Не удается войти в контроллер домена, и процесс LSASS перестает отвечать на запросы.

Эта статья помогает устранить проблему, из-за которой невозможно войти в контроллер домена, а процесс подсистемы локального центра безопасности (LSASS) перестает отвечать.

Область применения: Windows Server
Исходный номер базы знаний: 3144809

Вы не можете войти в контроллер домена после перезагрузки и выполнить следующие сценарии:

• Вы можете ввести имя пользователя и пароль на экране входа, но при нажатии клавиши ВВОД ничего не происходит.
• Вход не выполняется без ошибок.
• При отключении сетевой карты можно войти с помощью кэшированных учетных данных.
• В последнее время процесс LSASS перестает отвечать или перестал отвечать.
• Многие службы не могут запускаться из-за сбоя входа.

При возникновении этой проблемы журнал событий системы может содержать одно или несколько следующих событий:

Журнал событий	Источник событий	Идентификатор	Текст сообщения
Системные	LsaSrv	5000	Пакет безопасности NTLM создал исключение. Сведения об исключении — это данные. ИЛИ Пакет безопасности MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 создал исключение. Сведения об исключении — это данные. Расширенная ошибка E0010014
Системные	LsaSrv	6038	Microsoft Windows Server обнаружила, что проверка подлинности NTLM в настоящее время используется между клиентами и этим сервером. Это событие происходит один раз за загрузку сервера при первом использовании NTLM с этим сервером.
Системные	Всплывающее окно приложения	26	Всплывающее окно приложения: lsass.exe — ошибка приложения: исключение неизвестного программного обеспечения (0xe0010004) произошло в приложении в расположении 0x90cf8b9c.
Системные	User32	1074	Процесс wininit.exe инициировал перезапуск контроллера домена> компьютера <от имени пользователя по следующей причине: По этой причине не удалось найти название. Код причины: 0x50006 Тип выключения: перезапуск Примечание. Системный процесс "C:\Windows\system32\lsass.exe" неожиданно завершился с кодом состояния -536805372. Теперь система завершит работу и перезагрузится.
Системные	Service Control Manager	70 ГБ	<Служба имени> службы не смогла войти в систему как NT AUTHORITY\SYSTEM с настроенным паролем в настоящее время из-за следующей ошибки: сервер RPC недоступен.
Системные	Service Control Manager	7000	<Не удалось запустить службу имени> службы из-за следующей ошибки: служба не запускалась из-за сбоя входа.
Системные	Microsoft-Windows-Time-Service	46	Служба времени столкнулась с ошибкой и была вынуждена завершить работу. Ошибка: 0x80070721: произошла определенная ошибка пакета безопасности.
Системные	Service Control Manager	7023	Служба агента политики IPsec завершается следующей ошибкой: служба проверки подлинности неизвестна.
Системные	Netlogon	5774	Динамическая регистрация записи DNS "<ЗАПИСЬ> DNS" завершилась сбоем на следующем DNS-сервере: IP-адрес DNS-сервера: <DNS SERVERIP> Возвращаемый код ответа (RCODE): 5 Возвращенный код состояния: 9017 ... ДОПОЛНИТЕЛЬНОЕ значение ошибки ДАННЫХ: недопустимый ключ DNS.

В журнале трассировки событий (ETL) или анализе дампа памяти также могут возникнуть ошибки:

Ошибка	Журнал и комментарий
DSA_DB_EXCEPTION Код ошибки: 0xfffff9bf (4294965695): JET_errRecordNotFound - esent.h: /* Ключ не найден */	Аварийное дампа исключений LSASS
C:\tools>err -536805372 # для десятичных -536805372 / шестнадцатеричных 0xe0010004 DSA_DB_EXCEPTION dsexcept.h	Код состояния события User32
[1]035C.0160::02/23/16-13:26:11.0878836 [Microsoft-Windows-Shell-AuthUI-Common/Diagnostic ] DWORD1=2147943515, DWORD2=0	Shell-AuthUI ETL Код ошибки: (HRESULT) 0x8007045b (2147943515) — выполняется завершение работы системы. "Эта ошибка возникает из этого глобального параметра, и я вижу этот набор во всех дампах. 0: kd> dt lsasrv! ShutdownBegun"
NetLogon:LogonSAMPauseResponseEX (ОТВЕТ SAM при приостановке Netlogon): 24 (0x18)	Трассировка сети

Контейнер параметров пароля перемещается или отсутствует

В Windows Server 2012 и более поздних версиях процесс проверки подлинности вызывает функцию для определения подробных политик паролей и ищет контейнер параметров пароля. Если он отсутствует в cn=system,dc=domain,dc>=<<com> в контексте именования домена Active Directory или в неправильном расположении, вход завершается ошибкой.

Примечание.

Контейнер параметров пароля — это системный контейнер по умолчанию, который всегда должен присутствовать. Этот контейнер создается как часть Adprep для контроллеров домена Windows Server 2008 и более поздних версий для поддержки подробных политик паролей.

Перемещение контейнера в правильное расположение или повторное запуск Adprep

Если контейнер параметров пароля находится в неправильном расположении, выполните следующие действия.

1. Выполните следующую команду, чтобы найти контейнер:

   repadmin /showattr . ncobj:domain: /filter:"(objectclass=msds-PasswordSettingsContainer)" /subtree
   

   Примечание.

   Вы можете выполнить repadmin /showobj команду, чтобы проверить, когда контейнер был в последний раз изменен.

2. Откройте средство LDP и выберите "Изменить>RDN ", чтобы переместить объект в правильное расположение в системном контейнере.

Если контейнер параметров пароля не существует, выполните следующие действия.

1. Войдите в мастер инфраструктуры в качестве администратора домена.

2. Создайте файл .txt со следующим текстом:

   dn: CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=contoso,dc=com
   changetype: modify
   replace: revision
   revision: 1
   

3. Откройте командную строку с повышенными привилегиями и выполните ldifde команду для импорта файла.

   ldifde -i -f <File Name>
   

4. В средстве LDP или средстве редактора интерфейса службы Active Directory (ADSI) удалите контейнеры операций, которые необходимо повторно запустить. Например:

   cn=71482d49-8870-4cb3-a438-b6fc9ec35d70,cn=DomainUpdates,cn=System,DC=fia,DC=local.

5. Выполните команду adprep /domainprep.

Чтобы проверить результат, можно проверить файл ADPrep.log (C:\Windows\debug\adprep\logs\<Date Time>\ADPrep.log).

Примечание.

Windows Server 2019 и более поздних версий имеют обновление, которое запрещает процесс LSASS перестать отвечать.