Ошибка предварительной проверки код ошибки 0x18

Обновлено 06.11.2019

Добрый день! Уважаемые читатели и гости одного из крупнейших IT порталов России Pyatilistnik.org. В прошлый раз мы с вами рассмотрели ситуацию по настройке роутера Mikrotik для малого офиса. Офис работает и в его жизненном цикле могут возникать разного рода проблемы, одной из такой ситуаций, было появление синего экрана reference_by_pointer с кодом 0x00000018. Давайте разбираться в чем дело и как, это исправить.

Описание ситуации

И так у меня есть RDS ферма построенная на Windows Server 2012 R2, в какой-то момент система мониторинга прислала уведомление, о том что один из узлов не доступен. Так как у меня, это виртуальная машина) на ESXI 6.5 и крутящейся на сервере Dell R740, то я подключился к консоли и увидел синий экран с такой вот формулировкой:

На вашем ПК возникла проблема, и его необходимо перезагрузить. Мы лишь собираем некоторые сведения об ошибке, а затем будет автоматически выполнена перезагрузка. При желании вы можете найти в интернете информацию по этому коду ошибки: REFERENC_BY_POINTER

Анализ синего экрана reference_by_pointer 0x00000018

Когда моя виртуальная машина загрузилась, то я увидел сообщение, что с компьютером возникла проблема, был создан файл минидампа и полного дампа MEMORY.DMP. Я не поленился и отправил сведения компании Microsoft.

Перед тем, как производить анализ дампов, я всегда просматриваю события в логах Windows. В журнале «Система» я обнаружил ошибку с кодом ID 1001:

Компьютер был перезагружен после критической ошибки. Код ошибки: 0x00000018 (0x0000000000000000, 0xffffe80208a4e700, 0x0000000000000010, 0xffffc0024a26e1f1). Дамп памяти сохранен в: C:WindowsMEMORY.DMP. Код отчета: 110519-43375-01.

Как видно из события ID 1001 с кодом 0x00000018, вся информация была записана в дамп по пути C:WindowsMEMORY.DMP. Ранее я вам рассказывал, как производить анализ дампа и находить причины синего экрана, советую почитать. Там мы использовали утилиту Microsoft Kernel Debugger. Открываем Microsoft Kernel Debugger и скармливаем по очереди ваши файлы дампов, для начала я посмотрю мини дамп.

Далее я наблюдаю имя сбойного модуля MODULE_NAME: rdbss

так же можно более детально увидеть имя сбойного драйвера и его версию.

lmvm rdbss
Browse full module list
start end module name
fffff800`556ff000 fffff800`5576d000 rdbss (pdb symbols) c:symcacherdbss.pdbB2DD7E21017744368743EEA8B3A12C872rdbss.pdb
Loaded symbol image file: rdbss.sys
Mapped memory image file: c:symcacherdbss.sys5A4B1AF36e000rdbss.sys
Image path: SystemRootsystem32DRIVERSrdbss.sys
Image name: rdbss.sys
Browse all global symbols functions data
Timestamp: Mon Jan 1 22:38:59 2018 (5A4B1AF3)
CheckSum: 00065E62
ImageSize: 0006E000
File version: 6.3.9600.18895
Product version: 6.3.9600.18895
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 3.7 Driver
File date: 00000000.00000000
Translations: 0409.04b0
Information from resource tables:
CompanyName: Microsoft Corporation
ProductName: Microsoft® Windows® Operating System
InternalName: rdbss.sys
OriginalFilename: RDBSS.Sys
ProductVersion: 6.3.9600.18895
FileVersion: 6.3.9600.18895 (winblue_ltsb.180101-1800)
FileDescription: Redirected Drive Buffering SubSystem Driver
Browse full module list
start end module name
fffff800`556ff000 fffff800`5576d000 rdbss (pdb symbols) c:symcacherdbss.pdbB2DD7E21017744368743EEA8B3A12C872rdbss.pdb
Loaded symbol image file: rdbss.sys
Mapped memory image file: c:symcacherdbss.sys5A4B1AF36e000rdbss.sys
Image path: SystemRootsystem32DRIVERSrdbss.sys
Image name: rdbss.sys
Browse all global symbols functions data
Timestamp: Mon Jan 1 22:38:59 2018 (5A4B1AF3)
CheckSum: 00065E62
ImageSize: 0006E000
File version: 6.3.9600.18895
Product version: 6.3.9600.18895
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 3.7 Driver
File date: 00000000.00000000
Translations: 0409.04b0
Information from resource tables:
CompanyName: Microsoft Corporation
ProductName: Microsoft® Windows® Operating System
InternalName: rdbss.sys
OriginalFilename: RDBSS.Sys
ProductVersion: 6.3.9600.18895
FileVersion: 6.3.9600.18895 (winblue_ltsb.180101-1800)
FileDescription: Redirected Drive Buffering SubSystem Driver
LegalCopyright: © Microsoft Corporation. All rights reserved.
11: kd> x /D rdbss!a*

Из приведенного вывода дампа следует, что синий экран reference_by_pointer 0x00000018 произошел из-за файла rdbss.sys, версии 6.3.9600.18895, а так же процесса rdpclip.exe, отвечающего за буфер на удаленном рабочем столе. Если вы постоянный мой читатель, то помните, что из-за файла rdbss.sys мы уже ловили синий экран 0x00000027 так же на одном из хостов RDS фермы.

