SRINK SQL LOG

Рассмотрены пожалуй все варианты проблем из за которых журнал транзакций может не сокращаться и все варианты решений. От простейших, до «не рекомендуемых».

Для MS SQL 2008/2012 рекомендации ИТС уже устарели, кроме того и раньше они не всегда помогали. В статье попытался собрать наиболее полный комплект информации по данному вопросу.
В своё время в одном месте всего этого не нашел, поэтому думаю будет полезно.


Популярная статья ИТС http://its.1c.ru/db/metod81#content:2373:1 устарела — теперь уменьшение размера журнала транзакций стало не самой простой операцией.

Собственно там рекомендуется следующий скрипт:


BACKUP LOG Имя_Базы_Данных WITH TRUNCATE_ONLY

go

DBCC SHRINKFILE(Имя_Файла_Журнала_Транзакций) 

go


Если выполнить его в MS SQL 2008/2012 получите ошибку: 

‘truncate_only’ is not a recognized BACKUP option

Подробно:
http://social.msdn.microsoft.com/Forums/sqlserver/en-US/9997e75e-f126-4901-9379-de540a708ec9/backup-log-with-truncateonly


Что теперь делать?
Решения, собственно два:

1) 
USE [Database] 
ALTER DATABASE [Database] SET RECOVERY SIMPLE
go
 
DBCC SHRINKFILE ([Database]_log, 1); 
ALTER DATABASE [Database] SET RECOVERY FULL
go
 

2) 
USE [Database] 
BACKUP LOG [Database]  TO DISK=’NUL:’  
go
DBCC SHRINKFILE ([Database]_log, 1)
go
 

Если «Урезанием лога» не злоупотреблять (т.е. сокрашать лог вместе с полной копией) то по большому счету не принципиально каким методом пользоваться.
Второй вроде как правильнее, зато первый «надежнее». 

На этом казалось бы можно и остановиться, но зачем тогда отдельную статью писать. Нет, конечно это ещё не всё. Обычно вопросы про урезание лога возникают когда это сделать не получается.
Притом способы, описанные выше, как правило, описаны не раз, все их освоили и проблем не вызывают.

Итак, если все действия, описанные выше не помогли — лог файл по-прежнему занимает N гигабайт. Переходим к плану B:

select log_reuse_wait_desc from sys.databases

В результате можете получить 3 варианта:

а. Пусто — Обычно это означает что у БД лог можно хоть сейчас полностью сократить, могу предложить только попробовать ещё раз Shrink, а если не поможет — переходить к плану C
b. Log_Backup — Нормальный варинат. В данном случае говорит о том, что Backup Log не выполнено, или выполнено некорректно
b. Replication — значит что ваш лог не обрезается из за репликации — скорее всего ошибки.
с. Active transactions —  Самая частая ситуация — в базе есть подвисшие транзакции, с ними нужно разобраться.

Replication  — Репликация для систем на платформе 1С, пожалуй, бессмысленное дело. Потому как Read only баз MS SQL не бывает, средства создания распределенных систем в 1С есть собственне (да, я про РИБ). Для обеспечения отказоустойчивости гораздо лучше подходят кластерные технологии. Собственно рекоммендация простая:

sp_removedbreplication ‘[Database]’

Собственно после этого бэкап и Shrink помогут. Если же вопреки здравому смыслу вы всё-таки хотите сохранить репликацию БД то конечно выполнять эту команду нельзя, а нужно разбираться с ошибками репликации. Но это уже тема отдельной статьи.

Active transactions — наиболее популярная история. В базе есть транзакции, которые не завершены, и чего то ожидают. Чащи всего такие транзакции получаются при потере сетевого соединения или «вылете» клиента 1С в момент записи в БД. В этом случае нужно собственно узнать какая транзакция «повисла»:

DBCC OPENTRAN

После выполнения этой команды вы получите примерно следующий результат:

Transaction information for database ‘master’.
Oldest active transaction:
SPID (server process ID) : 52
UID (user ID) : -1
Name          : user_transaction
LSN           : (518:1576:1)
Start time    : May 5 2014 3:30:07:197PM
SID           : 0x010500000000000515000000a065cf7e784b9b5fe77c87709e611500
DBCC execution completed. If DBCC printed error messages, contact your system administrator.


Из этого обилия информации ключевым является Start Time и SPID. Если транзакция в базе 1С выполняется боле нескольких секунд это уже означает что что-то не так. А если start Time будет минут 10 или более от текущего времени — такие транзакции (сеансы) нужно завершать. Но предварительно я бы рекоммендовал узнать что эта транзакция делала.

