Freigeben über


Anmeldung bei einem Domänencontroller nicht möglich, und der LSASS-Prozess reagiert nicht mehr.

In diesem Artikel wird das Problem behoben, bei dem Sie sich nicht bei einem Domänencontroller anmelden können, und der LSASS-Prozess (Local Security Authority Subsystem Service) reagiert nicht mehr.

Gilt für: Windows Server
Ursprüngliche KB-Nummer: 3144809

Sie können sich nach dem Neustart nicht bei einem Domänencontroller anmelden und die folgenden Szenarien erleben:

  • Sie können den Benutzernamen und das Kennwort im Anmeldebildschirm eingeben, aber wenn Sie die EINGABETASTE drücken, geschieht nichts.
  • Die Anmeldung wird nicht ohne Fehler fortgesetzt.
  • Wenn Sie die Netzwerkschnittstellenkarte (Network Interface Card, NIC) trennen, können Sie sich mit zwischengespeicherten Anmeldeinformationen anmelden.
  • Der LSASS-Prozess reagiert nicht mehr oder reagierte kürzlich nicht mehr.
  • Viele Dienste können aufgrund eines Anmeldefehlers nicht gestartet werden.

Wenn dieses Problem auftritt, kann das Systemereignisprotokoll ein oder mehrere der folgenden Ereignisse enthalten:

Ereignisprotokoll Ereignisquelle Kennung Meldungstext
System LsaSrv 5.000 Das Sicherheitspaket NTLM hat eine Ausnahme generiert. Die Ausnahmeinformationen sind die Daten.
ODER
Das Sicherheitspaket MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 eine Ausnahme generiert. Die Ausnahmeinformationen sind die Daten.

Der erweiterte Fehler ist E0010014
System LsaSrv 6038 Microsoft Windows Server hat festgestellt, dass die NTLM-Authentifizierung derzeit zwischen Clients und diesem Server verwendet wird. Dieses Ereignis tritt einmal pro Start des Servers auf, wenn ein Client NTLM mit diesem Server verwendet.
System Anwendungspopup 26 Anwendungspopup: lsass.exe - Anwendungsfehler: Ausnahme unbekannter Software exception (0xe0010004) in der Anwendung am Standort 0x90cf8b9c.
System User32 1074 Der Prozess wininit.exe hat den Neustart des Computers <DC> im Namen des Benutzers aus folgendem Grund initiiert:

Aus diesem Grund wurde kein Titel gefunden.

Grundcode: 0x50006

Herunterfahrtyp: Neustart

Kommentar: Der Systemprozess "C:\Windows\system32\lsass.exe" wurde unerwartet mit statuscode -536805372 beendet. Das System wird nun heruntergefahren und neu gestartet.
System Dienststeuerungs-Manager 7038 Der <Dienstnamedienst> konnte sich aufgrund des folgenden Fehlers nicht als NT AUTHORITY\SYSTEM mit dem aktuell konfigurierten Kennwort anmelden: Der RPC-Server ist nicht verfügbar.
System Dienststeuerungs-Manager 7000 Der <Dienstnamedienst> konnte aufgrund des folgenden Fehlers nicht gestartet werden: Der Dienst wurde aufgrund eines Anmeldefehlers nicht gestartet.
System Microsoft-Windows-Time-Service 46 Der Zeitpunkt, zu dem ein Fehler aufgetreten ist und zum Herunterfahren gezwungen wurde. Der Fehler war: 0x80070721: Ein sicherheitspaketspezifischer Fehler ist aufgetreten.
System Dienststeuerungs-Manager 7023 Der IPsec-Richtlinien-Agent-Dienst wurde mit dem folgenden Fehler beendet: Der Authentifizierungsdienst ist unbekannt.
System Netlogon 5774 Fehler bei der dynamischen Registrierung des DNS-Eintrags '<DNS> Record' auf dem folgenden DNS-Server: DNS-Server-IP-Adresse: <DNS ServerIP> Returned Response Code (RCODE): 5 Returned Status Code: 9017 ... ADDITIONAL DATA Error Value: DNS bad key.

