Questione : Perché sono i clienti di vittoria 7 che cadono i collegamenti, l'evento 4634, la rete laggy, clienti di congelamento

Ho un cliente che sta avendo edizioni di compartecipazione casuali della rete.  Apriranno una lima sulla rete (std 2008) e si sederà circa un minuto o così prima dell'apertura della lima. Tutto il Win7, tutto il fresco installa.  A volte è istante, a volte deve attendere.  Il relativo ogni utente.  Sembra correlare con gli eventi di sicurezza (sessioni distrutte type-3) in modo da ho incluso che ceppo per lasciarlo avere uno sguardo. il
Im che si domanda se è un'edizione dell'interruttore, perché non ho veduto niente altro che conoscessi di quello causerebbe questo.  Tutto l'aiuto sarebbe appreciated.

ieri sera che ho scambiato gli interruttori ed ha funzionato perfetto per sopra un'ora.  Sono entrato oggi ed hanno avuti 2 utenti avere l'edizione circa 5.  Intorno 2 hanno avuti altro utente avere l'edizione, ma questo volta si è congelata eccelle ed allora a 5 un utente ha avuto ancora un documento di parola aperto dall'assistente e “aperto con un messaggio di errore “non può essere raggiunto. La lima può essere corrotta soltanto, situata su un assistente che non sta rispondendo, o essere letta.„  Ed offerto me un tasto di altra prova o il tasto dell'annullamento.  Ho colpito l'altra prova, anche se era già aperta ed ha continu aare schioccare in su lo stesso messaggio di errore.  Ho colpito l'annullamento ed il messaggio di errore è sparito e la lima ha rimanere aperta. “- Il

It dell'utente sta cadendo le sessioni per qualche motivo quelle io smussa calcola fuori.  Ho incluso un frammento delle 400.000 voci dall'inizio attività di sicurezza un il periodo 24hr.  TUTTO L'aiuto sarebbe apprezzato!

----------------------------4:44 di successo 5/10/2010 del
Audit: 57 la fine attività di PM Microsoft-Windows-Security-Auditing 4634 “un cliente era.

Subject: Identificazione di sicurezza del
:            Nome di cliente wsiegel
:            dominio di cliente del wsiegel
:            Identificazione di inizio attività di TWIN
:            tipo di 0x579dd45

Logon:                  l'evento di 3

This è generato quando una sessione di inizio attività si distrugge. Può essere correlato positivamente con un evento di inizio attività using il valore di identificazione di inizio attività. I IDs di inizio attività sono soltanto unici fra le ripartenze sullo stesso calcolatore. “4:44 di successo 5/10/2010 del
Audit: 57 l'inizio attività di PM Microsoft-Windows-Security-Auditing 4624 “un cliente era.

Subject: Identificazione di sicurezza del
:            Nome di cliente NULLO di SID
:            - dominio di cliente del
:            - identificazione di inizio attività del
:            tipo di 0x0

Logon:                  inizio attività di 3

New: Identificazione di sicurezza del
:            Nome di cliente wsiegel
:            dominio di cliente del wsiegel
:            Identificazione di inizio attività di TWIN
:            inizio attività GUID di 0x579dd52
:            {81A0200B-EB47-B5C4-1609-522D8F9720C0} informazioni del

Process: Identificazione trattata del
:            nome trattato di 0x0
:            - informazioni del

Network: Nome della stazione di lavoro del
:      Indirizzo di rete di fonte del
:      orificio di fonte del
di 192.168.5.112:            informazioni di autenticazione di 49201

Detailed: Processo di inizio attività del
:            Pacchetto di autenticazione di Kerberos
:      Kerberos
ha transitato i servizi:      - lunghezza chiave di nome del pacchetto del
(NTLM soltanto):-
:            l'evento di 0

This è generato quando una sessione di inizio attività è generata. È generato sul calcolatore che era campi di accessed.

