Longue ouverture de session après avoir défini un port statique pour NTDS et Netlogon dans un environnement de domaine Windows Server 2008 R2

Symptômes

Considérez le scénario suivant :

  • Vous avez des contrôleurs de domaine Windows Server 2008 R2 dans un environnement de domaine Windows Server 2008 R2.

  • Vous définissez un port statique spécifique à utiliser pour le Service d’annuaire NT (NTDS) et Netlogon sur un contrôleur de domaine. Pour ce faire, vous suivez la méthode qui est décrite dans l’article suivant de la Base de connaissances Microsoft (KB) :

    Le trafic de réplication de restriction de Active Directory et le trafic RPC client sur un port spécifique de

  • Vous configurez un réseau de périmètre (également appelé DMZ, zone démilitarisée ou DMZ et sous-réseau filtré) pour activer le trafic réseau sur un port statique spécifique.

  • Vous essayez d’ouvrir une session sur le contrôleur de domaine.

Dans ce scénario, la procédure d’ouverture de session du contrôleur de domaine prend plus de temps que prévu. En outre, certains des services qui dépendent du service Netlogon peuvent être perturbés.

Également, vous pouvez voir le RPC suivant étendue des informations d’erreur signalées dans le fichier netlogon.log :[CRITICAL] [22508] NlPrintRpcDebug: Dumping extended error for I_NetServerReqChallenge with 0xc0020017[CRITICAL] [22508] [0] ProcessID is 948
[CRITICAL] [22508] [0] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [0] Generating component is 18
[CRITICAL] [22508] [0] Status is 1722
[CRITICAL] [22508] [0] Detection location is 1442
[CRITICAL] [22508] [0] Flags is 0
[CRITICAL] [22508] [0] NumberOfParameters is 1
[CRITICAL] [22508] Unicode string: dc1.contoso.com
[CRITICAL] [22508] [1] ProcessID is 948
[CRITICAL] [22508] [1] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [1] Generating component is 18
[CRITICAL] [22508] [1] Status is 1722
[CRITICAL] [22508] [1] Detection location is 323
[CRITICAL] [22508] [1] Flags is 0
[CRITICAL] [22508] [1] NumberOfParameters is 0
[CRITICAL] [22508] [2] ProcessID is 948
[CRITICAL] [22508] [2] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [2] Generating component is 18
[CRITICAL] [22508] [2] Status is 1237
[CRITICAL] [22508] [2] Detection location is 313
[CRITICAL] [22508] [2] Flags is 0
[CRITICAL] [22508] [2] NumberOfParameters is 0
[CRITICAL] [22508] [3] ProcessID is 948
[CRITICAL] [22508] [3] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [3] Generating component is 18
[CRITICAL] [22508] [3] Status is 10060
L’erreur RPC est 1722 (RPC_S_SERVER_UNAVAILABLE), et l’erreur Sockets est 10060 (WSAETIMEDOUT). Ces erreurs indiquent que le serveur ne peut pas être atteint et qu’il n’a pas répondu dans le temps.

Dans la trace réseau ci-dessous, vous remarquez que le port a essayé par le client ainsi que les demandes TCP SYN ne reçoit pas de réponse. Par conséquent, le serveur ne répond pas sur ce port.10.1.1.70 57565 (0xE0DD) 10.1.1.140 135 (0x87) EPM EPM:Request: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.010.1.1.140 135 (0x87) 10.1.1.70 57565 (0xE0DD) EPM EPM:Response: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v5, 10.1.1.140:2645 (0xA55) [2645]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:49150 (0xBFFE) [49150]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:1028 (0x404) [1028]
Remarque : Le client choisit le premier port (dans ce cas, il est 2645) et que le port n’est pas ouvert sur le pare-feu.

Lorsque vous avez de mise à jour installé dans Windows Server 2008 R2 ou à l’aide de Windows Server 2012 ou une version ultérieure, les membres de domaine et les contrôleurs de domaine qui communiquent avec un contrôleur de domaine qui est concerné par ce problème enregistrera les événements 5816 et 5817 lorsqu’il se produit.

Cause

Ce problème se produit car il n’y a aucune synchronisation entre les enregistrements du point de terminaison sur le contrôleur de domaine. Les enregistrements du point de terminaison sont effectuées par les différents services ou threads qui sont hébergées par le processus Lsass.exe.