Код 18 0x00000018 — может появляться по причине, Счетчик ссылок на объект недопустим для текущего состояния объекта. Каждый раз, когда драйвер использует указатель на объект, драйвер вызывает процедуру ядра, чтобы увеличить число ссылок объекта на единицу. Когда драйвер завершает работу с указателем, драйвер вызывает другую процедуру ядра, чтобы уменьшить количество ссылок на единицу.

Драйверы должны сопоставлять вызовы подпрограмм, которые увеличивают и уменьшают счетчик ссылок. Эта проверка ошибок вызвана несогласованностью в подсчете ссылок объекта. Как правило, несогласованность вызвана драйвером, который уменьшает количество ссылок объекта слишком много раз, делая дополнительные вызовы, которые разыменовывают объект. Эта проверка на наличие ошибок может произойти, потому что счетчик ссылок объекта обнуляется, в то время как все еще есть открытые дескрипторы объекта. Это также может произойти, когда счетчик ссылок объекта упадет ниже нуля, независимо от того, есть ли открытые маркеры объекта.

Методы устранения синего экрана reference_by_pointer 0x00000018

Первое, что вы должны сделать, это произвести установку всех обновлений на вашу систему. Перед обновлением я удостоверюсь, что версия файла rdbss.sys у меня 6.3.9600.18895. Файл располагается по пути C:WindowsSystem32drivers.

Далее открываем «Панель управления», если же вы поймали ошибку reference_by_pointer в Windows 10, то нужно зайти в параметры Windows — Центр обновления.

В моем случае у меня Windows Server 2012 R2, и я как и писал выше иду в панель управления — Центр обновления Windows.

Производим поиск обновлений, как видим в моем случае нашлось 48 штук, устанавливаем.После перезагрузки еще раз проверьте наличие обновлений, у Microsoft они могут устанавливаться в два этапа. После перезагрузки я вижу, что у меня версия файла rdbss.sys стала 6.3.9600.19481, а была напоминаю 6.3.9600.18895. Проверяем работу вашего сервера Windows Server 2012 R2.

Если синий экран reference_by_pointer с кодом 0x00000018 повторился, то снова проверьте причину, если она другая и из-за другого драйвера, то делаем следующее. Откройте командную строку обязательно от имени администратора и произведите поиск и устранение ошибок в целостности системных файлов и хранилища компонентов. Для этого у меня есть волшебный код:

sfc /scannow && Dism /online /cleanup-image /restorehealth && Dism.exe /Online /Cleanup-Image /StartComponentCleanup && ChkDsk /r

Дожидаемся окончание операции, в идеале если будут повреждения, утилиты должны их исправить, но могут быть и ситуации, когда вы получите ошибку, которую вам придется поискать в интернете, их может быть около десятка вариаций. Обязательно перезагружаем ваш компьютер.

Обновление и переустановка драйверов

Очень часто ошибку x00000018 на клиентских операционных системах по типу Windows 7 или Windows 10, вызывает сбойный драйвер, в случае с драйверами Microsoft, они обновляются через центр обновления, если же мы говорим, о других драйверах, например на материнскую плату, жесткий диск, процессор или то же принтер, то вам придется их скачать на официальном сайте производителя и произвести обновление. Обязательно старайтесь держать их в актуальном состоянии. Чтобы посмотреть текущие версии драйверов, вы можете открыть диспетчер устройств.

Если у вас, как и у меня виртуальная машина, то в таком случае необходимо произвести установку свежих версий драйверов интеграции, у меня, это VMware Tools.

Дополнительные причины возникновения ошибки 0x00000018

• Если у вас в компьютере несколько планок оперативной памяти, то попробуйте их проверить на наличие ошибок, чтобы найти сбойную, можно попробовать включить компьютер и запускать его с разными планками, чтобы найти сбойную.
• Видел случаи, что BSOD reference_by_pointer вызывал драйвер антивирусного решения Dr.Web dwprot.sys или Kaspersk Kl.sys. Попробуйте его обновить. Если не поможет обратитесь к разработчику за исправлением или удалите его на время.

