Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une résolution à un problème où l’événement 4624 et une adresse IP client et un numéro de port non valides sont générés lorsqu’un ordinateur client tente d’accéder à un ordinateur hôte exécutant RDP 8.0.
S’applique à : Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1
Numéro de base de connaissances d’origine : 3097467
Symptômes
Supposons que la mise à jour rdp (Remote Desktop Protocol) 8.0 pour Windows 7 et Windows Server 2008 R2 (KB2592687) est installée et activée via les paramètres de stratégie. Quand le Bureau à distance d’un utilisateur se connecte à cet ordinateur, l’ID d’événement de sécurité 4624 est journalisé et affiche une adresse IP cliente et un numéro de port non valides, comme suit :
Nom du journal : Sécurité
Source : Microsoft-Windows-Security-Audit
Date : 14/9/2015 6:10:36 PM
ID d’événement : 4624
Catégorie de tâche : Ouverture de session
Niveau : Information
Mots clés : Audit SuccessUser : N/A
Ordinateur : <computerFQDN>
Description :
L’ouverture de session d’un compte s’est correctement déroulée.Objet :
ID de sécurité : SYSTEM
Nom du compte : < MachineName>$
Domaine de compte : <DomainName>
ID d’ouverture de session : 0x3e7Type d’ouverture de session : 10
Nouvelle ouverture de session : ID de sécurité : < DomainName>\<username>
Nom du compte : < UserName>
Domaine de compte : <DomainName>
ID d’ouverture de session : 0x35137
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}Informations sur le processus :
ID de processus : 0x7cc
Nom du processus : C :\Windows\System32\winlogon.exeInformations réseau :
Nom de la station de travail :<nom_ordinateur>
Adresse réseau source : 244.230.0.0
Port source : 0Informations d’authentification détaillées :
Processus d’ouverture de session : Utilisateur32
Package d’authentification : Négocier
Services transités : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0Cet événement est généré lors de la création d’une session d’ouverture de session. Il est généré sur l’ordinateur accessible.
Les champs d’objet indiquent le compte sur le système local qui a demandé l’ouverture de session. Il s’agit généralement d’un service tel que le service serveur ou un processus local tel que Winlogon.exe ou Services.exe. Le champ de type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactifs) et 3 (réseau). Le champ de type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactifs) et 3 (réseau). Les champs Nouvelle ouverture de session indiquent le compte pour lequel la nouvelle ouverture de session a été créée, c’est-à-dire le compte connecté. Les champs réseau indiquent l’origine d’une demande d’ouverture de session distante. Le nom de la station de travail n’est pas toujours disponible et peut être laissé vide dans certains cas.Les champs d’informations d’authentification fournissent des informations détaillées sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique qui peut être utilisé pour mettre en corrélation cet événement avec un événement KDC.
- Les services transités indiquent quels services intermédiaires ont participé à cette demande d’ouverture de session.
- Le nom du package indique quel sous-protocole a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Cette valeur est 0 si aucune clé de session n’a été demandée.
Cause
Ce problème se produit en raison d’une modification de code dans RDP 8.0. Dans RDP 8.0, l’adresse IP du client est stockée dans une structure WTS_SOCKADDR. Cela diffère de RDP 7.0 (la version RDP par défaut dans Windows 7 et Windows Server 2008 R2).
Dans Windows 8 et Windows Server 2012 (et versions ultérieures de Windows), la logique de code pour la journalisation de cet événement est réécrite en fonction de la nouvelle conception. Cela empêche ce problème de se produire.
Résolution
Pour résoudre ce problème, mettez à niveau l’ordinateur cible RDP vers Windows 8 ou Windows Server 2012 (ou version ultérieure). Ou désactivez RDP 8.0 dans Windows 7 ou Windows Server 2008 R2.
Plus d’informations
Vous pouvez également rencontrer ce problème si vous utilisez un composant RDP tiers pour vous connecter à Windows 7 ou Windows Server 2008 R2 lorsque ce composant tiers utilise la même structure WTS_SOCKADDR. Dans ce cas, envisagez de mettre à niveau le système d’exploitation ou contactez le fournisseur de composants pour obtenir de l’aide.