症状
请考虑以下情形:
-
在基于 Windows Server 2008 R2 的域环境中具有基于 Windows Server 2008 R2 的域控制器。
-
设置特定静态端口用于 NT 目录服务 (NTDS) 和 Netlogon 在域控制器上。若要执行此操作,请按照下面的 Microsoft 知识库 (KB) 文章中介绍的方法︰
224196限制 Active Directory 复制通信量和特定端口的客户端 RPC 通信
-
配置外围网络 (也称为 DMZ、 非军事区和屏蔽子网) 来启用特定静态端口上的网络通信。
-
您尝试登录到域控制器。
在这种情况下,域控制器的登录过程比预期时间长。此外,依赖 Netlogon 服务的某些服务可能会中断。
此外,您可以看到以下 RPC 扩展错误信息报告在 netlogon.log 文件中︰[CRITICAL] [22508] NlPrintRpcDebug: Dumping extended error for I_NetServerReqChallenge with 0xc0020017[CRITICAL] [22508] [0] ProcessID is 948
[CRITICAL] [22508] [0] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [0] Generating component is 18
[CRITICAL] [22508] [0] Status is 1722
[CRITICAL] [22508] [0] Detection location is 1442
[CRITICAL] [22508] [0] Flags is 0
[CRITICAL] [22508] [0] NumberOfParameters is 1
[CRITICAL] [22508] Unicode string: dc1.contoso.com
[CRITICAL] [22508] [1] ProcessID is 948
[CRITICAL] [22508] [1] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [1] Generating component is 18
[CRITICAL] [22508] [1] Status is 1722
[CRITICAL] [22508] [1] Detection location is 323
[CRITICAL] [22508] [1] Flags is 0
[CRITICAL] [22508] [1] NumberOfParameters is 0
[CRITICAL] [22508] [2] ProcessID is 948
[CRITICAL] [22508] [2] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [2] Generating component is 18
[CRITICAL] [22508] [2] Status is 1237
[CRITICAL] [22508] [2] Detection location is 313
[CRITICAL] [22508] [2] Flags is 0
[CRITICAL] [22508] [2] NumberOfParameters is 0
[CRITICAL] [22508] [3] ProcessID is 948
[CRITICAL] [22508] [3] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [3] Generating component is 18
[CRITICAL] [22508] [3] Status is 10060
RPC 错误 1722 (RPC_S_SERVER_UNAVAILABLE),并且此套接字错误 10060 (WSAETIMEDOUT)。这些错误指示无法连接服务器和,因此未响应的时间。
在下面的网络跟踪,您注意到尝试与 TCP SYN 请求客户端的端口不会收到答复。因此,服务器没有响应在此端口上。10.1.1.70 57565 (0xE0DD) 10.1.1.140 135 (0x87) EPM EPM:Request: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.010.1.1.140 135 (0x87) 10.1.1.70 57565 (0xE0DD) EPM EPM:Response: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v5, 10.1.1.140:2645 (0xA55) [2645]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:49150 (0xBFFE) [49150]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:1028 (0x404) [1028]
注意:客户端将选取的第一个端口 (在本例中,它是 2645年) 和端口未打开防火墙上。
当您有安装在 Windows Server 2008 R2 中的更新2654097或您使用的 Windows Server 2012 或更高版本时,则域成员,并与受此问题的域控制器的域控制器将记录事件 5816 和 5817 发生时。
原因
发生此问题是因为域控制器上的终结点登记之间没有同步。终结点登记由不同服务或由 Lsass.exe 进程的线程执行。
例如,由 Lsass.exe 进程承载以下服务︰
-
Lsarpc
-
Samr
-
Drsuapi
-
Netlogon
解决方案
修补程序信息
可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。
如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。
注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码的完整列表,或要创建单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。
系统必备组件
若要应用此修补程序,您必须运行 Windows 服务器 2008 R2 Service Pack 1 (SP1)。
有关如何获取 Windows 7 或 Windows Server 2008 R2 Service Pack 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
976932Windows 7 和 Windows Server 2008 R2 服务包1 的信息
注册表信息
若要应用此修补程序,您不必对注册表进行任何更改。
重启要求
应用此修补程序后,必须重新启动计算机。
修补程序替换信息
此修补程序不替代以前发布的修补程序。
此修复程序的全球版本将安装具有下表所列属性的文件。这些文件的日期和时间以协调世界时 (UTC) 列出。您的本地计算机上这些文件的日期和时间以您的本地时间加上当前夏令时 (DST) 偏差显示。此外,当您对文件执行某些操作时,日期和时间可能会更改。
Windows Server 2008 R2 文件信息的备注重要:相同的软件包中包含 Windows 7 的修复程序和 Windows Server 2008 R2 的修复程序。但是,热修复程序请求页上的修补程序在这两个操作系统中列出。要请求到一个或两个操作系统的系统应用此修补程序包,请选择在"Windows 7/Windows Server 2008 R2"页上列出的修复程序。始终参考"适用于"一节文章,以确定每个修补程序适用于实际的操作系统。
-
通过检查下表中显示的文件版本号,可以识别应用于特定产品、 SR_Level (RTM、 SPn) 和服务分支 (LDR、 GDR) 的文件:
版本
产品
里程碑
服务分支
6.1.760
1.22xxxWindows Server 2008 R2
SP1
LDR
-
为每个环境所安装的 MANIFEST文件 (.manifest) 和MUM (.mum) 文件都在" Windows Server 2008 R2 附加文件的信息"部分中被单独列出。MUM 和 MANIFEST 文件以及关联的安全目录 (.cat) 文件,对于维护更新组件的状态极为重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
对于所有受支持的基于 x64 的 Windows Server 2008 R2 版本
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7601.22289 |
699,904 |
01-Apr-2013 |
07:33 |
x64 |
对于所有受支持的基于 IA-64 的 Windows Server 2008 R2 版本
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7601.22289 |
1,158,144 |
01-Apr-2013 |
04:23 |
IA-64 |
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
详细信息
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用来描述 Microsoft 软件更新的标准术语的说明
Windows Server 2008 R2 的其他文件信息
所有受支持的基于 x64 版本的 Windows Server 2008 R2 的附加文件
|
文件名称 |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_5c208d1b67eb79b1.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
35,995 |
|
日期(UTC) |
01-Apr-2013 |
|
时间 (UTC) |
08:04 |
|
平台 |
不适用 |
|
文件名称 |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_6675376d9c4c3bac.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
16,596 |
|
日期(UTC) |
01-Apr-2013 |
|
时间 (UTC) |
04:44 |
|
平台 |
不适用 |
对于所有受支持基于 IA-64 的版本的 Windows Server 2008 R2 的附加文件
|
文件名称 |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_0003958daf8c1177.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
35,992 |
|
日期(UTC) |
01-Apr-2013 |
|
时间 (UTC) |
04:52 |
|
平台 |
不适用 |
|
文件名称 |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.22289_none_6675376d9c4c3bac.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
16,596 |
|
日期(UTC) |
01-Apr-2013 |
|
时间 (UTC) |
04:44 |
|
平台 |
不适用 |