• Если у вас BSOD появился после установки новой программы, то удалите ее. Если система не загружается, то сделайте, это через безопасный режим Windows. Удаление производится через окно «Панель управленияВсе элементы панели управленияПрограммы и компоненты»

или «Параметры Windows — Приложения и возможности»

На этом у меня все. Надеюсь, что мой скромный опыт траблшутинга оказался вам полезным и вы устранили причины синего экрана reference_by_pointer 0x00000018. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Большинство ошибок 0x00000018 типа «синий экран смерти» (BSOD) возникают в результате неисправного оборудования, отсутствия / повреждения драйверов для Windows 10 или повреждения драйверов режима ядра. Как правило, решить проблему позволяет получение новой копии файла 0x18, которая не содержит вирусов.

Распространенные сообщения об ошибках в REFERENCE_BY_POINTER

«Синий экран смерти», связанный с REFERENCE_BY_POINTER, как правило, будет одним из следующих:

• «Обнаружена проблема: REFERENCE_BY_POINTER вызвал проблему и завершение работы Windows, чтобы предотвратить повреждение. «
• «: (Ваш компьютер столкнулся с проблемой с REFERENCE_BY_POINTER и должен перезагрузиться сейчас. «
• «STOP 0x0000000A: IRQL_NOT_LESS_EQUAL – REFERENCE_BY_POINTER»
• 0x0000001E: КМОДЕ_ИСКЛЮЧЕНИЕ_НЕТ_ОБРАБАТЫВАЕТСЯ — REFERENCE_BY_POINTER
• «STOP 0×00000050: PAGE_FAULT_IN_NONPAGED_AREA – REFERENCE_BY_POINTER»

Во многих случаях ошибки REFERENCE_BY_POINTER, вызывающие синий экран смерти, возникают после установки аппаратного или программного обеспечения, связанной с Windowss. Как правило, ошибки REFERENCE_BY_POINTER возникают во время процесса установки оборудования или программного обеспечения, связанного с Windowss, во время загрузки драйвера, связанного с Microsoft Corporation, или во время завершения работы или запуска Windows. При появлении ошибки BSOD REFERENCE_BY_POINTER запишите все вхождения для устранения неполадок Windows и помогите найти причину.

Эпицентры REFERENCE_BY_POINTER Головные боли

Ошибки Blue Screen REFERENCE_BY_POINTER часто вызваны связанными проблемами с оборудованием, программным обеспечением, драйвером устройства или прошивкой. Они могут быть связаны с оборудованием Windows или Microsoft Corporation, но не всегда.

В частности, ошибки, связанные с REFERENCE_BY_POINTER, создаются:

• Устаревшие, неправильно настроенные или поврежденные драйверы устройств Windows.
• Повреждение реестра Windows из-за недавнего изменения программного обеспечения (установка или удаление), связанного с REFERENCE_BY_POINTER.
• REFERENCE_BY_POINTER или файлы, связанные с Windowss, повреждены вирусной инфекцией.
• Установка оборудования, связанная с NewMicrosoft Corporation, создает конфликты REFERENCE_BY_POINTER.
• Повреждение или удаление системных файлов (например, REFERENCE_BY_POINTER) после неудачной установки Windows или драйверов устройств.
• Сбой жесткого диска, связанный с REFERENCE_BY_POINTER Синий экран смерти.
• Поврежденная оперативная память/память из REFERENCE_BY_POINTER Синий экран смерти.

Продукт Solvusoft

Загрузка
WinThruster 2022 — Проверьте свой компьютер на наличие ошибок.

Совместима с Windows 2000, XP, Vista, 7, 8, 10 и 11

Установить необязательные продукты — WinThruster (Solvusoft) | Лицензия | Политика защиты личных сведений | Условия | Удаление

Добрый день, коллеги.

Возникла проблема с подключением с «железки» ACS, предоставляющей доступ к VPN, к контроллеру домена. При обращении ACS к ДК происходит следующий диалог:

Если билет был неправильно сформирован или поврежден при передаче и не может быть расшифрован, многие поля этого события могут отсутствовать.

Код события: 4771

В результате этого отсутствует синхронизация групп VPN, и пользователь, если ему сменить, или вообще отключить группу VPN продолжает ходить по старому доступу, как ни в чём не бывало, и в логах ACS пишется, что юзер подключен под
старой группой (которой у него уже нет). Куда копать, в чём может быть проблема? Какие данные нужно ещё предоставить, для полноты картины?

Контролеров домена три штуки — от них на ACS приходят разные ответы. Два возвращают описания групп VPN, один — нет.

Аудит событий регистрации пользователя

Windows 2000 может использовать различные протоколы аутентификации для обработки запросов на подключение к системе. Для разных протоколов в журнале аудита генерируются разные типы сообщений. Windows 2000 поддерживает протоколы Kerberos и Windows NT LAN Manager (NTLM). Kerberos используется при локальном подключении к рабочей станции Windows 2000 или сетевом подключении пользователя домена с рабочей станции Windows 2000 к серверу Windows 2000. В этом случае на контроллере домена ведется запись событий, специфичных для Kerberos. Если пользователь локально или удаленно подключается к системе NT или к серверу со станции NT, то применяется NTLM, и ведется запись событий, характерная для этого протокола.

