Pergunta : Porque são os clientes da vitória 7 que deixam cair conexões, evento 4634, rede laggy, clientes de congelação

Eu tenho um cliente que esteja tendo edições de partilha aleatórias da rede.  Abrirão uma lima na rede (STD 2008) e sentará aproximadamente um minuto ou assim antes de abrir a lima. Todo o Win7, toda fresco instala.  Às vezes é imediato, às vezes eles tem que esperar.  Seu cada usuário.  Parece correlacionar com os eventos da segurança (sessões destruídas type-3) assim que eu incluí que registro para deixá-lo ter um olhar. o
Im que quer saber se é uma edição do interruptor, porque eu não vi qualquer outra coisa que eu sei daquele causaria este.  Toda a ajuda seria appreciated.

a noite passada que eu troquei interruptores e trabalhou perfeito por sobre uma hora.  Entraram hoje e tiveram 2 usuários ter a edição aproximadamente 5 AM.  Ao redor 2 tiveram um outro usuário ter a edição, mas esta vez congelou-se prima, e então outra vez em 5 um usuário teve um original da palavra aberto do usuário e “aberto com uma mensagem de erro “não pode ser alcançado. A lima pode ser corrompida, ficado situada em um usuário que não esteja respondendo, ou ser lida somente.”  E oferecido me uma tecla da nova tentativa ou a tecla do cancelamento.  Eu bati a nova tentativa, mesmo que estivesse já aberta, e manteve-se estalar acima a mesma mensagem de erro.  Eu bati o cancelamento e a mensagem de erro desapareceu e a lima permaneceu aberta. “- O

It do usuário está deixando cair as sessões por qualquer motivo essas mim chanfra figura para fora.  Eu incluí uma pequena notícia das 400.000 entradas do início de uma sessão da segurança um o período 24hr.  TODA A ajuda seria apreciada!

----------------------------4:44 do sucesso 5/10/2010 do
Audit: 57 o término de uma sessão do PM Microsoft-Windows-Security-Auditing 4634 “um cliente era. o

Subject: Identificação da segurança do
:            Nome de cliente do GÊMEO \ wsiegel
:            domínio do cliente do wsiegel
:            Identificação de início de uma sessão de TWIN
:            tipo de 0x579dd45

Logon:                  o evento de 3

This é gerado quando uma sessão do início de uma sessão é destruída. Pode positivamente ser correlacionado com um evento do início de uma sessão using o valor da identificação de início de uma sessão. Os IDs do início de uma sessão são somente originais entre repartições no mesmo computador. do “4:44 do sucesso 5/10/2010
Audit: 57 o início de uma sessão do PM Microsoft-Windows-Security-Auditing 4624 “um cliente era. o

Subject: Identificação da segurança do
:            Nome de cliente NULO de SID
:            - domínio do cliente do
:            - identificação de início de uma sessão do
:            tipo de 0x0

Logon:                  início de uma sessão de 3

New: Identificação da segurança do
:            Nome de cliente do GÊMEO \ wsiegel
:            domínio do cliente do wsiegel
:            Identificação de início de uma sessão de TWIN
:            início de uma sessão GUID de 0x579dd52
:            {81A0200B-EB47-B5C4-1609-522D8F9720C0} informação do

Process: Identificação Process do
:            nome Process de 0x0
:            - informação do

Network: Nome da estação de trabalho do
:      Endereço de rede da fonte do
:      porto da fonte do
de 192.168.5.112:            informação de autenticação de 49201

Detailed: Processo do início de uma sessão do
:            Pacote da autenticação de Kerberos
:      Kerberos
transitou por serviços:      - comprimento chave do nome do pacote do
(NTLM somente):-
:            o evento de 0

This é gerado quando uma sessão do início de uma sessão é criada. É gerado no computador que era campos de accessed.

The indica o cliente no sistema local que pediu o início de uma sessão. Este é o mais geralmente um serviço tal como o serviço do usuário, ou um processo local tal como tipo campo do início de uma sessão de Winlogon.exe ou de Services.exe.

