Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł pomaga rozwiązać problem, w którym nie można zalogować się do kontrolera domeny, a proces lokalnego podsystemu urzędu zabezpieczeń (LSASS) przestaje odpowiadać.
Dotyczy: Windows Server
Oryginalny numer KB: 3144809
Nie można zalogować się do kontrolera domeny po ponownym uruchomieniu i występują następujące scenariusze:
- Możesz wpisać nazwę użytkownika i hasło na ekranie logowania, ale po naciśnięciu Enter nic się nie stanie.
- Logowanie nie jest kontynuowane bez błędów.
- Jeśli rozłączysz kartę interfejsu sieciowego, możesz zalogować się przy użyciu buforowanych poświadczeń.
- Proces LSASS przestaje odpowiadać lub przestał odpowiadać ostatnio.
- Wiele usług nie może uruchomić się z powodu niepowodzenia logowania.
W przypadku wystąpienia tego problemu dziennik zdarzeń systemu może zawierać co najmniej jedno z następujących zdarzeń:
| Dziennik zdarzeń | Źródło zdarzeń | ID | Tekst komunikatu |
|---|---|---|---|
| System | LsaSrv | 5000 | Pakiet zabezpieczeń NTLM wygenerował wyjątek. Informacje o wyjątku to dane. LUB Pakiet zabezpieczeń MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 wygenerował wyjątek. Informacje o wyjątku to dane. Błąd rozszerzony jest E0010014 |
| System | LsaSrv | 6038 | System Microsoft Windows Server wykrył, że uwierzytelnianie NTLM jest obecnie używane między klientami a tym serwerem. To zdarzenie występuje raz na rozruch serwera po raz pierwszy, gdy klient używa protokołu NTLM z tym serwerem. |
| System | Menu podręczne aplikacji | 26 | Wyskakujące okienko aplikacji: lsass.exe — błąd aplikacji: wystąpił wyjątek nieznany wyjątek oprogramowania (0xe0010004) w aplikacji w lokalizacji 0x90cf8b9c. |
| System | User32 | 1074 | Proces wininit.exe zainicjował ponowne uruchomienie kontrolera domeny> komputera <w imieniu użytkownika z następującej przyczyny: Nie można odnaleźć tytułu z tego powodu. Kod przyczyny: 0x50006 Typ zamknięcia: ponowne uruchomienie Komentarz: Proces systemowy "C:\Windows\system32\lsass.exe" nieoczekiwanie zakończył się z kodem stanu -536805372. System zostanie teraz zamknięty i uruchomiony ponownie. |
| System | Menedżer sterowania usługami | 7038 | <Usługa nazwa> usługi nie może zalogować się jako NT AUTHORITY\SYSTEM z aktualnie skonfigurowanym hasłem z powodu następującego błędu: Serwer RPC jest niedostępny. |
| System | Menedżer sterowania usługami | 7000 | Uruchomienie <usługi Service Name> nie powiodło się z powodu następującego błędu: Usługa nie została uruchomiona z powodu błędu logowania. |
| System | Microsoft-Windows-Time-Service | 46 | Usługa time napotkała błąd i została zmuszona do zamknięcia. Błąd: 0x80070721: wystąpił błąd specyficzny dla pakietu zabezpieczeń. |
| System | Menedżer sterowania usługami | 7023 | Usługa agenta zasad protokołu IPsec została zakończona z powodu następującego błędu: Usługa uwierzytelniania jest nieznana. |
| System | Netlogon | 5774 | Rejestracja dynamiczna rekordu DNS "<Rekord> DNS" nie powiodła się na następującym serwerze DNS: adres IP serwera DNS: <Dns ServerIP> zwrócony kod odpowiedzi (RCODE): 5 zwrócony kod stanu: 9017 ... DODATKOWA WARTOŚĆ błędu DANYCH: nieprawidłowy klucz DNS. |
