Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird das Problem behoben, bei dem Sie sich nicht bei einem Domänencontroller anmelden können, und der LSASS-Prozess (Local Security Authority Subsystem Service) reagiert nicht mehr.
Gilt für: Windows Server
Ursprüngliche KB-Nummer: 3144809
Sie können sich nach dem Neustart nicht bei einem Domänencontroller anmelden und die folgenden Szenarien erleben:
- Sie können den Benutzernamen und das Kennwort im Anmeldebildschirm eingeben, aber wenn Sie die EINGABETASTE drücken, geschieht nichts.
- Die Anmeldung wird nicht ohne Fehler fortgesetzt.
- Wenn Sie die Netzwerkschnittstellenkarte (Network Interface Card, NIC) trennen, können Sie sich mit zwischengespeicherten Anmeldeinformationen anmelden.
- Der LSASS-Prozess reagiert nicht mehr oder reagierte kürzlich nicht mehr.
- Viele Dienste können aufgrund eines Anmeldefehlers nicht gestartet werden.
Wenn dieses Problem auftritt, kann das Systemereignisprotokoll ein oder mehrere der folgenden Ereignisse enthalten:
| Ereignisprotokoll | Ereignisquelle | Kennung | Meldungstext |
|---|---|---|---|
| System | LsaSrv | 5.000 | Das Sicherheitspaket NTLM hat eine Ausnahme generiert. Die Ausnahmeinformationen sind die Daten. ODER Das Sicherheitspaket MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 eine Ausnahme generiert. Die Ausnahmeinformationen sind die Daten. Der erweiterte Fehler ist E0010014 |
| System | LsaSrv | 6038 | Microsoft Windows Server hat festgestellt, dass die NTLM-Authentifizierung derzeit zwischen Clients und diesem Server verwendet wird. Dieses Ereignis tritt einmal pro Start des Servers auf, wenn ein Client NTLM mit diesem Server verwendet. |
| System | Anwendungspopup | 26 | Anwendungspopup: lsass.exe - Anwendungsfehler: Ausnahme unbekannter Software exception (0xe0010004) in der Anwendung am Standort 0x90cf8b9c. |
| System | User32 | 1074 | Der Prozess wininit.exe hat den Neustart des Computers <DC> im Namen des Benutzers aus folgendem Grund initiiert: Aus diesem Grund wurde kein Titel gefunden. Grundcode: 0x50006 Herunterfahrtyp: Neustart Kommentar: Der Systemprozess "C:\Windows\system32\lsass.exe" wurde unerwartet mit statuscode -536805372 beendet. Das System wird nun heruntergefahren und neu gestartet. |
| System | Dienststeuerungs-Manager | 7038 | Der <Dienstnamedienst> konnte sich aufgrund des folgenden Fehlers nicht als NT AUTHORITY\SYSTEM mit dem aktuell konfigurierten Kennwort anmelden: Der RPC-Server ist nicht verfügbar. |
| System | Dienststeuerungs-Manager | 7000 | Der <Dienstnamedienst> konnte aufgrund des folgenden Fehlers nicht gestartet werden: Der Dienst wurde aufgrund eines Anmeldefehlers nicht gestartet. |
| System | Microsoft-Windows-Time-Service | 46 | Der Zeitpunkt, zu dem ein Fehler aufgetreten ist und zum Herunterfahren gezwungen wurde. Der Fehler war: 0x80070721: Ein sicherheitspaketspezifischer Fehler ist aufgetreten. |
| System | Dienststeuerungs-Manager | 7023 | Der IPsec-Richtlinien-Agent-Dienst wurde mit dem folgenden Fehler beendet: Der Authentifizierungsdienst ist unbekannt. |
| System | Netlogon | 5774 | Fehler bei der dynamischen Registrierung des DNS-Eintrags '<DNS> Record' auf dem folgenden DNS-Server: DNS-Server-IP-Adresse: <DNS ServerIP> Returned Response Code (RCODE): 5 Returned Status Code: 9017 ... ADDITIONAL DATA Error Value: DNS bad key. |
