Windows Server 2003 和基于 Itanium 的版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Kdcsvc.dll5.2.3790.288586,752三月 15--2005年10: 03IA 64

Windows 2000

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。此修补程序可能会接受进一步的测试。因此,如果此问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果不会显示此部分,请联系 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

若要将此修补程序,您必须具有 Windows 2000 Service Pack 3 (SP3) 安装在计算机上。

重新启动要求

应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和时间对这些文件列出在协调世界时 (UTC)。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的 日期和时间 项中的 时区 选项卡。
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Adsldp.dll5.0.2195.6824124,688十一月 14--2003年23: 56x86
Adsldpc.dll5.0.2195.6824132,3682003 年十一月 14 日23: 56x86
Adsmsext.dll5.0.2195.682463,7602003 年十一月 14 日23: 56x86
Advapi32.dll5.0.2195.6824381,7122003 年十一月 14 日23: 56x86
Browser.dll5.0.2195.686669,9042003 年十一月 14 日23: 56x86
Dnsapi.dll5.0.2195.6824136,4642003 年十一月 14 日23: 56x86
Dnsrslvr.dll5.0.2195.682496,0162003 年十一月 14 日23: 56x86
Eventlog.dll5.0.2195.686647,3762003 年十一月 14 日23: 56x86
Kdcsvc.dll5.0.2195.6871148,2402003 年十一月 14 日23: 56x86
Kerberos.dll5.0.2195.6871205,5842003 年十一月 5 日19: 32x86
Ksecdd.sys5.0.2195.682471,8882003 年九月 21 日00: 32x86
Lsasrv.dll5.0.2195.6869511,2482003 年十月 29 日6: 45x86
Lsass.exe5.0.2195.686933,5522003 年十月 29 日6: 45x86
Msv1_0.dll5.0.2195.6866114,9602003 年十月 17 日00: 33x86
Netapi32.dll5.0.2195.6866307,9842003 年十一月 14 日23: 56x86
Netlogon.dll5.0.2195.6863361,2322003 年十一月 14 日23: 56x86
Ntdsa.dll5.0.2195.6874931,6002003 年十一月 14 日23: 56x86
Samsrv.dll5.0.2195.6824392,4642003 年十一月 14 日23: 56x86
Scecli.dll5.0.2195.6824113,9362003 年十一月 14 日23: 56x86
Scesrv.dll5.0.2195.6824259,8562003 年十一月 14 日23: 56x86
Sp3res.dll5.0.2195.68705,847,5522003 年十一月 6 日22: 29x86
W32time.dll5.0.2195.682448,9122003 年十一月 14 日23: 56x86
W32tm.exe5.0.2195.682457,1042003 年九月 21 日00: 32x86
Wldap32.dll5.0.2195.6869126,2242003 年十一月 14 日23: 56x86

注意 此修补程序之前,应将应用于下列计算机:
  • 正在运行的 Windows 2000 或 Windows Server 2003 的域控制器
  • 运行 Windows Server 2003 的成员服务器

替代方法

重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表


要变通解决此问题并降低事件 ID 677 和事件 ID 673 的事件消息的频率增加 S4U 缓存超时值在 Kerberos 客户端上运行 Windows Server 2003 的计算机中执行以下操作:
  1. 上运行 Windows Server 2003 的计算机,单击 开始、 单击 运行、 键入 regedit,然后单击 确定
  2. 找到并单击下面的注册表项:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. 编辑 菜单上指向 新建,然后单击 DWORD 值
  4. 键入 S4UCacheTimeout,然后按 ENTER 键。
  5. 数值数据 框中键入要为其指定超时值的分钟数,然后单击 确定

    注意默认状态下,S4U 缓存超时值为 15 分钟。
  6. 退出注册表编辑器。

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

更多信息

Windows Server 2003 引入了对在服务-为-用户-到-代理 (S4U2Proxy) 扩展到 Kerberos 约束委派的支持。通过 S4U2Proxy 扩展服务可以获得票证与另一个服务的用户。有关 S4U Kerberos 扩展的详细信息,请访问下面的 Microsoft 网站:
有关 LsaLogonUser 的详细信息,请访问下面的 Micorosoft 网站:
http://msdn2.microsoft.com/en-us/library/aa378292.aspx
有关如何命名修补程序包的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816915对于 Microsoft Windows 修补程序包的新命名架构
有关用于描述 Microsoft 软件更新术语的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用于描述 Microsoft 软件更新的标准术语的说明

属性

文章编号: 824905 - 最后修改: 2007年11月4日 - 修订: 5.6
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbmt kbautohotfix kbhotfixserver kbwinserv2003presp1fix kbbug kbfix kbqfe kbwin2000presp5fix KB824905 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 824905
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com