Symptômes
Après l'installation d'une des mises à jour figurant dans la liste des mises à jour concernées (voir plus loin dans cette section) sur un contrôleur de domaine Windows Server 2012 ou Windows Server 2012 R2 ou sur un serveur membre qui effectue l'authentification directe pour le compte d'appelants distants, il se peut que l'authentification NTLM échoue avec l'erreur 0xC0000022.
Ce problème ne se produit pas si les mises à jour de sécurité décrites dans le Bulletin de sécurité Microsoft MS16-101 sont installées avant, après ou en même temps que des correctifs figurant dans la liste des mises à jour concernées.
Remarque Pour afficher les exemples de journaux pour le service Accès réseau figurant dans cette section, vous devez activer l'enregistrement de débogage à l'aide du Registre ou de l'outil NLTEST. Pour plus d'informations sur la procédure d'activation de l'enregistrement de débogage pour le service Accès réseau, consultez la page web de Microsoft à l'adresse suivante :
Activation du journal de débogage pour le service Accès réseau
Lorsque ce problème se produit, un message d'erreur similaire à celui qui suit est enregistré dans le fichier Netlogon.log du contrôleur de domaine concerné :
SamLogon: Network logon of Domain\User memberServer Returns 0xC0000022
Le tableau suivant affiche les détails de l'erreur :
Format hexadécimal |
Format décimal |
Format symbolique |
Format convivial |
0xC0000022 |
-1073741790 |
STATUS_ACCESS_DENIED |
Un processus a demandé d'accéder à un objet, mais |
Les fichiers NETLOGON.LOGS des contrôleurs de domaine concernés contiennent des signatures similaires à celle qui suit :
Date et heure [CRITICAL] [11940] DOMAIN: NlpUserValidateHigher: denying access after status: 0xc0000022 0
Date et heure [SESSION] [11940] DOMAIN: NlSetStatusClientSession: Set connection status to c0000022
Date et heure [SESSION] [11940] DOMAIN: NlSetStatusClientSession: Unbind from server \\DCName (TCP) 0.
Date et heure [SESSION] [11940] DOMAIN: NlSetStatusClientSession: Unbind from server \\DCName (TCP) 1.
Date et heure [LOGON] [11940] SamLogon: Network logon of Domain\xxxxx from xxxxxxxxx Returns 0xC000018D
Ou les entrées suivantes sur un ordinateur autonome ou membre avec un compte local :
Date et heure [LOGON] [4140] SamLogon: Network logon of ComputerA\LocalAccount from ComputerA Entered
Date et heure [CRITICAL] [4140] NlPrintRpcDebug: Couldn't get EEInfo for I_NetLogonSamLogonEx: 1761 (may be legitimate for 0xc0000064)
Date et heure [LOGON] [4140] SamLogon: Network logon of ComputerA\LocalAccount from ComputerA Returns 0xC0000022
Les détails des erreurs étendues sont les suivants :
Format hexadécimal |
Format décimal |
Format symbolique |
Format convivial |
0xC0000022 |
-1073741790 |
STATUS_ACCESS_DENIED |
Un processus a demandé d'accéder à un objet, mais ne dispose pas des droits d'accès correspondants. |
0x6e1 |
1761 |
RPC_S_ENTRY_NOT_FOUND |
Entrée introuvable. |
0xC000018D |
-1073741427 |
STATUS_TRUSTED_RELATIONSHIP_FAILURE |
La demande d'ouverture de session a échoué, car la relation d'approbation entre cette station de travail et le domaine principal a échoué. |
Liste des mises à jour concernées
Les mises à jour suivantes peuvent potentiellement être à l'origine de ce problème :
Windows 8.1 et Windows Server 2012 R2
3187754 |
MS16-110 : Description de la mise à jour de sécurité pour Windows datée du 13 septembre 2016 |
Windows Server 2012 :
2922223 |
Il est impossible de modifier l'heure du système si l'entrée de Registre RealTimeIsUniversal est activée dans Windows |
3167679 |
MS16-101 : Description de la mise à jour de sécurité pour les méthodes d'authentification Windows Media datée du 9 août 2016 |
3174644 |
Avis de sécurité Microsoft : Prise en charge mise à jour pour l'échange de clés Diffie-Hellman |
3175024 |
MS16-111 : Description de la mise à jour de sécurité pour le noyau Windows datée du 13 septembre 2016 |
3179575 |
Correctif cumulatif d'août 2016 pour Windows Server 2012 |
3187754 |
MS16-110 : Description de la mise à jour de sécurité pour Windows datée du 13 septembre 2016 |
3185332 |
Correctif cumulatif mensuel de qualité de sécurité d'octobre 2016 pour Windows Server 2012 |
3192393 |
Mise à jour de qualité de sécurité uniquement d'octobre 2016 pour Windows Server 2012 |
3192406 |
Aperçu d'octobre 2016 du correctif cumulatif mensuel de qualité pour Windows Server 2012 |
Cause
Ce problème se produit car un correctif cumulatif récent n'a pas inclus une dépendance lors de la mise à jour de Netlogon.dll.
Résolution
Pour résoudre ce problème, installez les mises à jour de sécurité décrites dans le Bulletin de sécurité Microsoft MS16-101.