Par exemple, les services suivants sont hébergées par le processus Lsass.exe :

  • Lsarpc

  • SAMR

  • Drsuapi

  • Netlogon


Résolution

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du service clientèle de Microsoft ou pour créer une demande de service distincte, visitez le site Web Microsoft suivant :

Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

Conditions préalables

Pour appliquer ce correctif, vous devez exécuter Windows Server 2008 R2 Service Pack 1 (SP1).

Pour plus d’informations sur la façon d’obtenir un service pack Windows 7 ou Windows Server 2008 R2, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

Informations sur le Service Pack 1 pour Windows 7 et Windows Server 2008 R2

Informations concernant le Registre

Pour appliquer ce correctif, vous n'avez à apporter aucune modification au Registre.

Nécessite un redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace pas un correctif précédemment publié.

La version globale de ce correctif logiciel installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Les dates et heures de ces fichiers sur votre ordinateur local sont affichées dans votre heure locale en tenant compte de l'heure d'été (DST). En outre, les dates et heures peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.

Remarques sur les fichiers Windows Server 2008 R2Important Les correctifs logiciels Windows 7 et Windows Server 2008 R2 sont inclus dans les mêmes packages. Toutefois, les correctifs dans la page de demande de correctif logiciel sont répertoriés sous les deux systèmes d’exploitation. Pour demander le package de correctif qui s’applique à un ou deux systèmes d’exploitation, sélectionnez le correctif logiciel qui est répertorié sous « Windows 7/Windows Server 2008 R2 » sur la page. Reportez-vous toujours à la section « S’applique à » dans les articles pour déterminer le système d’exploitation actif auquel s’applique chaque correctif.

  • Les fichiers qui s'appliquent à un produit spécifique, SR_Level (RTM, SPn), et à une branche de service (LDR, GDR), peuvent être identifiés en examinant les numéros de version de fichier comme indiqués dans le tableau suivant :

    Version francaise

    Produit

    Jalon

    Dossier

    6.1.760
    1.22 xxx

    Windows Server 2008 R2

    SP1

    LDR

  • Les fichiers MANIFEST (.manifest) et MUM (.mum) qui sont installés pour chaque environnement sont répertoriés séparément dans la section « Informations de fichiers supplémentaires pour Windows Server 2008 R2 ». Les fichiers MUM et MANIFEST et les fichiers de catalogue sécurité associées (.cat), sont extrêmement importants pour conserver l'état du composant mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.

Pour toutes les versions basées sur les x64 de Windows Server 2008 R2

Nom de fichier

Version de fichier

Taille du fichier

Date

Heure

Plateforme

Netlogon.dll

6.1.7601.22289

699,904

01-Apr-2013

07:33

x64

Pour toutes les versions IA-64 prises en charge de Windows Server 2008 R2

Nom de fichier

Version de fichier

Taille du fichier

Date

Heure

Plateforme

Netlogon.dll

6.1.7601.22289

1,158,144

01-Apr-2013

04:23

IA-64


État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations

Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Description de la terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft

Informations de fichiers supplémentaires pour Windows Server 2008 R2

Fichiers supplémentaires pour toutes les versions basées sur les x64 pris en charge de Windows Server 2008 R2

Nom de fichier

Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_5c208d1b67eb79b1.manifest

Version de fichier

Ne s'applique pas

Taille du fichier

35,995

Date (UTC)

01-Apr-2013

Heure (UTC)

08:04

Plateforme

Ne s'applique pas

Nom de fichier

Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_6675376d9c4c3bac.manifest

Version de fichier

Ne s'applique pas

Taille du fichier

16,596

Date (UTC)

01-Apr-2013

Heure (UTC)

04:44

Plateforme

Ne s'applique pas

Fichiers supplémentaires pour toutes les versions de Windows Server 2008 R2 basées sur IA-64 prises en charge

Nom de fichier

Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_0003958daf8c1177.manifest

Version de fichier

Ne s'applique pas

Taille du fichier

35,992

Date (UTC)

01-Apr-2013

Heure (UTC)

04:52

Plateforme

Ne s'applique pas

Nom de fichier

Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_6675376d9c4c3bac.manifest

Version de fichier

Ne s'applique pas

Taille du fichier

16,596

Date (UTC)

01-Apr-2013

Heure (UTC)

04:44

Plateforme

Ne s'applique pas


Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×