Аудит успешных событий Kerberos

Протокол аутентификации Kerberos применяет шифрованные билеты, tickets (с записанными временными метками), для проверки возможности входа в систему. Чтобы предоставить доступ даже к локальной системе, Windows 2000 сначала запрашивает у контроллера домена билет доступа к службе (service ticket). Он содержит информацию, подтверждающую права пользователя на доступ к системе. Но прежде, чем будет получен билет доступа к службе, выполняется аутентификация пользователя на контроллере домена и затем выдается билет на сеанс работы, ticket-granting ticket (TGT). Пароль пользователя проверяется контроллером домена только один раз. Это происходит на ранней стадии подключения к рабочей станции, когда станция запрашивает TGT для пользователя. После того как билет TGT получен и пользователю требуется подключаться к различным сетевым службам (например, файловым серверам, серверу SQL, серверу Ex-change), рабочая станция использует тот же билет TGT при формировании каждого нового запроса. В этом отличие TGT от билета доступа к службе, который запрашивается всякий раз при подключении пользователя к сетевым службам. Удачные и неудачные попытки запросов билетов TGT и доступа к службе фиксируются в журнале Windows 2000 с различными идентификаторами с ID.

Каждое утро, когда пользователь включает компьютер, вводит свое имя в домене и пароль, станция запрашивает TGT у ближайшего контроллера домена. Если имя и пароль признаны корректными, проводится проверка полномочий пользователя, после чего контроллер выдает TGT, и в журнал записывается событие с ID 672 (аутентификация проведена успешно) (см. Экран 1). Поле User для этого события (и всех аналогичных событий категории Audit account logon event) не содержит реального имени пользователя; поле всегда читается как SYSTEM. Следует обратить внимание на поля User Name и Supplied Realm Name, которые отображают имя пользователя и его DNS-суффикс. При создании учетной записи можно использовать полное DNS-имя или корневое имя дерева домена в формате domainusername. Поле User с ID выводит то же имя в стиле NT (т. е. NetBIOS имя домена, отделенное от имени пользователя знаком «обратный слеш»). Поле Service Name указывает имя службы, на доступ к которой контроллер домена выдал билет. Если это самое первое обращение рабочей станции к контроллеру, то в поле находится имя службы krbtgt (т. е. квитанция Kerberos).

Поле Client Address указывает IP-адрес станции, с которой пользователь пытался зарегистрироваться в домене. Все события Kerberos, включая неудачные попытки подключения, содержат этот IP-адрес. Эта информация бесценна. В NT можно узнать имя системы, осуществлявшей неудачные попытки подключения, но нельзя определить, из каких сегментов сети предпринимались эти попытки. Преимущество Windows 2000 состоит не только в централизации ведения журналов на контроллерах доменов, но и в том, что можно определить, откуда пытались подключиться к домену.

Событие с ID 672 позволяет контролировать первичные подключения к домену при помощи процедуры получения билета TGT, а событие с ID 673 контролирует доступ к сетевым службам при помощи процедуры получения билета доступа к службе. Например, если пользователь отображает диск на каталог файлового сервера или подключается к другим ресурсам удаленной системы (например, реестру, файлу журнала, SAM), то система запрашивает билет доступа к службе, и на контроллере домена генерируется событие с ID 673.

Windows 2000 генерирует событие с ID 673 еще в нескольких случаях. Во-первых, это событие часто имеет место при взаимодействии между системами; оно легко узнаваемо, так как в поле User Name помещается имя компьютера. Примером может служить ситуация, когда станция подключается к контроллеру домена для получения информации о групповой политике.

Важно понять, как связаны между собой события с ID 672 и с ID 673. Выдача контроллером билета TGT (событие с ID 672) еще не означает, что пользователю разрешен доступ к какой-либо системе; TGT подтверждает подлинность учетной записи пользователя и дает возможность его последующей авторизации при запросе билета доступа к службам (событие с ID 673) для подключения к различным системам.

Послав запрос на билет TGT, компьютер пользователя сразу запрашивает билет доступа к службе, чтобы пользователь мог работать на данной машине. Экран 3 отображает фрагмент журнала безопасности, показывающий, что событие с ID 673 следует сразу за событием с ID 672. На Экране 4 приведены все поля события с ID 673. Просмотрев поля User Name, Service Name и Service с ID, можно сделать вывод, что пользователь Maggie зарегистрировалась на станции W2KPRO-LEFT. Поля User Domain и Service с ID содержат информацию о том, что и пользователь и компьютер принадлежат домену MTG. LOCAL.

Экран 3. Просмотр порядка появления событий.

