你目前正处于脱机状态,正在等待 Internet 重新连接

当您将服务器升级为域控制器角色时出现 LSASRV 事件 ID 40960 和 40961

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

症状
在您将基于 Windows Server 2003 的计算机升级为域控制器角色后重新启动该计算机时,以下事件可能显示在事件查看器的系统日志中:

类型:警告
来源: LSASRV
类别: SPNEGO (Negotiator)
事件 ID: 40960
日期: date
时间: time
用户: N/A
计算机: Computername
描述:安全系统检测到一个对服务器 ldap/dca.acc.local 的身份验证错误。来自身份验证协议 Kerberos 的失败代码为“目前没有可用的登录服务器处理登录请求。(0xc000005e)”。
有关更多信息,请参阅在 http://support.microsoft.com 的帮助和支持中心。
日期:0000: c000005e

类型:警告
来源: LSASRV
类别: SPNEGO (Negotiator)
事件 ID: 40961
日期: date
时间: time
用户: N/A
计算机: Computername
描述:安全系统不能与服务器 ldap/Computername.domain.com 建立一个安全连接。没有可用的身份验证协议。
有关更多信息,请参阅在 http://support.microsoft.com 的帮助和支持中心。
日期:0000: c0000388

解决方案
如果此错误仅发生在重新启动服务器后,则很可能是该服务正试图在目录服务可用前进行身份验证。

823712 在运行 Dcpromo.exe 后重新启动 Windows Server 2003 时系统事件日志中记录 ID 为 40960 和 40961 的事件
更多信息
协商安全包是一种专用的安全 支持提供程序 (SSP),它充当安全支持提供程序接口 (SSPI) 和其他 SSP 之间的应用程序层。当应用程序调用 SSPI 以将安全主体记录到网络中时,它可以指定一个 SSP 来处理此请求。如果应用程序指定协商,则协商会分析请求并选择最佳 SSP 来处理请求。在 Windows Server 2003 的默认安装上,Negotiate SSP 首先将登录请求提交给 Kerberos,这是因为在身份验证协议当中,Kerberos 因支持相互身验证而成为首选身份验证协议。如果 Kerberos 无法处理此请求,则协商将恢复使用 NTLM。但是,如果 Kerberos 可以处理登录请求,而请求失败并返回一个授权错误,则协商将不会恢复使用 NTLM。Negotiate SSP 将在系统日志中记录 40960 事件,并包含由 Kerberos 返回的错误以解释登录请求失败的原因。

事件 40960 只记录由 Kerberos 返回的错误,而不记录主体的名称或客户端的名称。要获得此信息,必须启用用户登录失败的审核。通过查看同时作为 SPNEGO 事件记录的登录失败审核事件,可获得有关登录失败的更多信息。
DS frs dcpromo w32time
属性

文章 ID:824217 - 上次审阅时间:09/22/2006 03:30:00 - 修订版本: 3.1

Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows XP Professional Edition

  • kbprb KB824217
反馈