Question LSA (LsaSrv) "Le package de sécurité Kerberos a généré une exception. Les informations d’exception sont les données. »Causée par NPS


J'ai un serveur Windows (2008 R2 avec SP1) qui s'exécute en tant que contrôleur de domaine et utilise Network Policy Server pour authentifier les périphériques sans fil 802.1X. Il y a deux points d'accès disponibles.

Soudain, pour une raison quelconque, lorsqu'un des points d'accès crée une demande RADIUS pour un périphérique sans fil essayant d'authentifier LSA (lsass.exe) se bloque avec le code 255, le système doit alors redémarrer. La demande RADIUS échoue également (code 4). Je peux fournir un vidage Wireshark de la session RADIUS si vous le souhaitez.

Ces événements système sont consignés:

Événement # 1

**USER32** (ID 1074)
The process wininit.exe has initiated the restart of computer SERVER on behalf of user  for the following reason: No title for this reason could be found
 Reason Code: 0x50006
 Shutdown Type: restart
 Comment: The system process 'C:\Windows\system32\lsass.exe' terminated unexpectedly with status code 255.  The system will now shut down and restart.

Événement # 2

**LSA (LsaSrv)** (ID 5000)
The security package Kerberos generated an exception. The exception information is the data.

Événement # 3

**LSA (LsaSrv)** (ID 5000) *Two events with exactly the same data are created.*
The security package Kerberos generated an exception. The exception information is the data.

J'ai trouvé cet article qui semblait être le problème exact (avec Windows 7 et le serveur 2008 R2 utilisant le même noyau), j'ai donc appliqué le correctif. Malheureusement, rien n'a été réparé.

http://support.microsoft.com/kb/2732595

J'ai également essayé d'autres vérifications courantes, telles que l'exécution de CHKDSK, SFC, un scan de virus (MSE) et un révélateur de rootkit.

On dirait que ce type a exactement le même problème, bien qu'il n'ait jamais répondu pour dire si le problème avait été résolu ou non. (Je déteste les gens qui le font)

http://social.technet.microsoft.com/Forums/windows/en-US/46c5cf7b-b844-422d-80d6-44406a51ba18/event-id-5000-the-security-package-kerberos-generated-an-exception- the-exception-information-is? forum = w7itprosecurity


2
2018-05-20 03:32


origine


Bonjour, mes serveurs ont été frappés avec le même code d'erreur. Dans mon cas, cela a commencé plus tôt cette semaine. La seule chose à laquelle je peux penser est un changement de GPO par rapport à la semaine dernière, mais les serveurs ont fonctionné correctement pendant plusieurs jours après son déploiement. Cela ne semble affecter que les comptes de domaine. Les locaux sont bien. Le problème a commencé sur une boîte WS2012 R2, puis s'est propagé à une boîte WS08 R2 sur le même site. Pour la case 08, le fichier kerberos.dll est le versoin 18409 de KB2871997 (ou 22616 qui remplace la version 22048 fournie par KB2732595). - billc.cn
Je n'avais pas changé de GPO récemment. Mon serveur exécute également Kerberos.dll build 22616. - Adambean
Oui, il ne semble pas être lié à la politique de groupe. Je défais les paramètres de stratégie de groupe et redémarre tous les serveurs impliqués et le problème persiste. - billc.cn


Réponses:


J'ai créé un nouveau système WS 2008 R2 SP1 à partir d'un DVD, j'ai rejoint le domaine, appliqué une stratégie de groupe, redémarré et installé NPS et RRAS. Un test effectué par un hôte distant prouve que NPS et Kerberos.dll fonctionnaient correctement à ce stade.

J'ai ensuite installé KB2871997 seul et le lsass est tombé en panne sur une connexion VPN, il est donc clair qu'il s'agit d'un bogue dans KB2871997.

Selon ses conseil de sécurité accompagné, cette mise à jour semble être une amélioration de la sécurité, pas un correctif de bogue, donc je pense qu'elle peut être supprimée si elle casse des choses. Je l'ai retiré de mon serveur WS2008 R2 et il fonctionne à nouveau.

(Je ne l'exclureais pas de la liste de mise à jour automatique, au cas où M $ publie une nouvelle version. La version actuelle est déjà v2 ......)

Cependant, cette mise à jour n'est pas publiée séparément pour WS2012 R2, mais dans le cadre d'un déploiement de sécurité. J'essaie toujours de comprendre comment le désinstaller pour ce système d'exploitation.


2
2018-06-30 20:36



La désinstallation de KB2871997 a complètement résolu ce problème pour moi. Après le redémarrage requis, j'ai activé le service NPS, obtenu que mon téléphone utilise le réseau Wi-Fi concerné et il s'est connecté et authentifié à peu près instantanément. Le serveur n'a PAS redémarré, et maintenant j'ai remis NPS en mode automatique. Très gentil trouve mon bon monsieur, réponse acceptée. :) - Adambean
Je pense qu'une autre mise à jour a mis la version défectueuse de kerberos.dll 22616 en place. KB2871997 n'est pas installé sur ma machine, mais le problème d'origine a recommencé. Va enquêter plus loin. - Adambean
En plus de supprimer KB2871997, vous devez également supprimer le correctif KB2732595. Cela remettra votre kerberos.dll à la version 18489, bien que cela provoque toujours cette erreur LsaSrv. - Adambean
Installer à nouveau KB2871997 après l'avoir conservé sur la version 18489, mais le crash de LsaSrv se produit toujours avec ou sans lui. - Adambean
J'ai récemment construit une nouvelle machine virtuelle WS08 R2 sur l'un des sites qui utilise encore un contrôleur de domaine WS08 R2 et qui ne plante pas sur la connexion VPN! Certaines des améliorations apportées à Kerberos dans KB2871997 ne sont peut-être efficaces que contre un contrôleur de domaine WS2012. - billc.cn