The indica il cliente sul sistema locale che ha chiesto l'inizio attività. Ciò è il più comunemente un servizio quale il servizio dell'assistente, o un processo locale quale tipo campo di inizio attività di Services.exe.

The indica il genere di inizio attività che ha accaduto. I tipi più comuni sono 2 (interattivo) e 3 (rete). i nuovi campi di inizio attività del

The indicano il rappresentare quale il nuovo inizio attività è stato generato, cioè il cliente che è stato entrato. campi della rete del

The indica dove una richiesta di inizio attività a distanza è nato. Il nome della stazione di lavoro non è sempre disponibile e che può essere lasciato in alcuni casi. i campi di informazioni in bianco di autenticazione del

The fornisce alle informazioni dettagliate circa questo inizio attività specifico request.
- l'inizio attività GUID è un contrassegno unico che può essere usato per correlare questo evento con un KDC event.
- servizi transitati indica che quali servizi intermedi hanno partecipato a questo inizio attività request.
- il nome del pacchetto indica quale secondario-protocollo è stato usato fra il NTLM protocols.
- la lunghezza chiave indica la lunghezza della chiave di sessione generata. Ciò sarà 0 se nessuna chiave di sessione sia chiesta. “4:44 di successo 5/10/2010 del
Audit: 57 l'inizio attività di PM Microsoft-Windows-Security-Auditing 4624 “un cliente era.

Subject: Identificazione di sicurezza del
:            Nome di cliente NULLO di SID
:            - dominio di cliente del
:            - identificazione di inizio attività del
:            tipo di 0x0

Logon:                  inizio attività di 3

New: Identificazione di sicurezza del
:            Nome di cliente wsiegel
:            dominio di cliente del wsiegel
:            Identificazione di inizio attività di TWIN
:            inizio attività GUID di 0x579dd45
:            {81A0200B-EB47-B5C4-1609-522D8F9720C0} informazioni del

Process: Identificazione trattata del
:            nome trattato di 0x0
:            - informazioni del

Network: Nome della stazione di lavoro del
:      Indirizzo di rete di fonte del
:      orificio di fonte del
di 192.168.5.112:            informazioni di autenticazione di 49200

Detailed: Processo di inizio attività del
:            Pacchetto di autenticazione di Kerberos
:      Kerberos
ha transitato i servizi:      - lunghezza chiave di nome del pacchetto del
(NTLM soltanto):-
:            l'evento di 0

This è generato quando una sessione di inizio attività è generata. È generato sul calcolatore che era campi di accessed.

The indica il cliente sul sistema locale che ha chiesto l'inizio attività. Ciò è il più comunemente un servizio quale il servizio dell'assistente, o un processo locale quale tipo campo di inizio attività di Services.exe.

The indica il genere di inizio attività che ha accaduto. I tipi più comuni sono 2 (interattivo) e 3 (rete). i nuovi campi di inizio attività del

The indicano il rappresentare quale il nuovo inizio attività è stato generato, cioè il cliente che è stato entrato. campi della rete del

The indica dove una richiesta di inizio attività a distanza è nato. Il nome della stazione di lavoro non è sempre disponibile e che può essere lasciato in alcuni casi. i campi di informazioni in bianco di autenticazione del

The fornisce alle informazioni dettagliate circa questo inizio attività specifico request.
- l'inizio attività GUID è un contrassegno unico che può essere usato per correlare questo evento con un KDC event.
- servizi transitati indica che quali servizi intermedi hanno partecipato a questo inizio attività request.
- il nome del pacchetto indica quale secondario-protocollo è stato usato fra il NTLM protocols.
- la lunghezza chiave indica la lunghezza della chiave di sessione generata. Ciò sarà 0 se nessuna chiave di sessione sia chiesta. “4:44 di successo 5/10/2010 del
Audit: 57 l'inizio attività di PM Microsoft-Windows-Security-Auditing 4624 “un cliente era.