На Экране 5 приведен еще один пример события с ID 673. В этом примере пользователь Maggie подключилась к удаленной системе TECRA с рабочей станции W2KPRO-LEFT. Имя удаленной системы TECRA показывают поля Service Name и Service с ID, но откуда известно имя рабочей станции W2KPRO-LEFT? Ответ подскажет значение поля Client Address: 10.0.0.81. Известно, что первое событие с ID 673, следующее за ID 672, всегда означает подключение пользователя к своей рабочей станции. Поскольку Maggie запрашивала билет TGT (событие с ID 672) с адреса 10.0.0.81, а затем билет доступа к службе (событие с ID 673) для подключения к W2KPRO-LEFT, значит, 10.0.0.81 является IP-адресом станции W2KPRO-LEFT. Последующие события с ID 673 (такие, как на Экране 5) показывают, что Maggie подключилась к ресурсам другой системы с того же самого адреса (т. е. 10.0.0.81).

Для предотвращения атак Kerberos ограничивает срок действия билета, полученного от контроллера домена. Если время истекает, а пользователь все еще подключен к ресурсам, то Windows 2000 автоматически запрашивает контроллер домена и обновляет билет. При обновлении билета в журнал записывается событие с ID 674.

Аудит событий Kerberos

Рассмотрим, какие типы событий записываются в журнал Windows 2000 при неудачных попытках аутентификации. Если во время регистрации с консоли рабочей станции вводится подлинное имя пользователя, но неверный пароль, то контроллер домена записывает в журнал событие с ID 675 (ошибка предварительной аутентификации) с кодом ошибки 24 (Failure Code 24) (см. Экран 6). Это очень важное сообщение, так как оно позволяет обнаруживать попытки подключения с неверными паролями. В сообщении указывается не только имя пользователя и имя домена, но и IP-адрес станции, с которой осуществлялась попытка несанкционированного доступа. Это огромный шаг вперед по сравнению с Win-dows NT, где в журнал записывались только имя пользователя и домен. Событие с ID 675 записывается еще и в том случае, если пользователь зарегистрировался на станции с одним именем, а затем пытался подключиться к серверу с другим. Например, он мог попробовать подключиться к сетевому диску от имени другого пользователя.

Иногда ошибка при регистрации в домене происходит не из-за неправильно введенного пароля, а из-за случайной опечатки при вводе имени пользователя или попытке подбора чужого имени. В этом случае (неправильное имя пользователя) Win-dows 2000 регистрирует событие с ID 676 с кодом ошибки 6. Это еще одно преимущество по сравнению с NT, где невозможно отличить отказ в регистрации из-за неверно введенного пароля от отказа из-за неверно введенного имени. Windows 2000 использует сообщение с ID 676 с различными кодами ошибок для контроля еще нескольких типов ошибок регистрации. Код ошибки 12 указывает на ошибку, возникающую при попытке регистрации в системе в часы, когда данному пользователю работать не разрешается. Код ошибки 23 означает, что срок действия пароля пользователя истек. Код ошибки 18 указывает на блокирование учетной записи в результате неудачных попыток подключения пользователя, завершения срока действия учетной записи или запрета администратора. Код ошибки 37 сообщает о том, что время на рабочей станции не синхронизировано со временем на контроллере домена и отличается на величину большую, чем это допустимо.

Бывают ситуации, когда пользователь получает от контроллера домена билет TGT, но не может получить билет доступа к службе. В этом случае Windows 2000 записывает событие с ID 677 (запрос на получение билета доступа к службе не удовлетворен) с тем или иным кодом ошибки, в зависимости от ситуации. Например, если пользователь со станции Windows 2000 Pro пытается подключиться к серверу NT, то в журнал записывается сообщение с ID 677 и кодом ошибки 7. На Экране 7 видно, что пользователь, зарегистрировавшийся на станции Windows 2000 Pro (IP-адрес 10.0.0.81) с именем Administrator, подключил сетевой диск сервера NT (т. е. Kramer), входящего в домен Windows 2000 (т. е. MTG. LOCAL). Сначала рабочая станция направила запрос контроллеру домена для получения билета Kerberos. Этот запрос не был удовлетворен, так как NT сервер не поддерживает протокол Kerberos. Поэтому в журнал контроллера записано сообщение с ID 677 с кодом 7. Эта ошибка не оказывает влияния на доступ пользователя к ресурсам, так как станция немедленно возвращается к использованию протокола NTLM.

События NTLM

После того как контроллер домена успешно аутентифицировал пользователя, в журнал записывается событие с ID 680. Подобно событию Kerberos с ID 673, в котором указывается имя пользователя и IP-адрес станции, в событии с ID 680 указывается имя пользователя и имя станции, откуда поступил запрос на подключение (см. Экран 8). Так как NTLM может функционировать поверх TCP/IP, NetBEUI и IPX, то Windows 2000 записывает в журнал имя системы, а не ее IP-адрес.