Möglicherweise finden Sie auch Fehler im Ereignisablaufverfolgungsprotokoll (EVENT Trace Log, ETL) oder in der Speicherabbildanalyse:

Fehler Protokollieren und Kommentieren
DSA_DB_EXCEPTION
Fehlercode: 0xfffff9bf (4294965695):
JET_errRecordNotFound - esent.h: /* Der Schlüssel wurde nicht gefunden */
LSASS-Ausnahmeabbild
C:\tools>err -536805372
# für dezimale -536805372 / hexadezimale 0xe0010004
DSA_DB_EXCEPTION dsexcept.h
User32-Ereignisstatuscode
[1]035C.0160::02/23/16-13:26:11.0878836 [Microsoft-Windows-Shell-AuthUI-Common/Diagnostic ] DWORD1=2147943515, DWORD2=0 Shell-AuthUI ETL
Fehlercode: (HRESULT) 0x8007045b (2147943515) – Ein System heruntergefahren wird.
"Dieser Fehler stammt aus dieser globalen Einstellung, und ich sehe diesen Satz in allen Dumps.
0: kd> dt lsasrv! ShutdownBegun"
NetLogon:LogonSAMPauseResponseEX (SAM Response when Netlogon is paused): 24 (0x18) Netzwerkablaufverfolgung

Der Container für Kennworteinstellungen wird verschoben oder fehlt.

In Windows Server 2012 und höheren Versionen führt der Authentifizierungsprozess einen Funktionsaufruf aus, um differenzierte Kennwortrichtlinien zu ermitteln, und er sucht nach dem Container für Kennworteinstellungen. Wenn sie nicht unter cn=system,dc=<domain,dc>=<com> im Active Directory-Domänenbenennungskontext vorhanden ist oder sich an einem falschen Speicherort befindet, schlägt die Anmeldung fehl.

Notiz

Der Kennworteinstellungscontainer ist ein Standardsystemcontainer, der immer vorhanden sein sollte. Dieser Container wird als Teil von Adprep für Windows Server 2008 und den Domänencontrollern höherer Versionen erstellt, um präzise Kennwortrichtlinien zu unterstützen.

Verschieben des Containers an den richtigen Speicherort oder erneutes Ausführen von Adprep

Wenn sich der Container für Kennworteinstellungen an dem falschen Speicherort befindet, führen Sie die folgenden Schritte aus:

  1. Führen Sie den folgenden Befehl aus, um nach dem Container zu suchen:

    repadmin /showattr . ncobj:domain: /filter:"(objectclass=msds-PasswordSettingsContainer)" /subtree
    

    Notiz

    Sie können den repadmin /showobj Befehl ausführen, um zu überprüfen, wann der Container zuletzt geändert wurde.

  2. Öffnen Sie das LDP-Tool, und wählen Sie "RDN> durchsuchen" aus, um das Objekt an den richtigen Speicherort unter dem Systemcontainer zu verschieben.

Wenn der Container für Kennworteinstellungen nicht vorhanden ist, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Infrastrukturmaster als Domänenadministrator an.

  2. Erstellen Sie eine .txt Datei mit folgendem Text:

    dn: CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=contoso,dc=com
    changetype: modify
    replace: revision
    revision: 1
    
  3. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den ldifde Befehl aus, um die Datei zu importieren.

    ldifde -i -f <File Name>
    
  4. Löschen Sie im LDP-Tool oder im ADSI-Editor-Tool (Active Directory Service Interface) die Container der Vorgänge, die Sie erneut ausführen müssen. Beispiel:

    cn=71482d49-8870-4cb3-a438-b6fc9ec35d70,cn=Operations,cn=DomainUpdates,cn=System,DC=fia,DC=local.

  5. Führen Sie den Befehl adprep /domainprep aus.

Sie können die ADPrep.log Datei (C:\Windows\debug\adprep\logs\<Date Time>\ADPrep.log) überprüfen, um das Ergebnis zu überprüfen.

Notiz

Windows Server 2019 und höhere Versionen verfügen über ein Update, das verhindert, dass der LSASS-Prozess nicht mehr reagiert.