Udostępnij za pośrednictwem

Logowanie użytkownika w pamięci podręcznej kończy się niepowodzeniem, gdy zdarzenie LSASRV 45058 wskazuje usunięcie buforowanych poświadczeń FIFO

W tym artykule naprawiono błąd logowania, który występuje podczas logowania się na komputerze z systemem Windows przyłączonym do domeny przy użyciu buforowanych poświadczeń.

Dotyczy: Windows 10, Windows 11, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2025
Oryginalny numer KB: 2555663

Symptomy

  1. Użytkownicy otrzymują następujący błąd podczas logowania się na komputerze z systemem Windows przyłączonym do domeny przy użyciu buforowanych poświadczeń:

    Obecnie nie ma dostępnych serwerów logowania do obsługi żądania logowania.

  2. Zdarzenie LsaSrv 45058, zarejestrowane w dzienniku zdarzeń systemu stacji roboczej przyłączonej do domeny, wskazuje, że system operacyjny usunął buforowane poświadczenia dla użytkownika określonego w zdarzeniu:

    Nazwa dziennika: System
    Źródło: LsaSrv
    Data: <data i><godzina>
    Identyfikator zdarzenia: 45058
    Kategoria zadań: Pamięć podręczna logowania
    Poziom: Informacje
    Słowa kluczowe: Klasyczne
    Użytkownik: Nie dotyczy
    Komputer: computername.contoso.com
    Opis rozwiązania:
    Wpis pamięci podręcznej logowania dla użytkownika USERNAME@CONTOSO.COM był najstarszym wpisem i został usunięty. Sygnatura czasowa tego wpisu to MM/DD/RRRR HH:MM:SS.

Przyczyna

Błąd logowania użytkownika występuje, gdy buforowane poświadczenia użytkownika zostały przeczyszczone z komputera lokalnego przez nowsze logowania użytkownika domeny.

Systemy operacyjne Windows buforuje poświadczenia dla ograniczonej liczby kont użytkowników (przy założeniu, że poświadczenia buforowane nie zostały wyłączone).

Po osiągnięciu buforowanego limitu przydziału logowania system operacyjny przeczyści najstarsze buforowane poświadczenia z komputera lokalnego, aby poświadczenia dla następnego unikatowego użytkownika domeny pomyślnie uwierzytelnione przez kontroler domeny mogły być buforowane. Rejestrowanie zdarzenia LsaSrv 45058 wskazuje, że osiągnięto buforowany limit przydziału logowania, wyzwalając usunięcie najstarszych poświadczeń użytkownika buforowanych na komputerze lokalnym.

Rozwiązanie

  1. Sprawdź, czy poświadczenia pamięci podręcznej są dozwolone na komputerze lokalnym.

    Jeśli wartość rejestru CachedLogonsCount wynosi 0, system nie będzie buforował poświadczeń użytkownika domeny. Zobacz sekcję Więcej informacji poniżej, aby określić konfigurowalny zakres.

  2. Jeśli poświadczenia użytkownika zostały usunięte LUB buforowane poświadczenia są wyłączone, ustanów łączność sieciową i rozpoznawanie nazw przy użyciu co najmniej jednego kontrolera domeny, który może uwierzytelniać logowanie do domeny konta użytkownika (vpn itd.), a następnie pomyślnie uwierzytelnić logowanie użytkownika.

    Jeśli buforowane logowania są włączone, pomyślne logowanie spowoduje buforowanie poświadczeń tego użytkownika podczas przeczyszczania najstarszych buforowanych poświadczeń.

    W przypadku ustanawiania łączności domeny za pośrednictwem programowej sieci VPN prawdopodobnie trzeba będzie ustanowić sieć VPN z innego lokalnego lub buforowanego użytkownika domeny, zachować to połączenie podczas wylogowywania, a następnie zalogować się lub przełączyć na konto użytkownika domeny, którego poświadczenia chcesz buforować.

  3. Oceń zwiększenie limitu przydziału logowania do pamięci podręcznej przy użyciu administratora domeny.

Więcej informacji

Domyślnie system operacyjny Windows buforuje lokalnie 10 poświadczeń użytkownika domeny. Gdy maksymalna liczba poświadczeń jest buforowana, a nowy użytkownik domeny loguje się do systemu, najstarsze poświadczenia są czyszczone z miejsca do przechowywania najnowszych poświadczeń. To zdarzenie informacyjne LsaSrv po prostu rejestruje, gdy to działanie ma miejsce. Po usunięciu buforowanych poświadczeń nie oznacza to, że konto nie może zostać uwierzytelnione przez kontroler domeny i ponownie zapisane w pamięci podręcznej.

Liczba miejsc dostępnych do przechowywania poświadczeń jest kontrolowana przez:

  • Ścieżka rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Nazwa ustawienia: CachedLogonsCount
  • Typ danych: REG_SZ
  • Wartość: Wartość domyślna = 10 dziesiętnych, maksymalna wartość = 50 dziesiętnych, minimalna wartość = 1

Poświadczenia buforowane można również zarządzać za pomocą zasad grupy, konfigurując:

Ścieżka ustawienia zasad grupy: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń.

Ustawienie zasad grupy: logowanie interakcyjne: liczba poprzednich logów do pamięci podręcznej (w przypadku, gdy kontroler domeny jest niedostępny)

Stacja robocza, do których użytkownik potrzebuje dostępu, musi mieć łączność fizyczną z domeną, a użytkownik musi uwierzytelnić się za pomocą kontrolera domeny, aby ponownie buforować swoje poświadczenia.