The indica o tipo do início de uma sessão que ocorreu. Os tipos os mais comuns são 2 (interativo) e 3 (rede). os campos novos do início de uma sessão do

The indicam esclarecer quem o início de uma sessão novo foi criado, isto é o cliente que foi entrado. campos da rede do

The indica onde um pedido de início de uma sessão remoto originou. O nome da estação de trabalho não está sempre disponível e pode ser deixado em alguns casos. campos de informação em branco da autenticação do

The fornece a informações detalhadas sobre este início de uma sessão específico request.
- início de uma sessão GUID é um identificador original que possa ser usado para correlacionar este evento com um KDC event.
- serviços transitados por indica que que serviços intermediários participaram neste início de uma sessão request.
- o nome do pacote indica que secundário-protocolo foi usado entre o NTLM protocols.
- o comprimento chave indica o comprimento da chave de sessão gerada. Este será 0 se nenhuma chave de sessão foi pedida. do “4:44 do sucesso 5/10/2010
Audit: 57 o início de uma sessão do PM Microsoft-Windows-Security-Auditing 4624 “um cliente era. o

Subject: Identificação da segurança do
:            Nome de cliente NULO de SID
:            - domínio do cliente do
:            - identificação de início de uma sessão do
:            tipo de 0x0

Logon:                  início de uma sessão de 3

New: Identificação da segurança do
:            Nome de cliente do GÊMEO \ wsiegel
:            domínio do cliente do wsiegel
:            Identificação de início de uma sessão de TWIN
:            início de uma sessão GUID de 0x579dd45
:            {81A0200B-EB47-B5C4-1609-522D8F9720C0} informação do

Process: Identificação Process do
:            nome Process de 0x0
:            - informação do

Network: Nome da estação de trabalho do
:      Endereço de rede da fonte do
:      porto da fonte do
de 192.168.5.112:            informação de autenticação de 49200

Detailed: Processo do início de uma sessão do
:            Pacote da autenticação de Kerberos
:      Kerberos
transitou por serviços:      - comprimento chave do nome do pacote do
(NTLM somente):-
:            o evento de 0

This é gerado quando uma sessão do início de uma sessão é criada. É gerado no computador que era campos de accessed.

The indica o cliente no sistema local que pediu o início de uma sessão. Este é o mais geralmente um serviço tal como o serviço do usuário, ou um processo local tal como tipo campo do início de uma sessão de Winlogon.exe ou de Services.exe.

The indica o tipo do início de uma sessão que ocorreu. Os tipos os mais comuns são 2 (interativo) e 3 (rede). os campos novos do início de uma sessão do

The indicam esclarecer quem o início de uma sessão novo foi criado, isto é o cliente que foi entrado. campos da rede do

The indica onde um pedido de início de uma sessão remoto originou. O nome da estação de trabalho não está sempre disponível e pode ser deixado em alguns casos. campos de informação em branco da autenticação do

The fornece a informações detalhadas sobre este início de uma sessão específico request.
- início de uma sessão GUID é um identificador original que possa ser usado para correlacionar este evento com um KDC event.
- serviços transitados por indica que que serviços intermediários participaram neste início de uma sessão request.
- o nome do pacote indica que secundário-protocolo foi usado entre o NTLM protocols.
- o comprimento chave indica o comprimento da chave de sessão gerada. Este será 0 se nenhuma chave de sessão foi pedida. do “4:44 do sucesso 5/10/2010
Audit: 57 o início de uma sessão do PM Microsoft-Windows-Security-Auditing 4624 “um cliente era. o

Subject: Identificação da segurança do
:            Nome de cliente NULO de SID
:            - domínio do cliente do
:            - identificação de início de uma sessão do
:            tipo de 0x0

Logon:                  início de uma sessão de 3

New: Identificação da segurança do
:            Nome de cliente do GÊMEO \ wsiegel
:            domínio do cliente do wsiegel
:            Identificação de início de uma sessão de TWIN
:            início de uma sessão GUID de 0x579dd35
:            {81A0200B-EB47-B5C4-1609-522D8F9720C0} informação do

Process: Identificação Process do
:            nome Process de 0x0
:            - informação do

Network: Nome da estação de trabalho do
:      Endereço de rede da fonte do
:      porto da fonte do
de 192.168.5.112:            informação de autenticação de 49198

Detailed: Processo do início de uma sessão do
:            Pacote da autenticação de Kerberos
:      Kerberos
transitou por serviços:      - comprimento chave do nome do pacote do
(NTLM somente):-
:            o evento de 0

This é gerado quando uma sessão do início de uma sessão é criada. É gerado no computador que era campos de accessed.

The indica o cliente no sistema local que pediu o início de uma sessão. Este é o mais geralmente um serviço tal como o serviço do usuário, ou um processo local tal como tipo campo do início de uma sessão de Winlogon.exe ou de Services.exe.