Subject: Identificazione di sicurezza del
:            Nome di cliente NULLO di SID
:            - dominio di cliente del
:            - identificazione di inizio attività del
:            tipo di 0x0

Logon:                  inizio attività di 3

New: Identificazione di sicurezza del
:            Nome di cliente wsiegel
:            dominio di cliente del wsiegel
:            Identificazione di inizio attività di TWIN
:            inizio attività GUID di 0x579dd35
:            {81A0200B-EB47-B5C4-1609-522D8F9720C0} informazioni del

Process: Identificazione trattata del
:            nome trattato di 0x0
:            - informazioni del

Network: Nome della stazione di lavoro del
:      Indirizzo di rete di fonte del
:      orificio di fonte del
di 192.168.5.112:            informazioni di autenticazione di 49198

Detailed: Processo di inizio attività del
:            Pacchetto di autenticazione di Kerberos
:      Kerberos
ha transitato i servizi:      - lunghezza chiave di nome del pacchetto del
(NTLM soltanto):-
:            l'evento di 0

This è generato quando una sessione di inizio attività è generata. È generato sul calcolatore che era campi di accessed.

The indica il cliente sul sistema locale che ha chiesto l'inizio attività. Ciò è il più comunemente un servizio quale il servizio dell'assistente, o un processo locale quale tipo campo di inizio attività di Services.exe.

The indica il genere di inizio attività che ha accaduto. I tipi più comuni sono 2 (interattivo) e 3 (rete). i nuovi campi di inizio attività del

The indicano il rappresentare quale il nuovo inizio attività è stato generato, cioè il cliente che è stato entrato. campi della rete del

The indica dove una richiesta di inizio attività a distanza è nato. Il nome della stazione di lavoro non è sempre disponibile e che può essere lasciato in alcuni casi. i campi di informazioni in bianco di autenticazione del

The fornisce alle informazioni dettagliate circa questo inizio attività specifico request.
- l'inizio attività GUID è un contrassegno unico che può essere usato per correlare questo evento con un KDC event.
- servizi transitati indica che quali servizi intermedi hanno partecipato a questo inizio attività request.
- il nome del pacchetto indica quale secondario-protocollo è stato usato fra il NTLM protocols.
- la lunghezza chiave indica la lunghezza della chiave di sessione generata. Ciò sarà 0 se nessuna chiave di sessione sia chiesta. “4:44 di successo 5/10/2010 del
Audit: 57 funzionamenti del biglietto di servizio del Kerberos di PM Microsoft-Windows-Security-Auditing 4769 “un biglietto di servizio del Kerberos erano informazioni di requested.

Account: Nome di cliente del
:            dominio di cliente di [email protected]
:            Inizio attività GUID di TWIN.LOCAL
:            {19157A5E-998A-7ABB-7076-240723D8ECDF} informazioni del

Service: Nome di servizio del
:            Identificazione di servizio di TWIND
:            GEMELLO \ informazioni di TWIND

Network: Indirizzo del cliente del
:            :: ffff: orificio del cliente del
di 192.168.5.112:            informazioni di 49199

Additional: Opzioni del biglietto del
:            tipo di crittografia del biglietto di 0x40810000
:      codice di guasto di 0x12
:            0x0
ha transitato i servizi:      - l'evento del

This è generato ogni volta che l'accesso è chiesto ad una risorsa quali un calcolatore o un servizio di Windows.  Il nome di servizio indica che la risorsa a cui l'accesso era evento di requested.

This può essere correlata con gli eventi di inizio attività di Windows confrontando i campi di inizio attività GUID in ogni evento.  L'evento di inizio attività si presenta sulla macchina che che è stata raggiunta, che è spesso una macchina differente che il regolatore di dominio che ha pubblicato le opzioni di servizio ticket.

Ticket, tipi di crittografia ed i codici di guasto sono definiti in RFC 4120. “4:44 di successo 5/10/2010 del
Audit: 57 l'inizio attività di PM Microsoft-Windows-Security-Auditing 4624 “un cliente era.