Если аутентификация NTLM по каким-то причинам не может быть выполнена, то контроллер записывает в журнал событие с ID 681, как показано на Экране 9. О причинах неудачи можно судить по описанию кодов ошибок (см. Таблицу 1).

Новая категория аудита, Audit ac-count logon events, реализованная в Windows 2000, обеспечивает гораздо большую степень централизации аудита подключений пользователей. В системе появилась возможность отличать ошибки подключения, произошедшие из-за неверного ввода имени пользователя, от ошибок из-за ввода неверного пароля, а также вычислять по IP-адресу расположение станции-нарушителя. Тем не менее следует постоянно просматривать в журналах безопасности события категории Audit logon events («аудит подключений к системе»). Дело в том, что злоумышленники могут попытаться подключиться к системе, используя локальную учетную запись SAM, такую, как встроенная запись Administrator. Контроллер домена не фиксирует атаки, в которых используются локальные учетные записи. Просматривая события Audit logon events и Audit account logon events, можно следить за подключениями к рабочим станциям, серверам и контроллерам домена. В следующей статье из этой серии я расскажу о других категориях аудита, которые были изменены в Windows 2000.

В предыдущих выпусках

Это вторая статья Рэнди Франклина Смита из серии, посвященной журналу безопасности Windows 2000. Информацию о журнале безопасности Windows NT можно получить в предыдущей серии статей этого автора. Ниже приведен список статей обеих серий. Сами статьи можно найти на Web-сайте Windows 2000 Magazine по адресу: https://www. win2000mag. com.

Статьи, посвященные журналу безопасности Windows 2000

Статьи, посвященные журналу безопасности Windows NT

Ошибка CredSSP — Произошла ошибка при проверке подлинности

Windows

Всем добрый вечер, в декабре удаленно помогал одному из моих читателей с проблемой по которой, он оставил отзыв к статье — Не удается подключиться к удаленному рабочему столу и не смотря на то, что статья эта была написано аж в 2012 году, на нее до сих пор заходит большое кол-во пользователей и я не особо понимал причину такой популярности этой старой статьи до момента пока не стал разбираться с этой проблемой (ну по крайней мере я так думаю)) )!

Подсоединившись к его рабочему столу через TeamViewer и при подключение по RDP к серверу Windows 2012 у нас вылетела ошибка:

Произошла ошибка при проверке подлинности.
Указанная функция не поддерживается.
Причиной ошибки может быть исправление шифрования CredSSP
Дополнительные сведенья см. в статье https://go. microsoft. com/fwlink/?linkid=866660

An authentication error has occurred.
The function is not supported.
This could be due to CredSSP encryption oracle remediation.

Начал разбираться и вот что могу рассказать об этой ошибке:

Что такое CredSSP

CredSSP — это протокол поставщика поддержки учетных данных который является поставщиком аутентификации, который обрабатывает запросы на аутентификацию для других приложений.

У протокола CredSSP было три релиза-обновления

Поэтому когда мы подсоединяемся к серверу по RPD и вас отфутболивают, то тут две могут быть причины, либо на вашем компьютере поставились обновления либо на сервере были установлены накопительные обновления март — май 2018 года в которых убирается уязвимость в системе безопасности и при попытке подключения с непропатченной версией CredSSP у вас будет вылетать ошибка:

Давайте перейдем к

Варианты исправления ошибки CredSSP

Вариантов по устранению причины ошибки CredSSP несколько и мы пройдемся по каждой отдельно!

Установка последних обновлений

В котором вам предлагается скачать вручную обновление и поставить его на клиента/сервер

Установить отсутствующие обновления безопасности на сервере можно через службу Windows Update или вручную. Чтобы не тянуть кучу лишнего, вот прямые ссылки на обновления для разных версий Windows Server:

Отключить уведомления об ошибке шифрования CreedSSP

Но есть и более простой способ (но не безопасный) как это можно обойти если нет времени заниматься скачиванием и установкой! Этим способом мы просто отключаем это уведомление об ошибки и спокойно продолжаем работать по RDP

Отключение через групповые политики

Если же вам удобнее использовать редактор локальных групповых политик, то следуйте след инструкции:

Вот так мы и победили эту ошибку с подключением RPD к серверу! Так что будут вопрос, обязательно пишите и я постараюсь вам помочь!

Ошибка сервера 401: что это за ошибка и как ее исправить

Появление сообщения об ошибке 401 Unauthorized Error («отказ в доступе») при открытии страницы сайта означает неверную авторизацию или аутентификацию пользователя на стороне сервера при обращении к определенному url-адресу. Чаще всего она возникает при ошибочном вводе имени и/или пароля посетителем ресурса при входе в свой аккаунт. Другой причиной являются неправильные настройки, допущенные при администрировании web-ресурса. Данная ошибка отображается в браузере в виде отдельной страницы с соответствующим описанием. Некоторые разработчики интернет-ресурсов, в особенности крупных порталов, вводят собственную дополнительную кодировку данного сбоя:

Попробуем разобраться с наиболее распространенными причинами возникновения данной ошибки кода HTTP-соединения и обсудим способы их решения.