Для завершения процесса можно ввести команду

KILL [Process ID]

Где Process ID — это тот самый SPID полученный на предыдущем шаге. При этом незавершенные транзакции откатятся средствами MS SQL Server. Возможно при «убийстве» процесса будут завершены и несколько сеансов 1С, но  вряд ли много. Сервер 1С поддерживает собственный пул соединений с MS SQL, соответственно соединения из этого пула используются только тогда, когда серверу что-то нужно от СУБД. При этом если соединение занято (а оно как видим занято) вряд ли оно будет использоваться для других процессов. 

Но предварительно (!) если хотите всё-таки разобраться в проблеме рекомендую выполнить скрипт вроде:

DECLARE @sqltext VARBINARY(128)
SELECT @sqltext = sql_handle
FROM sys.sysprocesses
WHERE spid = [Process ID]
SELECT TEXT
FROM sys.dm_exec_sql_text(@sqltext)
GO

В результате вы получите текст команды SQL Server, на которой, собственно, всё и «зависло». Из неё вам нужна будет таблица в которую производилась запись, далее используя функцию «ПолучитьСтруктуруХраненияБазыДанных()» вы определите таблицу в терминах объектов метаданных в которую производилась запись и смотрите код. Как правило такие неприятные последствия происходят:

1) Ошибки в сетевых подключениях (для толстого клиента в т.ч. в сетевых подключениях клиентов, для тонкого — только в проблемах сети между сервером 1С и MS SQL). 
2) Каких то неправильных действиях (отправка почты, запись в файл, запуск внешних обработок, чтения из файла) производимых в транзакциях (при записи, при проведении)

Собственно от них надо избавляться.


Если ничего не помогло (или план B)

ВНИМАНИЕ! Перед выполнением процедур, описанных ниже, сделать полную резервную копию файлов БД MS SQL нужно обязательно!!!!

Есть ещё один — более радикальный способ решения вопроса роста журнала транзакций MS SQL. Но я лично его бы не рекомендовал к использованию. Тем не менее, специалисты Microsoft тоже могут ошибаться, 
и SQL Server может содержать ошибки, о которых мы регулярно читаем в BugFix, или же наблюдаем сами, поэтому приведу и этот способ. 

Суть его заключается в том что журнал транзакций просто удаляется и создается новый. При этом вы конечно теряете информацию из него и БД можно будет восстановить только из полной копии (которую вы конечно перед этим сделали).

Конечно при этом, особенно если в базе были всё-таки не зафиксированные может быть нарушена логическая целостность, но для этого запускается CheckDB которая в общем и целом приводит базу в порядок. Для аналогии это то же самое что в 1С проврять ссылочную целостность с опцией «Удалять если не найден». Если транзакция полностью не зафиксирована, но от неё остались частично данные, что противоречит принципу атомарности транзакций — эти данные будут удалены.

Итак приступим:

1) Detach БД из списка

2) Фал *.ldf удаляем (вы же его сохранили уж, да?)

3) Файл *.mdf переименовываем (в любое имя какое нравится)

4) В MS SQL создаём новую (!!!) БД с тем же именем, с каким была «больная» БД

5) Останавливаем MS SQL Server

6) Новый *.mdf файл удаляем, а старый переименовываем под «старое имя», подменяя тем самым файл новой БД

7) Запускаем MS SQL Server. При этом будет «битая БД», далее мы её исправляем

8) ALTER DATABASE [Database] SET EMERGENCY 

9) exec sp_dboption [Database], ‘single user’, ‘TRUE’
Монопольный режим работы с БД

10) DBCC CHECKDB ([Database], REPAIRALLOWDATA_LOSS)
Ключевая операция — «возвращает БД к жизни». Может выполняться достаточно долго — до получаса на больших БД. Ни в коем случае не прерывайте эту операцию. Результат, где будут собраны исправленные ошибки
на всякий случай сохраните

11) exec sp_dboption [Database], ‘single user’, ‘FALSE’
Сбрасываем монопольный режим

12) ALTER DATABASE [Database] SET ONLINE
Делаем базу доступной.

После чего получаем БД с чистым новеньким логом. На самом деле операция достаточно проста и в большинстве случае не несёт никаких критических последствий. Но всё-таки рекомендую прибегать к ней только в крайнем случае. Описана она не раз и в разных вариациях. Привожу свой вариант, который показался наиболее простым и понятным. 

