Question : Pourquoi sont les clients de la victoire 7 laissant tomber des raccordements, l'événement 4634, réseau laggy, les clients de congélation

J'ai un client qui a les émissions d'actions de réseau aléatoire.  Elles ouvriront un dossier sur le réseau (DST 2008) et il reposera environ une minute ou ainsi avant d'ouvrir le dossier. Tout le Win7, tout frais installe.  Parfois il est instantané, parfois ils doivent attendre.  Son chaque utilisateur.  Il semble se corréler avec les événements de sécurité (les sessions détruites type-3) ainsi j'ai inclus que notation pour vous laisser aller voir. le
Im se demandant si c'est une issue de commutateur, parce que je n'ai pas vu toute autre chose que je sais de celui causerait ceci.  N'importe quelle aide serait nuit d'appreciated.

Last que j'ai permuté des commutateurs et cela a fonctionné parfait pendant plus d'une heure.  Ils sont venus dans aujourd'hui et ont eu 2 utilisateurs avoir l'issue vers 5h du matin.  Environ 2 ils ont eu un autre utilisateur avoir l'issue, mais cette fois elle a gelé excellent, et de l'autre côté à 5 un utilisateur a eu un document de mot ouvert du serveur et « ouvert avec un message d'erreur « ne peut pas être accédé. Le dossier peut être corrompu, localisé sur un serveur qui ne répond pas, ou être lu seulement. »  Et offert m'un bouton de tentative ou le bouton d'annulation.  J'ai frappé la tentative, quoiqu'elle ait été déjà ouverte, et elle a continué à sauter vers le haut le même message d'erreur.  J'ai frappé l'annulation et le message d'erreur a disparu et le dossier est resté ouvert. « - Le

It d'utilisateur laisse tomber des sessions pour quelque raison ces je biseautent figurent dehors.  J'ai inclus un extrait des 400.000 entrées de l'ouverture de sécurité par période 24hr.  N'IMPORTE QUELLE aide serait appréciée !

----------------------------succès du
Audit 5/10/2010 4h44 : 57 la fermeture de session de P.M. Microsoft-Windows-Security-Auditing 4634 « un compte était. le

Subject : Identification de sécurité du
:            Nom de compte de JUMEAU \ wsiegel
:            domaine de compte du wsiegel
:            Identification d'ouverture de TWIN
:            type de 0x579dd45

Logon :                  l'événement de 3

This est produit quand une session d'ouverture est détruite. Il peut être franchement corrélé avec un événement d'ouverture using la valeur d'identification d'ouverture. Les IDs d'ouverture sont seulement uniques entre les remises à zéro sur le même ordinateur. « succès du
Audit 5/10/2010 4h44 : 57 l'ouverture de P.M. Microsoft-Windows-Security-Auditing 4624 « un compte était. le

Subject : Identification de sécurité du
:            Nom de compte NUL de SID
:            - domaine de compte du
:            - identification d'ouverture du
:            type de 0x0

Logon :                  ouverture de 3

New : Identification de sécurité du
:            Nom de compte de JUMEAU \ wsiegel
:            domaine de compte du wsiegel
:            Identification d'ouverture de TWIN
:            ouverture GUID de 0x579dd52
:            {81A0200B-EB47-B5C4-1609-522D8F9720C0} l'information du

Process : Identificateur de processus du
:            nom de processus de 0x0
:            - l'information du

Network : Nom de poste de travail du
:      Adresse réseau de source du
:      port de source du
de 192.168.5.112 :            l'information d'authentification de 49201

Detailed : Processus d'ouverture du
:            Paquet d'authentification de Kerberos
:      Kerberos
a transité des services :      - longueur principale du nom de paquet du
(NTLM seulement) :-
:            l'événement de 0

This est produit quand une session d'ouverture est créée. Il est produit sur l'ordinateur qui était des domaines d'accessed.

The indiquent le compte sur le système local qui a demandé l'ouverture. C'est le plus généralement un service tel que le service de serveur, ou un processus local type champ tel que de Winlogon.exe ou de Services.exe.