Причины появления ошибки сервера 401 и способы ее устранения на стороне пользователя

При доступе к некоторым сайтам (или отдельным страницам этих сайтов), посетитель должен пройти определенные этапы получения прав:

Большинство пользователей сохраняют свои данные по умолчанию в истории браузеров, что позволяет быстро идентифицироваться на наиболее часто посещаемых страницах и синхронизировать настройки между устройствами. Данный способ удобен для серфинга в интернете, но может привести к проблемам с безопасностью доступа к конфиденциальной информации. При наличии большого количества авторизованных регистрационных данных к различным сайтам используйте надежный мастер-пароль, который закрывает доступ к сохраненной в браузере информации.

Наиболее распространенной причиной появления ошибки с кодом 401 для рядового пользователя является ввод неверных данных при посещении определенного ресурса. В этом и других случаях нужно попробовать сделать следующее:

Некоторые крупные интернет-ресурсы с большим количеством подписчиков используют дополнительные настройки для обеспечения безопасности доступа. К примеру, ваш аккаунт может быть заблокирован при многократных попытках неудачной авторизации. Слишком частые попытки законнектиться могут быть восприняты как действия бота. В этом случае вы увидите соответствующее сообщение, но можете быть просто переадресованы на страницу с кодом 401. Свяжитесь с администратором сайта и решите проблему.

Иногда простая перезагрузка проблемной страницы, выход из текущей сессии или использование другого веб-браузера полностью решают проблему с 401 ошибкой авторизации.

Устранение ошибки 401 администратором веб-ресурса

Для владельцев сайтов, столкнувшихся с появлением ошибки отказа доступа 401, решить ее порою намного сложнее, чем обычному посетителю ресурса. Есть несколько рекомендаций, которые помогут в этом:

Где в поле /oldpage. html прописывается адрес проблемной страницы, а в https://site. com/newpage. html адрес страницы авторизации.

Таким образом вы перенаправите пользователей со всех страниц, которые выдают ошибку 401, на страницу начальной авторизации.

Хотя ошибка 401 и является проблемой на стороне клиента, ошибка пользователя на стороне сервера может привести к ложному требованию входа в систему. К примеру, сетевой администратор разрешит аутентификацию входа в систему всем пользователям, даже если это не требуется. В таком случае сообщение о несанкционированном доступе будет отображаться для всех, кто посещает сайт. Баг устраняется внесением соответствующих изменений в настройки.

Дополнительная информация об ошибке с кодом 401

Веб-серверы под управлением Microsoft IIS могут предоставить дополнительные данные об ошибке 401 Unauthorized в виде второго ряда цифр:

Более подробную информацию об ошибке сервера 401 при использовании обычной проверки подлинности для подключения к веб-узлу, который размещен в службе MS IIS, смотрите здесь.

Следующие сообщения также являются ошибками на стороне клиента и относятся к 401 ошибке:

Как видим, появление ошибки авторизации 401 Unauthorized не является критичным для рядового посетителя сайта и чаще всего устраняется самыми простыми способами. В более сложной ситуации оказываются администраторы и владельцы интернет-ресурсов, но и они в 100% случаев разберутся с данным багом путем изменения настроек или корректировки html-кода с привлечением разработчика сайта.

	Windows 2003 Active Directory более 100 учётных записей. Распределены по различным департаментам. Возникла проблема с одной учётной записью: Во время работы account блокируется — появляется галочка в AD account is block. Какого вида должна быть запись в Евентах при блокировании? Где ещё можно посмотреть логи, чтобы найти причину блокировки?

	смотрите логи системы, должно быть что то записано. P.s. может кто то постояно не тот пароль набирает?

	логи смотреть на контроллере домена, security log. будет видно когда и с какого компьютера были произведены попытки неправильно аутентифицироваться

	Алекс М Service Pack 1 стоит? В Windows XP без SP1 такое явление наблюдалось очень часто. Насколько помню и в Windows 2003 оно также присутствовало. Как я думаю, это ошибка LSASS — SP1 его обновляет, насколько помню, и данное явление пропадает.