Subject: Identificazione di sicurezza del
:            Nome di cliente NULLO di SID
:            - dominio di cliente del
:            - identificazione di inizio attività del
:            tipo di 0x0

Logon:                  inizio attività di 3

New: Identificazione di sicurezza del
:            Nome di cliente wsiegel
:            dominio di cliente del wsiegel
:            Identificazione di inizio attività di TWIN
:            inizio attività GUID di 0x579dce3
:            {2E0C65FC-A9D2-F398-4586-7EF942DBDC9F} informazioni del

Process: Identificazione trattata del
:            nome trattato di 0x0
:            - informazioni del

Network: Nome della stazione di lavoro del
:      Indirizzo di rete di fonte del
:      orificio di fonte del
di 192.168.5.112:            informazioni di autenticazione di 49172

Detailed: Processo di inizio attività del
:            Pacchetto di autenticazione di Kerberos
:      Kerberos
ha transitato i servizi:      - lunghezza chiave di nome del pacchetto del
(NTLM soltanto):-
:            l'evento di 0

This è generato quando una sessione di inizio attività è generata. È generato sul calcolatore che era campi di accessed.

The indica il cliente sul sistema locale che ha chiesto l'inizio attività. Ciò è il più comunemente un servizio quale il servizio dell'assistente, o un processo locale quale tipo campo di inizio attività di Services.exe.

The indica il genere di inizio attività che ha accaduto. I tipi più comuni sono 2 (interattivo) e 3 (rete). i nuovi campi di inizio attività del

The indicano il rappresentare quale il nuovo inizio attività è stato generato, cioè il cliente che è stato entrato. campi della rete del

The indica dove una richiesta di inizio attività a distanza è nato. Il nome della stazione di lavoro non è sempre disponibile e che può essere lasciato in alcuni casi. i campi di informazioni in bianco di autenticazione del

The fornisce alle informazioni dettagliate circa questo inizio attività specifico request.
- l'inizio attività GUID è un contrassegno unico che può essere usato per correlare questo evento con un KDC event.
- servizi transitati indica che quali servizi intermedi hanno partecipato a questo inizio attività request.
- il nome del pacchetto indica quale secondario-protocollo è stato usato fra il NTLM protocols.
- la lunghezza chiave indica la lunghezza della chiave di sessione generata. Ciò sarà 0 se nessuna chiave di sessione sia chiesta. “4:44 di successo 5/10/2010 del
Audit: 57 funzionamenti del biglietto di servizio del Kerberos di PM Microsoft-Windows-Security-Auditing 4769 “un biglietto di servizio del Kerberos erano informazioni di requested.

Account: Nome di cliente del
:            dominio di cliente di [email protected]
:            Inizio attività GUID di TWIN.LOCAL
:            {19157A5E-998A-7ABB-7076-240723D8ECDF} informazioni del

Service: Nome di servizio del
:            Identificazione di servizio di TWIND
:            GEMELLO \ informazioni di TWIND

Network: Indirizzo del cliente del
:            :: ffff: orificio del cliente del
di 192.168.5.112:            informazioni di 49197

Additional: Opzioni del biglietto del
:            tipo di crittografia del biglietto di 0x40800000
:      codice di guasto di 0x12
:            0x0
ha transitato i servizi:      - l'evento del

This è generato ogni volta che l'accesso è chiesto ad una risorsa quali un calcolatore o un servizio di Windows.  Il nome di servizio indica che la risorsa a cui l'accesso era evento di requested.

This può essere correlata con gli eventi di inizio attività di Windows confrontando i campi di inizio attività GUID in ogni evento.  L'evento di inizio attività si presenta sulla macchina che che è stata raggiunta, che è spesso una macchina differente che il regolatore di dominio che ha pubblicato le opzioni di servizio ticket.