The indica o tipo do início de uma sessão que ocorreu. Os tipos os mais comuns são 2 (interativo) e 3 (rede). os campos novos do início de uma sessão do

The indicam esclarecer quem o início de uma sessão novo foi criado, isto é o cliente que foi entrado. campos da rede do

The indica onde um pedido de início de uma sessão remoto originou. O nome da estação de trabalho não está sempre disponível e pode ser deixado em alguns casos. campos de informação em branco da autenticação do

The fornece a informações detalhadas sobre este início de uma sessão específico request.
- início de uma sessão GUID é um identificador original que possa ser usado para correlacionar este evento com um KDC event.
- serviços transitados por indica que que serviços intermediários participaram neste início de uma sessão request.
- o nome do pacote indica que secundário-protocolo foi usado entre o NTLM protocols.
- o comprimento chave indica o comprimento da chave de sessão gerada. Este será 0 se nenhuma chave de sessão foi pedida. do “4:44 do sucesso 5/10/2010
Audit: 57 operações do bilhete do serviço do Kerberos do PM Microsoft-Windows-Security-Auditing 4769 “um bilhete do serviço do Kerberos eram informação de requested.

Account: Nome de cliente do
:            domínio do cliente de [email protected]
:            Início de uma sessão GUID de TWIN.LOCAL
:            {19157A5E-998A-7ABB-7076-240723D8ECDF} informação do

Service: Nome do serviço do
:            Identificação de serviço de TWIND
:            GÊMEO \ informação de TWIND

Network: Endereço do cliente do
:            :: ffff: porto do cliente do
de 192.168.5.112:            informação de 49199

Additional: Opções do bilhete do
:            tipo da cifragem do bilhete de 0x40810000
:      código da falha de 0x12
:            0x0
transitou por serviços:      - o evento do

This é gerado cada vez que o acesso é pedido a um recurso tal como um computador ou um serviço de Windows.  O nome do serviço indica que o recurso a que o acesso era evento de requested.

This pode ser correlacionado com os eventos do início de uma sessão de Windows comparando os campos do início de uma sessão GUID em cada evento.  O evento do início de uma sessão ocorre na máquina que que foi alcançada, que é frequentemente uma máquina diferente do que o controlador do domínio que emitiu as opções do serviço ticket.

Ticket, tipos da cifragem, e os códigos da falha são definidos em RFC 4120. do “4:44 do sucesso 5/10/2010
Audit: 57 o início de uma sessão do PM Microsoft-Windows-Security-Auditing 4624 “um cliente era. o

Subject: Identificação da segurança do
:            Nome de cliente NULO de SID
:            - domínio do cliente do
:            - identificação de início de uma sessão do
:            tipo de 0x0

Logon:                  início de uma sessão de 3

New: Identificação da segurança do
:            Nome de cliente do GÊMEO \ wsiegel
:            domínio do cliente do wsiegel
:            Identificação de início de uma sessão de TWIN
:            início de uma sessão GUID de 0x579dce3
:            {2E0C65FC-A9D2-F398-4586-7EF942DBDC9F} informação do

Process: Identificação Process do
:            nome Process de 0x0
:            - informação do

Network: Nome da estação de trabalho do
:      Endereço de rede da fonte do
:      porto da fonte do
de 192.168.5.112:            informação de autenticação de 49172

Detailed: Processo do início de uma sessão do
:            Pacote da autenticação de Kerberos
:      Kerberos
transitou por serviços:      - comprimento chave do nome do pacote do
(NTLM somente):-
:            o evento de 0

This é gerado quando uma sessão do início de uma sessão é criada. É gerado no computador que era campos de accessed.

The indica o cliente no sistema local que pediu o início de uma sessão. Este é o mais geralmente um serviço tal como o serviço do usuário, ou um processo local tal como tipo campo do início de uma sessão de Winlogon.exe ou de Services.exe.

The indica o tipo do início de uma sessão que ocorreu. Os tipos os mais comuns são 2 (interativo) e 3 (rede). os campos novos do início de uma sessão do

The indicam esclarecer quem o início de uma sessão novo foi criado, isto é o cliente que foi entrado. campos da rede do

The indica onde um pedido de início de uma sessão remoto originou. O nome da estação de trabalho não está sempre disponível e pode ser deixado em alguns casos. campos de informação em branco da autenticação do

The fornece a informações detalhadas sobre este início de uma sessão específico request.
- início de uma sessão GUID é um identificador original que possa ser usado para correlacionar este evento com um KDC event.
- serviços transitados por indica que que serviços intermediários participaram neste início de uma sessão request.
- o nome do pacote indica que secundário-protocolo foi usado entre o NTLM protocols.
- o comprimento chave indica o comprimento da chave de sessão gerada. Este será 0 se nenhuma chave de sessão foi pedida. do “4:44 do sucesso 5/10/2010
Audit: 57 operações do bilhete do serviço do Kerberos do PM Microsoft-Windows-Security-Auditing 4769 “um bilhete do serviço do Kerberos eram informação de requested.

