Id. de suceso 677 y mensajes de error de identificador de suceso 673 auditoría se anotan repetidamente en el registro de seguridad de controladores de dominio que ejecutan Windows 2000 y Windows Server 2003

Síntomas

En un dominio de Microsoft Windows Server 2003, los mensajes de identificador de suceso que están asociados con errores de inicio de sesión de cuentas pueden anotarse varias veces para el registro de sucesos de seguridad en controladores de dominio. Por ejemplo, el mensaje de suceso siguiente se registra repetidamente en controladores de dominio basados en Microsoft Windows 2000:
El mensaje de suceso siguiente se registra repetidamente en controladores de dominio basados en Windows Server 2003:

Causa

Este problema se produce porque el cliente de Kerberos en equipos basados en Windows 2000 y en equipos basados en Windows Server 2003 examina el centro de distribución de claves (KDC) en los intervalos establecidos para comprobar que la extensión de Kerberos Service-for-User (S4U) es compatible. De forma predeterminada, el cliente Kerberos examina el KDC cada 15 minutos. Dado que Windows 2000 no admite la extensión de Kerberos S4U, se registran mensajes de identificador de suceso 677 en el registro de sucesos de seguridad de un controlador de dominio de Windows 2000. En Windows Server 2003, los mensajes de identificador de suceso 673 se registran en el registro de sucesos de seguridad si no se configura la extensión de Kerberos S4U. Para utilizar la extensión de Kerberos S4U, debe tener un dominio nativo de Windows Server 2003 y debe configurar las cuentas de equipo adecuado para la delegación restringida.

Solución

Esta revisión suprime 677 de ID de evento y el identificador de suceso 673 en este contexto.

Windows Server 2003

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

No hay requisitos previos.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Windows Server 2003, versiones basadas en x86
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Kdcsvc.dll5.2.3790.288226,81616-Mar-200502:02x86
Windows Server 2003, versiones basadas en Itanium
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Kdcsvc.dll5.2.3790.288586,75215 - Mar-200510:03IA-64

Windows 2000

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Para aplicar este hotfix, debe tener Windows 2000 Service Pack 3 (SP3) instalado en el equipo.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Adsldp.dll5.0.2195.6824124,68814 -Nov-200323:56x86
Adsldpc.dll5.0.2195.6824132,36814-Nov-200323:56x86
Adsmsext.dll5.0.2195.682463,76014-Nov-200323:56x86
Advapi32.dll5.0.2195.6824381,71214-Nov-200323:56x86
Browser.dll5.0.2195.686669,90414-Nov-200323:56x86
Dnsapi.dll5.0.2195.6824136,46414-Nov-200323:56x86
Dnsrslvr.dll5.0.2195.682496.01614-Nov-200323:56x86
Eventlog.dll5.0.2195.686647,37614-Nov-200323:56x86
Kdcsvc.dll5.0.2195.6871148,24014-Nov-200323:56x86
Kerberos.dll5.0.2195.6871205,58405-Nov-200319:32x86
Ksecdd.sys5.0.2195.682471,88821-Sep-200300:32x86
Lsasrv.dll5.0.2195.6869511,24829-Oct-200306:45x86
Lsass.exe5.0.2195.686933.55229-Oct-200306:45x86
Msv1_0.dll5.0.2195.6866114,96017-Oct-200300:33x86
Netapi32.dll5.0.2195.6866307,98414-Nov-200323:56x86
Netlogon.dll5.0.2195.6863361,23214-Nov-200323:56x86
Ntdsa.dll5.0.2195.6874931,60014-Nov-200323:56x86
Samsrv.dll5.0.2195.6824392,46414-Nov-200323:56x86
Scecli.dll5.0.2195.6824113,93614-Nov-200323:56x86
Scesrv.dll5.0.2195.6824259,85614-Nov-200323:56x86
Sp3res.dll5.0.2195.68705,847,55206-Nov-200322:29x86
W32time.dll5.0.2195.682448.91214-Nov-200323:56x86
W32tm.exe5.0.2195.682457,10421-Sep-200300:32x86
Wldap32.dll5.0.2195.6869126,22414-Nov-200323:56x86

Nota: Esta revisión debe aplicarse a los siguientes equipos:
  • Controladores de dominio que ejecutan Windows 2000 o Windows Server 2003
  • Servidores miembro que ejecutan Windows Server 2003

Solución alternativa

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Para evitar este problema y para reducir la frecuencia de identificador de suceso 677 y mensajes de sucesos de identificador de suceso 673, aumente el valor de tiempo de espera de caché de S4U del cliente de Kerberos en equipos que ejecutan Windows Server 2003:
  1. En un equipo que ejecuta Windows Server 2003, haga clic en Inicio, haga clic en Ejecutar, escriba regedity, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la clave del registro siguiente:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. En el menú Edición , seleccione Nuevo y, a continuación, haga clic en Valor DWORD.
  4. Escriba S4UCacheTimeouty, a continuación, presione ENTRAR.
  5. En el cuadro información del valor , escriba el número de minutos que desea especificar para el valor de tiempo de espera y, a continuación, haga clic en Aceptar.

    Nota: De forma predeterminada, el valor de tiempo de espera de caché de S4U es 15 minutos.
  6. Salga del Editor del registro.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información

Windows Server 2003 incorpora compatibilidad para la delegación restringida en la extensión de servicio-de-usuario-a-Proxy (S4U2Proxy) a Kerberos. Con la extensión S4U2Proxy, un servicio puede obtener vales a otro servicio para un usuario. Para obtener más información acerca de las extensiones de Kerberos S4U, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de LsaLogonUser, visite el siguiente sitio Web de Microsoft:
Para obtener información adicional acerca de cómo se denominan los paquetes de revisiones, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

816915 nuevos nombres de esquema para los paquetes de revisiones de Microsoft Windows

Para obtener información adicional acerca de la terminología que se utiliza para describir las actualizaciones de software de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

Propiedades

Id. de artículo: 824905 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios