您為特定的靜態連接埠 NTDS 和 Netlogon 在 Windows Server 2008 R2 為基礎的網域環境中之後,會產生長的登入時間。

狀況

請考慮下列情況:

  • 您必須在 Windows Server 2008 R2 為基礎的網域環境中的 Windows Server 2008 R2 為基礎的網域控制站。

  • 您設定要用於 NT 目錄服務 」 (NTDS) 和 Netlogon 網域控制站上的特定靜態連接埠。若要這麼做,您可以依照下列 「 Microsoft 知識庫 」 (KB) 文件所述的方法︰

    限制的 Active Directory 複寫流量和特定的通訊埠的用戶端 RPC 流量

  • 您設定周邊網路 (也稱為 DMZ、 非軍事區和屏蔽式子網路) 若要啟用特定的靜態連接埠上的網路流量。

  • 您嘗試登入網域控制站。

在這個案例中,網域控制站的登入程序所需時間超過預期。此外,某些服務依存於 Netlogon 服務可能會中斷。

此外,您可以看到下列 RPC 的延伸錯誤資訊報告 netlogon.log 檔案中︰[CRITICAL] [22508] NlPrintRpcDebug: Dumping extended error for I_NetServerReqChallenge with 0xc0020017[CRITICAL] [22508] [0] ProcessID is 948
[CRITICAL] [22508] [0] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [0] Generating component is 18
[CRITICAL] [22508] [0] Status is 1722
[CRITICAL] [22508] [0] Detection location is 1442
[CRITICAL] [22508] [0] Flags is 0
[CRITICAL] [22508] [0] NumberOfParameters is 1
[CRITICAL] [22508] Unicode string: dc1.contoso.com
[CRITICAL] [22508] [1] ProcessID is 948
[CRITICAL] [22508] [1] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [1] Generating component is 18
[CRITICAL] [22508] [1] Status is 1722
[CRITICAL] [22508] [1] Detection location is 323
[CRITICAL] [22508] [1] Flags is 0
[CRITICAL] [22508] [1] NumberOfParameters is 0
[CRITICAL] [22508] [2] ProcessID is 948
[CRITICAL] [22508] [2] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [2] Generating component is 18
[CRITICAL] [22508] [2] Status is 1237
[CRITICAL] [22508] [2] Detection location is 313
[CRITICAL] [22508] [2] Flags is 0
[CRITICAL] [22508] [2] NumberOfParameters is 0
[CRITICAL] [22508] [3] ProcessID is 948
[CRITICAL] [22508] [3] System Time is: 10/7/2014 17:9:8:786
[CRITICAL] [22508] [3] Generating component is 18
[CRITICAL] [22508] [3] Status is 10060
RPC 錯誤 1722 (RPC_S_SERVER_UNAVAILABLE),就必須通訊端錯誤 10060 (WSAETIMEDOUT)。這些錯誤會指出無法連接伺服器,且不沒有回應的時間。

在下列網路追蹤,您注意到的連接埠以及 TCP SYN 要求用戶端嘗試不會收到回應。因此,伺服器沒有回應這個連接埠上。10.1.1.70 57565 (0xE0DD) 10.1.1.140 135 (0x87) EPM EPM:Request: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.010.1.1.140 135 (0x87) 10.1.1.70 57565 (0xE0DD) EPM EPM:Response: ept_map: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v5, 10.1.1.140:2645 (0xA55) [2645]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:49150 (0xBFFE) [49150]
Tower: NDR, Netlogon(NRPC) {12345678-1234-ABCD-EF00-01234567CFFB} v1.0, RPC v510.92.24.141, 10.1.1.140:1028 (0x404) [1028]
注意用戶端會挑選第一個連接埠 (在此情況下,為 2645年) 和連接埠未開啟防火牆上。

當您有安裝在 Windows Server 2008 R2 的更新 ,或您使用 Windows Server 2012 或更新版本時,網域成員和談的受到這個問題的網域控制站的網域控制站會記錄事件 5816 和 5817 它發生時。

原因

之所以發生這個問題,是因為網域控制站上的端點登錄之間沒有同步。端點登錄會執行不同的服務或裝載 Lsass.exe 處理程序的執行緒。

例如,下列服務裝載 Lsass.exe 處理程序︰

  • Lsarpc

  • Samr

  • Drsuapi

  • Netlogon


解決方案

Hotfix 資訊

支援的 hotfix 可從 Microsoft 取得。不過,此 Hotfix 僅用於修正本文中所述的問題。此 hotfix 只適用於發生本文所述之問題的系統。此 hotfix 可能會接受其他測試。因此,如果此問題的影響不會很嚴重,我們建議您等候含此 hotfix 的下一版軟體更新。

如果 hotfix 可供下載,在此知識庫文件頂端將出現「可用的 Hotfix」區段。如果這個區段沒有出現,請連絡 Microsoft 客戶服務及支援以取得 hotfix。

注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如需 Microsoft 客戶服務和支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站:

注意「 下載 Hotfix 」 表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。

先決條件

若要套用此 hotfix,您必須執行 Windows Server 2008 R2 Service Pack 1 (SP1)。

如需有關如何取得 Windows 7 或 Windows Server 2008 R2 service pack 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 的相關資訊

登錄資訊

若要套用此 hotfix,您不需要對登錄進行任何變更。

重新啟動需求

套用此 hotfix 後,您必須重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代先前發行的 hotfix。

此 hotfix 的全域版本安裝檔案具有下列表格中所列的屬性。這些檔案的日期和時間均以國際標準時間 (UTC) 列出。本機電腦上這些檔案是以您當地的時間與目前的日光節約時間 (DST) 的時差來顯示日期和時間。此外,當您在檔案上執行特定作業時,日期和時間可能會變更。

Windows Server 2008 R2 檔案資訊備忘稿重要Windows 7 hotfix 及 Windows Server 2008 R2 hotfix 隨附在相同的套件中。不過,在 [Hotfix 要求] 頁面上的 Hotfix 會在這兩個作業系統下列出。若要要求套用至一或兩個作業系統的 Hotfix 套件,請選取此頁面上列在 Windows 7/Windows Server 2008 R2 之下的 Hotfix。永遠參考文件的〈套用〉一節以判斷實際套用每個 hotfix 的作業系統。

  • 可以識別套用至特定產品、 SR_Level (RTM、 SPn) 及服務分支 (LDR、 GDR) 的檔案,藉由檢查的檔案版本號碼,如下列表格所示︰

  • 資訊清單檔案 (.manifest) 及菊檔案 (.mum) 所安裝的每個環境都 < 其他檔案的="" windows="" server="" 2008="" r2="" 資訊=""> 一節中的 [分別列出。菊及資訊清單檔案,以及相關的安全性類別目錄 (.cat) 檔案中,是非常重要的事維護更新元件的狀態。安全性類別目錄檔案 (將不會為其列出屬性) 是使用 Microsoft 數位簽章簽署的。

狀態

Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。

更多的資訊

如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

用來描述 Microsoft 軟體更新標準術語的說明

Windows Server 2008 R2 的其他檔案資訊

所有支援 x64 型版本的 Windows Server 2008 R2 的其他檔案

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×