Account: Nome de cliente do
:            domínio do cliente de [email protected]
:            Início de uma sessão GUID de TWIN.LOCAL
:            {19157A5E-998A-7ABB-7076-240723D8ECDF} informação do

Service: Nome do serviço do
:            Identificação de serviço de TWIND
:            GÊMEO \ informação de TWIND

Network: Endereço do cliente do
:            :: ffff: porto do cliente do
de 192.168.5.112:            informação de 49197

Additional: Opções do bilhete do
:            tipo da cifragem do bilhete de 0x40800000
:      código da falha de 0x12
:            0x0
transitou por serviços:      - o evento do

This é gerado cada vez que o acesso é pedido a um recurso tal como um computador ou um serviço de Windows.  O nome do serviço indica que o recurso a que o acesso era evento de requested.

This pode ser correlacionado com os eventos do início de uma sessão de Windows comparando os campos do início de uma sessão GUID em cada evento.  O evento do início de uma sessão ocorre na máquina que que foi alcançada, que é frequentemente uma máquina diferente do que o controlador do domínio que emitiu as opções do serviço ticket.

Ticket, tipos da cifragem, e os códigos da falha são definidos em RFC 4120. do “4:44 do sucesso 5/10/2010
Audit: 57 o término de uma sessão do PM Microsoft-Windows-Security-Auditing 4634 “um cliente era. o

Subject: Identificação da segurança do
:            Nome de cliente de SYSTEM
:            Domínio do cliente de TWIND
:            Identificação de início de uma sessão de TWIN
:            tipo de 0x579dcc3

Logon:                  o evento de 3

This é gerado quando uma sessão do início de uma sessão é destruída. Pode positivamente ser correlacionado com um evento do início de uma sessão using o valor da identificação de início de uma sessão. Os IDs do início de uma sessão são somente originais entre repartições no mesmo computador. do “4:44 do sucesso 5/10/2010
Audit: 57 o início de uma sessão do PM Microsoft-Windows-Security-Auditing 4624 “um cliente era. o

Subject: Identificação da segurança do
:            Nome de cliente NULO de SID
:            - domínio do cliente do
:            - identificação de início de uma sessão do
:            tipo de 0x0

Logon:                  início de uma sessão de 3

New: Identificação da segurança do
:            Nome de cliente de SYSTEM
:            Domínio do cliente de TWIND
:            Identificação de início de uma sessão de TWIN
:            início de uma sessão GUID de 0x579dcc3
:            {C987ED0B-EECD-EEB8-7DB2-4AEB7E0F3D17} informação do

Process: Identificação Process do
:            nome Process de 0x0
:            - informação do

Network: Nome da estação de trabalho do
:      Endereço de rede da fonte do
:      fe80:: 8de5: e439: 1ad4: porto da fonte de b665
:            informação de autenticação de 61872

Detailed: Processo do início de uma sessão do
:            Pacote da autenticação de Kerberos
:      Kerberos
transitou por serviços:      - comprimento chave do nome do pacote do
(NTLM somente):-
:            o evento de 0

This é gerado quando uma sessão do início de uma sessão é criada. É gerado no computador que era campos de accessed.

The indica o cliente no sistema local que pediu o início de uma sessão. Este é o mais geralmente um serviço tal como o serviço do usuário, ou um processo local tal como tipo campo do início de uma sessão de Winlogon.exe ou de Services.exe.

The indica o tipo do início de uma sessão que ocorreu. Os tipos os mais comuns são 2 (interativo) e 3 (rede). os campos novos do início de uma sessão do

The indicam esclarecer quem o início de uma sessão novo foi criado, isto é o cliente que foi entrado. campos da rede do

The indica onde um pedido de início de uma sessão remoto originou. O nome da estação de trabalho não está sempre disponível e pode ser deixado em alguns casos. campos de informação em branco da autenticação do

The fornece a informações detalhadas sobre este início de uma sessão específico request.
- início de uma sessão GUID é um identificador original que possa ser usado para correlacionar este evento com um KDC event.
- serviços transitados por indica que que serviços intermediários participaram neste início de uma sessão request.
- o nome do pacote indica que secundário-protocolo foi usado entre o NTLM protocols.
- o comprimento chave indica o comprimento da chave de sessão gerada. Este será 0 se nenhuma chave de sessão foi pedida. do “4:44 do sucesso 5/10/2010
Audit: 57 os privilégios especiais do início de uma sessão especial do PM Microsoft-Windows-Security-Auditing 4672 “atribuíram a logon.

Subject: Identificação da segurança do
:            Nome de cliente de SYSTEM
:            Domínio do cliente de TWIND
:            Identificação de início de uma sessão de TWIN
:            0x579dcc3

Privileges:            SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege " class= do

Resposta : Porque são os clientes da vitória 7 que deixam cair conexões, evento 4634, rede laggy, clientes de congelação

Eu penso eu encontrei que a causa - mim offloading deficiente do TCP e RSS no NIC - nós fará algum teste e eu afixarei os resultados.