Błędy można również znaleźć w dzienniku śledzenia zdarzeń (ETL) lub analizie zrzutu pamięci:
| Błąd | Dziennik i komentarz |
|---|---|
| DSA_DB_EXCEPTION Kod błędu: 0xfffff9bf (4294965695): JET_errRecordNotFound — esent.h: /* Nie znaleziono klucza */ |
Zrzut awaryjny wyjątku LSASS |
| C:\tools>err -536805372 # dla 0xe0010004 dziesiętnych -536805372/szesnastkowy DSA_DB_EXCEPTION dsexcept.h |
Kod stanu zdarzenia User32 |
| [1]035C.0160::02/23/16-13:26:11.0878836 [Microsoft-Windows-Shell-AuthUI-Common/Diagnostic ] DWORD1=2147943515, DWORD2=0 | Shell-AuthUI ETL Kod błędu: (HRESULT) 0x8007045b (2147943515) — trwa zamykanie systemu. "Ten błąd pochodzi z tego ustawienia globalnego i widzę ten zestaw we wszystkich zrzutach. 0: kd> dt lsasrv! ShutdownBegun" |
| NetLogon:LogonSAMPauseResponseEX (odpowiedź SAM po wstrzymaniu netlogon): 24 (0x18) | Śledzenie sieci |
Kontener ustawień haseł został przeniesiony lub brakuje go
W systemie Windows Server 2012 i nowszych wersjach proces uwierzytelniania wykonuje wywołanie funkcji w celu określenia precyzyjnych zasad haseł i szuka kontenera Ustawień haseł. Jeśli nie jest obecny w katalogu cn=system,dc=<domain,dc>=<com> w kontekście nazewnictwa domeny usługi Active Directory lub znajduje się w nieprawidłowej lokalizacji, logowanie kończy się niepowodzeniem.
Uwaga
Kontener ustawień haseł jest domyślnym kontenerem systemowym, który powinien być zawsze obecny. Ten kontener jest tworzony w ramach programu Adprep dla kontrolerów domeny systemu Windows Server 2008 i nowszych wersji w celu obsługi precyzyjnych zasad haseł.
Przenieś kontener do właściwej lokalizacji lub uruchom ponownie narzędzie Adprep
Jeśli kontener ustawień haseł znajduje się w nieprawidłowej lokalizacji, wykonaj następujące kroki:
Uruchom następujące polecenie, aby wyszukać kontener:
repadmin /showattr . ncobj:domain: /filter:"(objectclass=msds-PasswordSettingsContainer)" /subtreeUwaga
Możesz uruchomić polecenie ,
repadmin /showobjaby sprawdzić, kiedy kontener został ostatnio zmodyfikowany.Otwórz narzędzie LDP i wybierz pozycję Przeglądaj>modyfikuj nazwę RDN , aby przenieść obiekt do poprawnej lokalizacji w kontenerze systemowym.
Jeśli kontener ustawień haseł nie istnieje, wykonaj następujące kroki:
Zaloguj się do wzorca infrastruktury jako administrator domeny.
Utwórz plik .txt z następującym tekstem:
dn: CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=contoso,dc=com changetype: modify replace: revision revision: 1Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom
ldifdepolecenie , aby zaimportować plik.ldifde -i -f <File Name>W narzędziu LDP lub narzędziu Edytora interfejsu usługi Active Directory (ADSI) usuń kontenery operacji, które należy ponownie uruchomić. Na przykład:
cn=71482d49-8870-4cb3-a438-b6fc9ec35d70,cn=Operations,cn=DomainUpdates,cn=System,DC=fia,DC=local.
Uruchom polecenie
adprep /domainprep.
Aby sprawdzić wynik, możesz sprawdzić plik ADPrep.log (C:\Windows\debug\adprep\logs\<Date Time>\ADPrep.log).
Uwaga
System Windows Server 2019 i nowsze wersje mają aktualizację, która uniemożliwia procesowi LSASS zatrzymywanie odpowiedzi.