Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda a corrigir o problema em que você não pode entrar em um controlador de domínio e o processo LSASS (Serviço de Subsistema de Autoridade de Segurança Local) para de responder.
Aplica-se a: Windows Server
Número original do KB: 3144809
Você não pode entrar em um controlador de domínio após a reinicialização e enfrenta os seguintes cenários:
- Você pode digitar o nome de usuário e a senha na tela de login, mas quando pressiona Enter, nada acontece.
- A entrada não prossegue sem erros.
- Se você desconectar a placa de interface de rede (NIC), poderá entrar com credenciais armazenadas em cache.
- O processo LSASS para de responder ou parou de responder recentemente.
- Muitos serviços não podem ser iniciados devido a uma falha de entrada.
Quando esse problema ocorre, o log de eventos do sistema pode conter um ou mais dos seguintes eventos:
| Log de eventos | Origem do Evento | ID | Texto da mensagem |
|---|---|---|---|
| Sistema | LsaSrv | 5.000 | O pacote de segurança NTLM gerou uma exceção. As informações de exceção são os dados. OR O pacote de segurança MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 gerou uma exceção. As informações de exceção são os dados. O erro estendido é E0010014 |
| Sistema | LsaSrv | 6038 | O Microsoft Windows Server detectou que a autenticação NTLM está sendo usada atualmente entre clientes e esse servidor. Esse evento ocorre uma vez por inicialização do servidor na primeira vez que um cliente usa NTLM com esse servidor. |
| Sistema | Pop-up do aplicativo | 26 | Pop-up do aplicativo: lsass.exe - Erro do aplicativo: A exceção de software desconhecido (0xe0010004) ocorreu no aplicativo no local 0x90cf8b9c. |
| Sistema | User32 | 1074 | O processo wininit.exe iniciou a reinicialização do controlador de domínio> do computador <em nome do usuário pelo seguinte motivo: Nenhum título por esse motivo foi encontrado. Código de motivo: 0x50006 Tipo de Desligamento: reiniciar Comentário: O processo do sistema 'C:\Windows\system32\lsass.exe' foi encerrado inesperadamente com o código de status -536805372. O sistema agora será desligado e reiniciado. |
| Sistema | Gerenciador de Controle de Serviço | 7038 | O <serviço de Nome> do Serviço não pôde fazer logon como NT AUTHORITY\SYSTEM com a senha configurada no momento devido ao seguinte erro: O servidor RPC não está disponível. |
| Sistema | Gerenciador de Controle de Serviço | 7000 | O <serviço Nome> do Serviço falhou ao iniciar devido ao seguinte erro: O serviço não foi iniciado devido a uma falha de logon. |
| Sistema | Microsoft-Windows-Time-Service | 46 | O serviço de tempo encontrou um erro e foi forçado a desligar. O erro foi: 0x80070721: Ocorreu um erro específico do pacote de segurança. |
| Sistema | Gerenciador de Controle de Serviço | 7023 | O serviço do Agente de Diretiva IPsec foi encerrado com o seguinte erro: O serviço de autenticação é desconhecido. |
| Sistema | Netlogon | 5774 | O registro dinâmico do registro DNS '<Registro> DNS' falhou no seguinte servidor DNS: Endereço IP do servidor DNS: <DNS ServerIP> Código de resposta retornado (RCODE): 5 Código de status retornado: 9017 ... DADOS ADICIONAIS Valor do erro: Chave incorreta do DNS. |
Você também pode encontrar erros no log de rastreamento de eventos (ETL) ou na análise de despejo de memória:
| Erro | Registre e comente |
|---|---|
| DSA_DB_EXCEPTION Código de erro: 0xfffff9bf (4294965695): JET_errRecordNotFound - esent.h: /* A chave não foi encontrada */ |
Despejo de memória de exceção LSASS |
| C:\tools>err -536805372 # para decimal -536805372 / hex 0xe0010004 DSA_DB_EXCEPTION dsexcept.h |
Código de status do evento User32 |
| [1]035C.0160::02/23/16-13:26:11.0878836 [Microsoft-Windows-Shell-AuthUI-Common/Diagnóstico] DWORD1=2147943515, DWORD2=0 | Shell-AuthUI ETL Código de erro: (HRESULT) 0x8007045b (2147943515) - Um desligamento do sistema está em andamento. "Esse erro vem dessa configuração global e vejo isso definido em todos os despejos. 0: kd> dt lsasrv! Desligamento" |
| NetLogon:LogonSAMPauseResponseEX (Resposta SAM quando o Netlogon está em pausa): 24 (0x18) | Rastreamento de rede |
O contêiner de configurações de senha foi movido ou ausente
No Windows Server 2012 e versões posteriores, o processo de autenticação faz uma chamada de função para determinar políticas de senha refinadas e procura o Contêiner de Configurações de Senha. Se ele não estiver presente em cn=system,dc=<domain,dc>=<com> no contexto de nomenclatura de domínio do Active Directory ou estiver em um local incorreto, a entrada falhará.
Observação
O Contêiner de Configurações de Senha é um contêiner padrão do sistema que deve estar sempre presente. Esse contêiner é criado como parte dos controladores de domínio do Adprep para Windows Server 2008 e versões posteriores para oferecer suporte a políticas de senha refinadas.
Mova o contêiner para o local correto ou execute novamente o Adprep
Se o Contêiner de Configurações de Senha estiver no local incorreto, siga estas etapas:
Execute o seguinte comando para procurar o contêiner:
repadmin /showattr . ncobj:domain: /filter:"(objectclass=msds-PasswordSettingsContainer)" /subtreeObservação
Você pode executar o
repadmin /showobjcomando para verificar quando o contêiner foi modificado pela última vez.Abra a ferramenta LDP e selecione Procurar>Modificar RDN para mover o objeto para o local correto no contêiner do sistema.
Se o Contêiner de Configurações de Senha não existir, siga estas etapas:
Entre no mestre de infraestrutura como administrador de domínio.
Crie um arquivo .txt com o seguinte texto:
dn: CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=contoso,dc=com changetype: modify replace: revision revision: 1Abra um prompt de comando com privilégios elevados e execute o
ldifdecomando para importar o arquivo.ldifde -i -f <File Name>Na ferramenta LDP ou na ferramenta Editor da Interface de Serviço do Active Directory (ADSI), exclua os contêineres das operações que você precisa executar novamente. Por exemplo:
cn=71482d49-8870-4cb3-a438-b6fc9ec35d70,cn=Operações,cn=DomainUpdates,cn=System,DC=fia,DC=local.
Execute o comando
adprep /domainprep.
Você pode verificar o arquivo ADPrep.log (C:\Windows\debug\adprep\logs\<Date Time>\ADPrep.log) para verificar o resultado.
Observação
Windows Server 2019 e versões posteriores têm uma atualização que impede que o processo LSASS pare de responder.