The ouverture indique le genre d'ouverture qui s'est produit. Les types les plus communs sont 2 (interactif) et 3 (réseau). les nouveaux champs d'ouverture du

The indiquent l'explication que la nouvelle ouverture a été créée, c.-à-d. le compte qui a été ouvert une session. des champs de réseau du

The indiquent où une demande d'ouverture à distance a commencé. Le nom de poste de travail n'est pas toujours disponible et peut être laissé dans certains cas. les zones d'informations blanches d'authentification du

The fournissent les informations détaillées au sujet de cette ouverture spécifique request.
- l'ouverture GUID est une marque unique qui peut être employée pour corréler cet événement avec un KDC event.
- des services transités indiquent que quels services intermédiaires ont participé à cette ouverture request.
- le nom de paquet indique quel secondaire-protocole a été employé parmi le NTLM protocols.
- la longueur principale indique la longueur de la clef de session produite. Ce sera 0 si aucune clef de session n'était demandée. « succès du
Audit 5/10/2010 4h44 : 57 l'ouverture de P.M. Microsoft-Windows-Security-Auditing 4624 « un compte était. le

Subject : Identification de sécurité du
:            Nom de compte NUL de SID
:            - domaine de compte du
:            - identification d'ouverture du
:            type de 0x0

Logon :                  ouverture de 3

New : Identification de sécurité du
:            Nom de compte de JUMEAU \ wsiegel
:            domaine de compte du wsiegel
:            Identification d'ouverture de TWIN
:            ouverture GUID de 0x579dd45
:            {81A0200B-EB47-B5C4-1609-522D8F9720C0} l'information du

Process : Identificateur de processus du
:            nom de processus de 0x0
:            - l'information du

Network : Nom de poste de travail du
:      Adresse réseau de source du
:      port de source du
de 192.168.5.112 :            l'information d'authentification de 49200

Detailed : Processus d'ouverture du
:            Paquet d'authentification de Kerberos
:      Kerberos
a transité des services :      - longueur principale du nom de paquet du
(NTLM seulement) :-
:            l'événement de 0

This est produit quand une session d'ouverture est créée. Il est produit sur l'ordinateur qui était des domaines d'accessed.

The indiquent le compte sur le système local qui a demandé l'ouverture. C'est le plus généralement un service tel que le service de serveur, ou un processus local type champ tel que de Winlogon.exe ou de Services.exe.

The ouverture indique le genre d'ouverture qui s'est produit. Les types les plus communs sont 2 (interactif) et 3 (réseau). les nouveaux champs d'ouverture du

The indiquent l'explication que la nouvelle ouverture a été créée, c.-à-d. le compte qui a été ouvert une session. des champs de réseau du

The indiquent où une demande d'ouverture à distance a commencé. Le nom de poste de travail n'est pas toujours disponible et peut être laissé dans certains cas. les zones d'informations blanches d'authentification du

The fournissent les informations détaillées au sujet de cette ouverture spécifique request.
- l'ouverture GUID est une marque unique qui peut être employée pour corréler cet événement avec un KDC event.
- des services transités indiquent que quels services intermédiaires ont participé à cette ouverture request.
- le nom de paquet indique quel secondaire-protocole a été employé parmi le NTLM protocols.
- la longueur principale indique la longueur de la clef de session produite. Ce sera 0 si aucune clef de session n'était demandée. « succès du
Audit 5/10/2010 4h44 : 57 l'ouverture de P.M. Microsoft-Windows-Security-Auditing 4624 « un compte était. le

Subject : Identification de sécurité du
:            Nom de compte NUL de SID
:            - domaine de compte du
:            - identification d'ouverture du
:            type de 0x0

Logon :                  ouverture de 3

New : Identification de sécurité du
:            Nom de compte de JUMEAU \ wsiegel
:            domaine de compte du wsiegel
:            Identification d'ouverture de TWIN
:            ouverture GUID de 0x579dd35
:            {81A0200B-EB47-B5C4-1609-522D8F9720C0} l'information du

Process : Identificateur de processus du
:            nom de processus de 0x0
:            - l'information du

Network : Nom de poste de travail du
:      Adresse réseau de source du
:      port de source du
de 192.168.5.112 :            l'information d'authentification de 49198

Detailed : Processus d'ouverture du
:            Paquet d'authentification de Kerberos
:      Kerberos
a transité des services :      - longueur principale du nom de paquet du
(NTLM seulement) :-
:            l'événement de 0

This est produit quand une session d'ouverture est créée. Il est produit sur l'ordinateur qui était des domaines d'accessed.

The indiquent le compte sur le système local qui a demandé l'ouverture. C'est le plus généralement un service tel que le service de serveur, ou un processus local type champ tel que de Winlogon.exe ou de Services.exe.

