%E2%80%9C%E5%AE%89%E5%85%A8%E5%8C%85%20Kerberos%20%E7%94%9F%E6%88%90%E5%BC%82%E5%B8%B8%E3%80%82%E5%BC%82%E5%B8%B8%E4%BF%A1%E6%81%AF%E6%98%AF%E6%95%B0%E6%8D%AE%E3%80%82%E2%80%9D.png)
我有一台 Windows 服务器(2008 R2 SP1),它作为域控制器运行,并使用网络策略服务器对无线 802.1X 设备进行身份验证。有两个可用的接入点。
突然,由于某种原因,每当其中一个接入点为试图验证 LSA 的无线设备创建 RADIUS 请求时 (lsass.exe) 就会崩溃并显示代码 255,然后系统必须重新启动。RADIUS 请求最终也会失败(代码 4)。如果需要,我可以提供 RADIUS 会话的 Wireshark 转储。
这些系统事件被记录:
活动 #1
**USER32** (ID 1074)
The process wininit.exe has initiated the restart of computer SERVER on behalf of user for the following reason: No title for this reason could be found
Reason Code: 0x50006
Shutdown Type: restart
Comment: The system process 'C:\Windows\system32\lsass.exe' terminated unexpectedly with status code 255. The system will now shut down and restart.
活动 #2
**LSA (LsaSrv)** (ID 5000)
The security package Kerberos generated an exception. The exception information is the data.
活动#3
**LSA (LsaSrv)** (ID 5000) *Two events with exactly the same data are created.*
The security package Kerberos generated an exception. The exception information is the data.
我发现这篇文章似乎正是这个问题所在(Windows 7 和 Server 2008 R2 使用相同的内核),所以我应用了该修补程序。不幸的是,它什么也没解决。
http://support.microsoft.com/kb/2732595
我还尝试了一些其他常见的检查,例如运行 CHKDSK、SFC、病毒扫描(MSE)和 rootkit 揭示器。
看起来这个家伙遇到了完全相同的问题,尽管他从未回复说问题是否已解决。(我讨厌人们这样做)
答案1
我用 DVD 创建了一个全新的 WS 2008 R2 SP1 系统,加入了域,应用了组策略,重新启动并安装了 NPS 和 RRAS。远程主机的测试证明 NPS 和 Kerberos.dll 此时运行正常。
然后我自行安装了 KB2871997,并且 lsass 在 VPN 连接时崩溃,因此很明显这是 KB2871997 中的一个错误。
根据其伴随安全通告,此更新似乎是一种安全增强,而不是错误修复,因此我认为如果它破坏了某些功能,则可以将其删除。我已将其从 WS2008 R2 服务器中删除,现在它又可以正常工作了。
(不过,我不会将其排除在自动更新列表中,以防 M$ 发布新版本。当前版本已经是 v2......)
但是,此更新不是针对 WS2012 R2 单独发布的,而是作为安全汇总的一部分发布的。我仍在尝试弄清楚如何为该操作系统卸载它。