症状
在 Windows Server 2012 或 Windows Server 2012 R2 域控制器上,或在代表远程调用者执行传递身份验证的成员服务器上安装受影响更新表的列表(本节后续内容)中的任何更新后,NTLM 身份验证可能会失败,错误代码为 0xC0000022。 如果在安装受影响更新表的列表中的修补程序之前、之后或同时安装 Microsoft 安全公告 MS16-101 中介绍的安全更新,则此问题不会发生。 注意:要查看本节中介绍的 Netlogon 服务的日志示例,必须通过注册表或 NLTEST 工具启用调试日志。有关如何为 Netlogon 服务启用调试日志的详细信息,请参阅以下 Microsoft 网页:
为 Netlogon 服务启用调试日志 此问题发生时,如下所示的错误消息会记录在受影响的域控制器的 Netlogon.log 中。
SamLogon: Domain\User memberServer 的网络登录返回 0xC0000022
下表显示了错误映射:
十六进制 |
十进制 |
符号 |
友情提示 |
0xC0000022 |
-1073741790 |
STATUS_ACCESS_DENIED |
某个进程已请求访问一个对象,但未 获得相应的访问权限。 |
受影响的域控制器的 NETLOGON.LOGS 文件将具有如下签名:
日期和时间 [CRITICAL] [11940] DOMAIN: NlpUserValidateHigher: 以下状态后拒绝访问: 0xc0000022 0
日期和时间 [SESSION] [11940] DOMAIN: NlSetStatusClientSession: 设置连接状态为 c0000022 日期和时间 [SESSION] [11940] DOMAIN: NlSetStatusClientSession: 从服务器 \\DCName (TCP) 0 取消绑定。 日期和时间 [SESSION] [11940] DOMAIN: NlSetStatusClientSession: 从服务器 \\DCName (TCP) 1 取消绑定。 日期和时间 [LOGON] [11940] SamLogon: 来自 xxxxxxxxx 的 Domain\xxxxx 的网络登录返回 0xC000018D或具有本地帐户的独立或成员计算机上的下列条目:
日期和时间 [LOGON] [4140] SamLogon: 来自输入的 ComputerA 的 ComputerA\LocalAccount 的网络登录
日期和时间 [CRITICAL] [4140] NlPrintRpcDebug: 无法为 I_NetLogonSamLogonEx 获取 EEInfo: 1761 (0xc0000064 可能是合法的) 日期和时间 [LOGON] [4140] SamLogon: 来自 ComputerA 的 ComputerA\LocalAccount 的网络登录返回 0xC0000022扩展错误映射如下所示:
十六进制 |
十进制 |
符号 |
友情提示 |
0xC0000022 |
-1073741790 |
STATUS_ACCESS_DENIED |
某个进程已请求访问一个对象,但未获得相应的访问权限。 |
0x6e1 |
1761 |
RPC_S_ENTRY_NOT_FOUND |
未找到该条目。 |
0xC000018D |
-1073741427 |
STATUS_TRUSTED_RELATIONSHIP_FAILURE |
登录请求失败,因为无法建立此工作站与主域之间的信任关系。 |
受影响更新的列表
我们认为以下更新可能会导致此问题: Windows 8.1 和 Windows Server 2012 R2
3187754 |
MS16-110:Windows 安全更新说明:2016 年 9 月 13 日 |
Windows Server 2012:
2922223 |
如果 RealTimeIsUniversal 注册表项在 Windows 中已启用,则无法更改系统时间。 |
3167679 |
MS16-101:Windows 身份验证方法安全更新说明:2016 年 8 月 9 日 |
3174644 |
Microsoft 安全公告:更新的 Diffie-Hellman 密钥交换支持 |
3175024 |
MS16-111:Windows 内核安全更新说明:2016 年 9 月 13 日 |
3179575 |
Windows Server 2012 更新汇总(2016 年 8 月) |
3187754 |
MS16-110:Windows 安全更新说明:2016 年 9 月 13 日 |
3185332 |
2016 年 10 月 Windows Server 2012 安全质量月度汇总更新 |
3192393 |
2016 年 10 月 Windows Server 2012 安全质量更新专辑 |
3192406 |
2016 年 10 月 Windows Server 2012 质量月度汇总预览 |
原因
出现此问题是因为最新的更新汇总在更新 Netlogon.dll 时缺少依赖项。
解决方案
要解决此问题,请安装 Microsoft 安全公告 MS16-101 中介绍的安全更新。