Алекс М Guest

#5 Это нравится:0Да/0Нет 24.03.2008 11:09:16 Цитата VictorVG пишет: Service Pack 1 стоит нет — SP2. Цитата Michael пишет: security log Код Authentication Ticket Request:    User Name:      lika    Supplied Realm Name:   domain    User ID:         -    Service Name:      [B]krbtgt[/B]/domain    Service ID:      -    Ticket Options:      0x40810010    Result Code:      0x12    Ticket Encryption Type:   -    Pre-Authentication Type:   -    Client Address:      192.168.0.152    Certificate Issuer Name:       Certificate Serial Number:       Certificate Thumbprint: выделенное смущает... [I]Event ID 672[/I] Logon Failure:    Reason:      Account locked out    User Name:   lika    Domain:   domain    Logon Type:   3    Logon Process:   NtLmSsp    Authentication Package:   NTLM    Workstation Name:   CPU10    Caller User Name:   -    Caller Domain:   -    Caller Logon ID:   -    Caller Process ID: -    Transited Services: -    Source Network Address:   192.168.0.152    Source Port:   1608 [I]Event ID 539[/I] Logon attempt by:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account:   lika Source Workstation:   CPU10 Error Code:   0xC0000234 [I]Event ID 680[/I] это уже её попытка залогинется при блокированной учётке.

	тогда вопрос по другому задам. Как в АД для этого пользователя отключить блокировку вообще? Т.е. что бы учётка была включенна постоянно, не смотря на не правильный перебор паролей.

Michael Guest	#7 Это нравится:0Да/0Нет 06.05.2008 20:28:34 Цитата Алекс М пишет: Как в АД для этого пользователя отключить блокировку вообще? Это можно сделать группповыми политиками только в рамках всего домена

Editor Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003

Приведенные записи лога — уже постфактум блокировки (Kerberos result code 0x12 — ограничение на вход). Надо искать неудачные поптыки аутентификации (Account Logon Event и Logon Events) с этой учетной записью. Искать удобно EventCombMT из состава http://www.microsoft.com/downloads/details.aspx?FamilyID=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en Зачастую такое происходит если пользователь «примапил» диск с паролем, а потом пароль сменился (99%), или создал задачу в планировкщике или созадл сервис «под собой». Т.е. надо найти с какой машины идет блокировка, а потом искать на ней причину.

Алекс М Guest

#9 Это нравится:0Да/0Нет 07.05.2008 11:06:17 offtopic, спасибо, буду искать и спользуя ссылку. Но пароль не был сменён 100% — учётной записи не разрешено изменять пароль. Учётка блокируется при работе с рабочего компа и домашнего. И ещё: вчера с ~19 по 03 часа ночи всё было Ок. А утром снова в блок. Ищю 1% блокировки. вот одна строчка из лога: Код 675,AUDIT FAILURE,Security,Wed May 07 11:50:00 2008,NT AUTHORITYSYSTEM,      Ошибка предварительной проверки:     Имя пользователя: gena      Код пользователя: %{S-1-5-21-73586283-1220945662-1801674531-1112}      Имя службы: krbtgt/DOMAIN     Тип предварительной проверки: 0x2      Код ошибки: 0x18     Адрес клиента:  192.168.0.1

Алекс М Guest

#10 Это нравится:0Да/0Нет 07.05.2008 12:24:37 Код 675,AUDIT FAILURE,Security,Wed May 07 11:50:00 2008,NT AUTHORITYSYSTEM,      Ошибка предварительной проверки:     Имя пользователя: gena      Код пользователя: %{S-1-5-21-73586283-1220945662-1801674531-1112}      Имя службы: krbtgt/DOMAIN     Тип предварительной проверки: 0x2      Код ошибки: 0x18     Адрес клиента:  192.168.0.1   Адрес клиента 192.168.0.1 сразу вопрос: клиент — в смысле кто авторизует? этот IP принадлежит машине, на которой недавно установил вторичный AD. Так же там DHCP сервер.

Editor Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003	Поищите ошибки в журналах машины  192.168.0.1

Алекс М Guest	#12 Это нравится:0Да/0Нет 07.05.2008 14:35:16 Цитата offtopic пишет: 192.168.0.1 Код 675,AUDIT FAILURE,Security,Wed May 07 14:23:59 2008,NT AUTHORITYSYSTEM,      Ошибка предварительной проверки:     Имя пользователя: gena      Код пользователя: %{S-1-5-21-73586283-1220945662-1801674531-1112}      Имя службы: krbtgt/DOMAIN     Тип предварительной проверки: 0x2      Код ошибки: 0x18     Адрес клиента:  192.168.0.132 также есть «Адрес клиента:  127.0.0.1» 192.168.0.132 — это рабочая станция где работает человек  учёткой gena вот ещё: Код 672,AUDIT FAILURE,Security,Wed May 07 14:24:05 2008,NT AUTHORITYSYSTEM,      Запрос билета проверки подлинности:     Имя пользователя: Gena      Предоставленное имя сферы: DOMAIN     Код пользователя: -      Имя службы: krbtgt/DOMAIN     Код службы: -      Параметры билета: 0x40810010     Код результата:  0x12     Тип шифрования билета: -      Тип предварительной проверки: -     Адрес клиента:  192.168.0.132