Ticket, tipi di crittografia ed i codici di guasto sono definiti in RFC 4120. “4:44 di successo 5/10/2010 del
Audit: 57 la fine attività di PM Microsoft-Windows-Security-Auditing 4634 “un cliente era.

Subject: Identificazione di sicurezza del
:            Nome di cliente di SYSTEM
:            Dominio di cliente di TWIND
:            Identificazione di inizio attività di TWIN
:            tipo di 0x579dcc3

Logon:                  l'evento di 3

This è generato quando una sessione di inizio attività si distrugge. Può essere correlato positivamente con un evento di inizio attività using il valore di identificazione di inizio attività. I IDs di inizio attività sono soltanto unici fra le ripartenze sullo stesso calcolatore. “4:44 di successo 5/10/2010 del
Audit: 57 l'inizio attività di PM Microsoft-Windows-Security-Auditing 4624 “un cliente era.

Subject: Identificazione di sicurezza del
:            Nome di cliente NULLO di SID
:            - dominio di cliente del
:            - identificazione di inizio attività del
:            tipo di 0x0

Logon:                  inizio attività di 3

New: Identificazione di sicurezza del
:            Nome di cliente di SYSTEM
:            Dominio di cliente di TWIND
:            Identificazione di inizio attività di TWIN
:            inizio attività GUID di 0x579dcc3
:            {C987ED0B-EECD-EEB8-7DB2-4AEB7E0F3D17} informazioni del

Process: Identificazione trattata del
:            nome trattato di 0x0
:            - informazioni del

Network: Nome della stazione di lavoro del
:      Indirizzo di rete di fonte del
:      fe80:: 8de5: e439: 1ad4: orificio di fonte di b665
:            informazioni di autenticazione di 61872

Detailed: Processo di inizio attività del
:            Pacchetto di autenticazione di Kerberos
:      Kerberos
ha transitato i servizi:      - lunghezza chiave di nome del pacchetto del
(NTLM soltanto):-
:            l'evento di 0

This è generato quando una sessione di inizio attività è generata. È generato sul calcolatore che era campi di accessed.

The indica il cliente sul sistema locale che ha chiesto l'inizio attività. Ciò è il più comunemente un servizio quale il servizio dell'assistente, o un processo locale quale tipo campo di inizio attività di Services.exe.

The indica il genere di inizio attività che ha accaduto. I tipi più comuni sono 2 (interattivo) e 3 (rete). i nuovi campi di inizio attività del

The indicano il rappresentare quale il nuovo inizio attività è stato generato, cioè il cliente che è stato entrato. campi della rete del

The indica dove una richiesta di inizio attività a distanza è nato. Il nome della stazione di lavoro non è sempre disponibile e che può essere lasciato in alcuni casi. i campi di informazioni in bianco di autenticazione del

The fornisce alle informazioni dettagliate circa questo inizio attività specifico request.
- l'inizio attività GUID è un contrassegno unico che può essere usato per correlare questo evento con un KDC event.
- servizi transitati indica che quali servizi intermedi hanno partecipato a questo inizio attività request.
- il nome del pacchetto indica quale secondario-protocollo è stato usato fra il NTLM protocols.
- la lunghezza chiave indica la lunghezza della chiave di sessione generata. Ciò sarà 0 se nessuna chiave di sessione sia chiesta. “4:44 di successo 5/10/2010 del
Audit: 57 i privilegi speciali di inizio attività speciale di PM Microsoft-Windows-Security-Auditing 4672 “hanno assegnato a nuovo logon.

Subject: Identificazione di sicurezza del
:            Nome di cliente di SYSTEM
:            Dominio di cliente di TWIND
:            Identificazione di inizio attività di TWIN
:            0x579dcc3

Privileges:            SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege " class= del

Risposta : Perché sono i clienti di vittoria 7 che cadono i collegamenti, l'evento 4634, la rete laggy, clienti di congelamento

Penso abbia trovato che la causa - io scaricare disabile di TCP e RSS sul NIC - noi farà una certa prova ed invierò i risultati.