The ouverture indique le genre d'ouverture qui s'est produit. Les types les plus communs sont 2 (interactif) et 3 (réseau). les nouveaux champs d'ouverture du

The indiquent l'explication que la nouvelle ouverture a été créée, c.-à-d. le compte qui a été ouvert une session. des champs de réseau du

The indiquent où une demande d'ouverture à distance a commencé. Le nom de poste de travail n'est pas toujours disponible et peut être laissé dans certains cas. les zones d'informations blanches d'authentification du

The fournissent les informations détaillées au sujet de cette ouverture spécifique request.
- l'ouverture GUID est une marque unique qui peut être employée pour corréler cet événement avec un KDC event.
- des services transités indiquent que quels services intermédiaires ont participé à cette ouverture request.
- le nom de paquet indique quel secondaire-protocole a été employé parmi le NTLM protocols.
- la longueur principale indique la longueur de la clef de session produite. Ce sera 0 si aucune clef de session n'était demandée. « succès du
Audit 5/10/2010 4h44 : 57 opérations de billet de service de Kerberos de P.M. Microsoft-Windows-Security-Auditing 4769 « un billet de service de Kerberos étaient l'information de requested.

Account : Nom de compte du
:            domaine de compte de [email protected]
:            Ouverture GUID de TWIN.LOCAL
:            {19157A5E-998A-7ABB-7076-240723D8ECDF} l'information du

Service : Nom de service du
:            Identification de service de TWIND
:            JUMEAU \ information de TWIND

Network : Adresse de client du
:            : : ffff : port de client du
de 192.168.5.112 :            l'information de 49199

Additional : Options de billet du
:            type de chiffrage de billet de 0x40810000
:      code d'échec de 0x12
:            0x0
a transité des services :      - l'événement du

This est produit chaque fois que l'accès est demandé à une ressource telle qu'un ordinateur ou un service de Windows.  Le nom de service indique que la ressource à laquelle l'accès était événement de requested.

This peut être corrélée avec des événements d'ouverture de Windows en comparant les champs de l'ouverture GUID dans chaque événement.  L'événement d'ouverture se produit sur la machine que qui a été accédée, qui est souvent une machine différente que le contrôleur de domaine qui a publié les options du service ticket.

Ticket, des types de chiffrage, et des codes d'échec sont définis dans RFC 4120. « succès du
Audit 5/10/2010 4h44 : 57 l'ouverture de P.M. Microsoft-Windows-Security-Auditing 4624 « un compte était. le

Subject : Identification de sécurité du
:            Nom de compte NUL de SID
:            - domaine de compte du
:            - identification d'ouverture du
:            type de 0x0

Logon :                  ouverture de 3

New : Identification de sécurité du
:            Nom de compte de JUMEAU \ wsiegel
:            domaine de compte du wsiegel
:            Identification d'ouverture de TWIN
:            ouverture GUID de 0x579dce3
:            {2E0C65FC-A9D2-F398-4586-7EF942DBDC9F} l'information du

Process : Identificateur de processus du
:            nom de processus de 0x0
:            - l'information du

Network : Nom de poste de travail du
:      Adresse réseau de source du
:      port de source du
de 192.168.5.112 :            l'information d'authentification de 49172

Detailed : Processus d'ouverture du
:            Paquet d'authentification de Kerberos
:      Kerberos
a transité des services :      - longueur principale du nom de paquet du
(NTLM seulement) :-
:            l'événement de 0

This est produit quand une session d'ouverture est créée. Il est produit sur l'ordinateur qui était des domaines d'accessed.

The indiquent le compte sur le système local qui a demandé l'ouverture. C'est le plus généralement un service tel que le service de serveur, ou un processus local type champ tel que de Winlogon.exe ou de Services.exe.

The ouverture indique le genre d'ouverture qui s'est produit. Les types les plus communs sont 2 (interactif) et 3 (réseau). les nouveaux champs d'ouverture du

The indiquent l'explication que la nouvelle ouverture a été créée, c.-à-d. le compte qui a été ouvert une session. des champs de réseau du

The indiquent où une demande d'ouverture à distance a commencé. Le nom de poste de travail n'est pas toujours disponible et peut être laissé dans certains cas. les zones d'informations blanches d'authentification du

The fournissent les informations détaillées au sujet de cette ouverture spécifique request.
- l'ouverture GUID est une marque unique qui peut être employée pour corréler cet événement avec un KDC event.
- des services transités indiquent que quels services intermédiaires ont participé à cette ouverture request.
- le nom de paquet indique quel secondaire-protocole a été employé parmi le NTLM protocols.
- la longueur principale indique la longueur de la clef de session produite. Ce sera 0 si aucune clef de session n'était demandée. « succès du
Audit 5/10/2010 4h44 : 57 opérations de billet de service de Kerberos de P.M. Microsoft-Windows-Security-Auditing 4769 « un billet de service de Kerberos étaient l'information de requested.

