ID d'événement 677 et messages d'échec d'audit d'événement 673 de code sont enregistrés à plusieurs reprises dans le journal sécurité des contrôleurs de domaine qui exécutent Windows 2000 et Windows Server 2003

Le support de Windows Server 2003 a pris fin le 14 juillet 2015

Microsoft a mis fin au support de Windows Server 2003 le 14 juillet 2015. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.

La version anglaise de cet article est la suivante: 824905
Symptômes
Dans un domaine Microsoft Windows Server 2003, messages D'ID événement associés aux échecs d'ouverture de session de compte peuvent être enregistrés à plusieurs reprises dans le journal des événements sur les contrôleurs de domaine de sécurité. Par exemple, le message d'événement suivant est consigné à plusieurs reprises sur les contrôleurs de domaine Windows 2000 :

Type : Audit des échecs
Source : sécurité
Catégorie de l'événement : connexion de compte
L'ID d'événement : 677
Utilisateur : Autorité NT\Système
Description : Échec de la demande de ticket service :
Nom d'utilisateur : UserName
Domaine utilisateur : DomainName
Nom de service : ServiceName
Options de ticket : 0x40830000
Code d'échec : 0xE
Adresse du client : IPAddress

Le message d'événement suivant est enregistré à plusieurs reprises sur les contrôleurs de domaine Windows Server 2003 :

Type : Audit des échecs
Source : événements de sécurité
Catégorie : connexion de compte
L'ID d'événement : 673
Utilisateur : Autorité NT\Système
Description : demande de ticket service :
Nom d'utilisateur : UserName
Domaine : DomainName
Nom du service : ServiceName
CODE de service : ServiceName
Options de ticket : 0x40830000
Type de cryptage du ticket : TicketEncryptionType
Adresse du client : IPAddress
Code d'échec : 0xD
Ouverture de session GUID : GUID
Services transited : ServiceName

Cause
Ce problème se produit car le client Kerberos sur les ordinateurs Windows 2000 et sur les ordinateurs Windows Server 2003 examine le centre de distribution de clés (KDC) à intervalles de jeu pour vérifier que l'extension de service pour utilisateur (S4U) Kerberos est prise en charge. Par défaut, le client Kerberos examine le KDC toutes les 15 minutes. Car Windows 2000 ne prend pas en charge l'extension S4U Kerberos, les messages d'événement 677 ID sont enregistrées dans le journal des événements de sécurité d'un contrôleur de domaine Windows 2000. Dans Windows Server 2003, les messages d'événement 673 de code sont enregistrées dans le journal des événements de sécurité si l'extension S4U Kerberos n'est pas configurée. Pour utiliser l'extension S4U Kerberos, vous devez disposer d'un domaine natif Windows Server 2003, et vous devez configurer les comptes d'ordinateur approprié pour la délégation contrainte.
Résolution
Ce correctif supprime les événements ID 677 et 673 de code d'événement dans ce contexte.

Windows Server 2003

Informations sur le correctif

Un correctif est disponible auprès de Microsoft. Toutefois, ce correctif est conçu pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant ce problème spécifique. Ce correctif peut subir des tests supplémentaires. Par conséquent, si vous n'êtes pas gravement touché par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielles qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il est une section « téléchargement correctif disponible » en haut de cet article de la base de connaissances. Si cette section n'apparaît pas, contactez le service clientèle Microsoft et de support pour obtenir le correctif.

note Si des problèmes supplémentaires se produisent ou si n'importe quel dépannage est nécessaire, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par ce correctif spécifique. Pour une liste complète des Microsoft client service et support numéros de téléphone ou pour créer une demande de service distincte, reportez-vous au site de Web Microsoft suivant : note L'écran de « téléchargement correctif disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas la langue, il est car un correctif logiciel n'est pas disponible pour cette langue.

Conditions préalables

Aucune condition préalable à l'installation ne sont nécessaires.

Demande de redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations sur le remplacement de correctif

Ce correctif ne remplace aucun autre correctif.

Informations de fichier

La version anglaise de ce correctif dispose les attributs de fichier (ou attributs de fichier version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, il est convertie en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire dans l'élément Date et heure du Panneau de configuration.
Windows Server 2003, x 86 versions
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-forme
Kdcsvc.dll5.2.3790.288226,81616-Mar-200502:02x 86
Windows Server 2003, versions Itanium
Nom de fichierVersion du fichierTaille de fichierDateHeurePlate-forme
Kdcsvc.dll5.2.3790.288586,75215-Mar - 200510:03IA-64

Windows 2000

Informations sur le correctif

Un correctif est disponible auprès de Microsoft. Toutefois, ce correctif est conçu pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant ce problème spécifique. Ce correctif peut subir des tests supplémentaires. Par conséquent, si vous n'êtes pas gravement touché par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielles qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il est une section « téléchargement correctif disponible » en haut de cet article de la base de connaissances. Si cette section n'apparaît pas, contactez le service clientèle Microsoft et de support pour obtenir le correctif.

note Si des problèmes supplémentaires se produisent ou si n'importe quel dépannage est nécessaire, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par ce correctif spécifique. Pour une liste complète des Microsoft client service et support numéros de téléphone ou pour créer une demande de service distincte, reportez-vous au site de Web Microsoft suivant : note L'écran de « téléchargement correctif disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas la langue, il est car un correctif logiciel n'est pas disponible pour cette langue.