Möglicherweise finden Sie auch Fehler im Ereignisablaufverfolgungsprotokoll (EVENT Trace Log, ETL) oder in der Speicherabbildanalyse:
| Fehler | Protokollieren und Kommentieren |
|---|---|
| DSA_DB_EXCEPTION Fehlercode: 0xfffff9bf (4294965695): JET_errRecordNotFound - esent.h: /* Der Schlüssel wurde nicht gefunden */ |
LSASS-Ausnahmeabbild |
| C:\tools>err -536805372 # für dezimale -536805372 / hexadezimale 0xe0010004 DSA_DB_EXCEPTION dsexcept.h |
User32-Ereignisstatuscode |
| [1]035C.0160::02/23/16-13:26:11.0878836 [Microsoft-Windows-Shell-AuthUI-Common/Diagnostic ] DWORD1=2147943515, DWORD2=0 | Shell-AuthUI ETL Fehlercode: (HRESULT) 0x8007045b (2147943515) – Ein System heruntergefahren wird. "Dieser Fehler stammt aus dieser globalen Einstellung, und ich sehe diesen Satz in allen Dumps. 0: kd> dt lsasrv! ShutdownBegun" |
| NetLogon:LogonSAMPauseResponseEX (SAM Response when Netlogon is paused): 24 (0x18) | Netzwerkablaufverfolgung |
Der Container für Kennworteinstellungen wird verschoben oder fehlt.
In Windows Server 2012 und höheren Versionen führt der Authentifizierungsprozess einen Funktionsaufruf aus, um differenzierte Kennwortrichtlinien zu ermitteln, und er sucht nach dem Container für Kennworteinstellungen. Wenn sie nicht unter cn=system,dc=<domain,dc>=<com> im Active Directory-Domänenbenennungskontext vorhanden ist oder sich an einem falschen Speicherort befindet, schlägt die Anmeldung fehl.
Notiz
Der Kennworteinstellungscontainer ist ein Standardsystemcontainer, der immer vorhanden sein sollte. Dieser Container wird als Teil von Adprep für Windows Server 2008 und den Domänencontrollern höherer Versionen erstellt, um präzise Kennwortrichtlinien zu unterstützen.
Verschieben des Containers an den richtigen Speicherort oder erneutes Ausführen von Adprep
Wenn sich der Container für Kennworteinstellungen an dem falschen Speicherort befindet, führen Sie die folgenden Schritte aus:
Führen Sie den folgenden Befehl aus, um nach dem Container zu suchen:
repadmin /showattr . ncobj:domain: /filter:"(objectclass=msds-PasswordSettingsContainer)" /subtreeNotiz
Sie können den
repadmin /showobjBefehl ausführen, um zu überprüfen, wann der Container zuletzt geändert wurde.Öffnen Sie das LDP-Tool, und wählen Sie "RDN> durchsuchen" aus, um das Objekt an den richtigen Speicherort unter dem Systemcontainer zu verschieben.
Wenn der Container für Kennworteinstellungen nicht vorhanden ist, führen Sie die folgenden Schritte aus:
Melden Sie sich beim Infrastrukturmaster als Domänenadministrator an.
Erstellen Sie eine .txt Datei mit folgendem Text:
dn: CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=contoso,dc=com changetype: modify replace: revision revision: 1Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den
ldifdeBefehl aus, um die Datei zu importieren.ldifde -i -f <File Name>Löschen Sie im LDP-Tool oder im ADSI-Editor-Tool (Active Directory Service Interface) die Container der Vorgänge, die Sie erneut ausführen müssen. Beispiel:
cn=71482d49-8870-4cb3-a438-b6fc9ec35d70,cn=Operations,cn=DomainUpdates,cn=System,DC=fia,DC=local.
Führen Sie den Befehl
adprep /domainprepaus.
Sie können die ADPrep.log Datei (C:\Windows\debug\adprep\logs\<Date Time>\ADPrep.log) überprüfen, um das Ergebnis zu überprüfen.
Notiz
Windows Server 2019 und höhere Versionen verfügen über ein Update, das verhindert, dass der LSASS-Prozess nicht mehr reagiert.