Account : Nom de compte du
:            domaine de compte de [email protected]
:            Ouverture GUID de TWIN.LOCAL
:            {19157A5E-998A-7ABB-7076-240723D8ECDF} l'information du

Service : Nom de service du
:            Identification de service de TWIND
:            JUMEAU \ information de TWIND

Network : Adresse de client du
:            : : ffff : port de client du
de 192.168.5.112 :            l'information de 49197

Additional : Options de billet du
:            type de chiffrage de billet de 0x40800000
:      code d'échec de 0x12
:            0x0
a transité des services :      - l'événement du

This est produit chaque fois que l'accès est demandé à une ressource telle qu'un ordinateur ou un service de Windows.  Le nom de service indique que la ressource à laquelle l'accès était événement de requested.

This peut être corrélée avec des événements d'ouverture de Windows en comparant les champs de l'ouverture GUID dans chaque événement.  L'événement d'ouverture se produit sur la machine que qui a été accédée, qui est souvent une machine différente que le contrôleur de domaine qui a publié les options du service ticket.

Ticket, des types de chiffrage, et des codes d'échec sont définis dans RFC 4120. « succès du
Audit 5/10/2010 4h44 : 57 la fermeture de session de P.M. Microsoft-Windows-Security-Auditing 4634 « un compte était. le

Subject : Identification de sécurité du
:            Nom de compte de SYSTEM
:            Domaine de compte de TWIND
:            Identification d'ouverture de TWIN
:            type de 0x579dcc3

Logon :                  l'événement de 3

This est produit quand une session d'ouverture est détruite. Il peut être franchement corrélé avec un événement d'ouverture using la valeur d'identification d'ouverture. Les IDs d'ouverture sont seulement uniques entre les remises à zéro sur le même ordinateur. « succès du
Audit 5/10/2010 4h44 : 57 l'ouverture de P.M. Microsoft-Windows-Security-Auditing 4624 « un compte était. le

Subject : Identification de sécurité du
:            Nom de compte NUL de SID
:            - domaine de compte du
:            - identification d'ouverture du
:            type de 0x0

Logon :                  ouverture de 3

New : Identification de sécurité du
:            Nom de compte de SYSTEM
:            Domaine de compte de TWIND
:            Identification d'ouverture de TWIN
:            ouverture GUID de 0x579dcc3
:            {C987ED0B-EECD-EEB8-7DB2-4AEB7E0F3D17} l'information du

Process : Identificateur de processus du
:            nom de processus de 0x0
:            - l'information du

Network : Nom de poste de travail du
:      Adresse réseau de source du
:      fe80 : : 8de5 : e439 : 1ad4 : port de source de b665
:            l'information d'authentification de 61872

Detailed : Processus d'ouverture du
:            Paquet d'authentification de Kerberos
:      Kerberos
a transité des services :      - longueur principale du nom de paquet du
(NTLM seulement) :-
:            l'événement de 0

This est produit quand une session d'ouverture est créée. Il est produit sur l'ordinateur qui était des domaines d'accessed.

The indiquent le compte sur le système local qui a demandé l'ouverture. C'est le plus généralement un service tel que le service de serveur, ou un processus local type champ tel que de Winlogon.exe ou de Services.exe.

The ouverture indique le genre d'ouverture qui s'est produit. Les types les plus communs sont 2 (interactif) et 3 (réseau). les nouveaux champs d'ouverture du

The indiquent l'explication que la nouvelle ouverture a été créée, c.-à-d. le compte qui a été ouvert une session. des champs de réseau du

The indiquent où une demande d'ouverture à distance a commencé. Le nom de poste de travail n'est pas toujours disponible et peut être laissé dans certains cas. les zones d'informations blanches d'authentification du

The fournissent les informations détaillées au sujet de cette ouverture spécifique request.
- l'ouverture GUID est une marque unique qui peut être employée pour corréler cet événement avec un KDC event.
- des services transités indiquent que quels services intermédiaires ont participé à cette ouverture request.
- le nom de paquet indique quel secondaire-protocole a été employé parmi le NTLM protocols.
- la longueur principale indique la longueur de la clef de session produite. Ce sera 0 si aucune clef de session n'était demandée. « succès du
Audit 5/10/2010 4h44 : 57 les privilèges spéciaux d'ouverture spéciale de P.M. Microsoft-Windows-Security-Auditing 4672 « ont assigné à nouveau logon.

Subject : Identification de sécurité du
:            Nom de compte de SYSTEM
:            Domaine de compte de TWIND
:            Identification d'ouverture de TWIN
:            0x579dcc3

Privileges :            SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege " class= de

Réponse : Pourquoi sont les clients de la victoire 7 laissant tomber des raccordements, l'événement 4634, réseau laggy, les clients de congélation

Je pense j'ai trouvé que la cause - débarquement de TCP handicapé par I et RSS sur le NIC - nous fera un certain essai et je signalerai les résultats.