Conditions préalables

Pour appliquer ce correctif, vous devez avoir installé sur l'ordinateur Windows 2000 Service Pack 3 (SP3).

Demande de redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations sur le remplacement de correctif

Ce correctif ne remplace aucun autre correctif.

Informations de fichier

La version anglaise de ce correctif dispose les attributs de fichier (ou attributs de fichier version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, il est convertie en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire dans l'élément Date et heure du Panneau de configuration.
Nom de fichierVersion du fichierTaille de fichierDateHeurePlate-forme
Adsldp.dll5.0.2195.6824124,68814-Nov - 200323:56x 86
Adsldpc.dll5.0.2195.6824132,36814-Nov-200323:56x 86
Adsmsext.dll5.0.2195.682463,76014-Nov-200323:56x 86
Advapi32.dll5.0.2195.6824381,71214-Nov-200323:56x 86
Browser.dll5.0.2195.686669,90414-Nov-200323:56x 86
Dnsapi.dll5.0.2195.6824136,46414-Nov-200323:56x 86
Dnsrslvr.dll5.0.2195.682496,01614-Nov-200323:56x 86
EventLog.dll5.0.2195.686647,37614-Nov-200323:56x 86
Kdcsvc.dll5.0.2195.6871148,24014-Nov-200323:56x 86
Kerberos.dll5.0.2195.6871205,58405-Nov-200319:32x 86
Ksecdd.sys5.0.2195.682471,88821-Sep-200300:32x 86
Lsasrv.dll5.0.2195.6869511,24829-Oct-200306:45x 86
Lsass.exe5.0.2195.686933,55229-Oct-200306:45x 86
Msv1_0.dll5.0.2195.6866114,96017-Oct-200300:33x 86
Netapi32.dll5.0.2195.6866307,98414-Nov-200323:56x 86
Netlogon.dll5.0.2195.6863361,23214-Nov-200323:56x 86
Ntdsa.dll5.0.2195.6874931,60014-Nov-200323:56x 86
Samsrv.dll5.0.2195.6824392,46414-Nov-200323:56x 86
Scecli.dll5.0.2195.6824113,93614-Nov-200323:56x 86
Scesrv.dll5.0.2195.6824259,85614-Nov-200323:56x 86
Sp3res.dll5.0.2195.68705,847,552Nov-06-200322:29x 86
W32time.dll5.0.2195.682448,91214-Nov-200323:56x 86
W32tm.exe5.0.2195.682457,10421-Sep-200300:32x 86
Wldap32.dll5.0.2195.6869126,22414-Nov-200323:56x 86

note Ce correctif doit être appliqué aux ordinateurs suivants :
  • Contrôleurs de domaine qui exécutent Windows 2000 ou Windows Server 2003
  • Serveurs membres qui exécutent Windows Server 2003
Contournement
important Cette section, la méthode ou la tâche, contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si modification incorrecte du Registre. Par conséquent, assurez-vous que ces étapes avec soin. Pour la protection supplémentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows


Pour contourner ce problème et pour réduire la fréquence d'événement 677 code et des messages d'événement d'événement 673 de code, augmentez la valeur de délai de cache S4U dans le client Kerberos sur les ordinateurs Windows Server 2003 :
  1. Sur un ordinateur qui exécute Windows Server 2003, cliquez sur Démarrer , cliquez sur Exécuter , tapez regedit et cliquez sur OK .
  2. Recherchez et cliquez ensuite la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Dans le menu Edition , pointez sur Nouveau , puis cliquez sur valeur DWORD .
  4. Tapez S4UCacheTimeout et puis appuyez sur ENTRÉE.
  5. Dans la zone données de la valeur , tapez le nombre de minutes que vous souhaitez spécifier la valeur du délai d'attente et puis cliquez sur OK .

    note Par défaut, la valeur de délai de cache S4U est 15 minutes.
  6. Quittez l'Éditeur du Registre.
Statut
Microsoft a confirmé que c'est un problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Plus d'informations
Windows Server 2003 introduit la prise en charge pour la délégation contrainte l'extension du service-de-utilisateur-à-proxy (S4U2Proxy) à Kerberos. En utilisant l'extension S4U2Proxy, un service peut obtenir des tickets à un autre service pour un utilisateur. Pour plus d'informations sur les extensions S4U Kerberos, reportez-vous au site de Web Microsoft suivant :
Pour plus d'informations sur LsaLogonUser, reportez-vous au site Web de Microsoft suivant : Pour plus d'informations sur la façon de nommer packages de correctifs, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
816915 Nouveau nom schéma pour les packages de correctifs Microsoft Windows
Pour plus d'informations sur la terminologie utilisée pour décrire les mises à jour logicielles Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
824684 Description de la terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 824905 - Dernière mise à jour : 11/04/2007 05:03:29 - Révision : 5.6

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbmt kbautohotfix kbhotfixserver kbwinserv2003presp1fix kbbug kbfix kbqfe kbwin2000presp5fix KB824905 KbMtfr
Commentaires