Несколько RDP сессий в Windows 7

Профессиональная и Максимальная версии Windows 7 поставляются с функцией удаленного рабочего стола (RDP) , которая позволяет получить доступ к вашей машине удаленно, находясь вдали от дома или офиса. К сожалению, по умолчанию, она ограничена одной сессией одного пользователя. Это означает, что если кто-то удаленно подключается к вашему компьютеру, а кто-то уже находится в своей сессии, то он будет автоматически отключен, даже если у этого пользователя права администратора.

Это не техническое ограничение, а лицензионное. Дело в том, что удаленный рабочий стол в серверных версиях Windows, по умолчанию поддерживает два одновременных подключения, для устранения неполадок и управлением компьютером. Другие пользователи могут подключаться одновременно, до тех пор, пока у вас есть необходимые лицензии клиентского доступа для данного сервера и машина может с этим справиться, т.е. имеет достаточно ресурсов.

Для того, что бы позволить нескольким пользователям работать с одним компьютером одновременно, необходимо снять лицензионное ограничение. Для этого командаDeepXW создала универсальный патч. Патч вносит изменения в файл termsrv.dll, который расположен в %SystemRoot%\System32\.

Icon of Zip Archives UniversalTermsrvPatch (66.3 KB)

Патч поддерживает: Windows XP SP2 SP3; Vista SP1 SP2; Windows 7 [32bit(x86)/64bit(x64)], Windows Server 2008 SP1/SP2

Скачайте и распакуйте архив, затем запустите соответствующий файл с правами администратора (кликните правой кнопкой мыши на исполняемом файле, выберите “Запуск от имени администратора”). Для 32-разрядных систем используется UniversalTermsrvPatch-x86.exe, для 64-разрядных используется UniversalTermsrvPatch-x64.exe.

Появится окно, как на картинке выше, где можно патчить termsrv.dll для снятия ограничения сеансов удаленного рабочего стола, или восстановить исходный файл в любое время (путь к резервному файлу: \Windows\System32\termsrv.dll.backup). После применения патча, перезагрузите компьютер и можно приступать к работе .

Чтобы проверить снятие ограничения, оставьте открытой сессию одного пользователя на компьютере, где вы применили патч, а с другой машины попробуйте подключиться к компьютеру удаленно от другого пользователя. Если все прошло успешно, то оба пользователя будут активны в системе, каждый в своей сессии.

Заплатки для wannacry

Новый вирус wannacry

Проверить установлена ли заплатка для защиты от данного вируса можно скриптом скачать

Подробная страница об уязвимости и заплатки от microsoft по ссылке ниже.

https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

Заплатки для некоторых ОС:
Windows XP SP3
Windows XP SP2 x64
Windows Server 2003 x86
Windows Server 2003 x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows 8 32-bit
Windows 8 x64
Windows Server 2008 x86
Windows Server 2008 x64
Windows Server 2008 R2 x64
Windows Server 2008 R2 for Itanium
Windows 7 32-bit Service Pack 1
Windows 7 x64 Service Pack 1
Windows 8.1 32-bit
Windows 8.1 x64
Windows 10 32-bit
Windows 10 x64
Windows 10 Version 1511 32-bit
Windows 10 Version 1511 x64
Windows 10 Version 1607 32-bit
Windows 10 Version 1607 x64

Вход с временным профилем

Вы вошли в систему с временным профилем в Windows


Вы вошли в систему с временным профилем в Windows

27.06.2016 windows

Это тоже может быть Вам интересно:

Стоит ли устанавливать Windows 10
Лучшие средства удаления вредоносных программ
Секреты Windows 10
Вы вошли с временным профилемОдна из проблем, с которой часто сталкиваются пользователи — сообщение о том, что вы вошли в систему с временным профилем в Windows 10, 8 и Windows 7 с дополнительным текстом «Вы не можете получить доступ к своим файлам, и файлы, созданные в этом профиле, будут удалены при выходе из системы». В этой инструкции подробно о том, как исправить эту ошибку и войти с обычным профилем.

В большинстве случаев, проблема возникает после изменения (переименования) или удаления папки профиля пользователя, однако это не единственная причина. Важно: если у вас проблема возникла именно из-за переименования папки пользователя (в проводнике), то верните ей первоначальное имя, а затем прочтите: Как переименовать папку пользователя Windows 10 (для предыдущих версия ОС то же самое).

Примечание: в этой инструкции приведены решения для рядового пользователя и домашнего компьютера с Windows 10 — Windows 7, не находящегося в домене. Если вы управляете учетными записями AD (Active Directory) в Windows Sever, то тут я деталей не знаю и экспериментировать не доводилось, но обратите внимание на сценарии входа в систему или просто удалите профиль на компьютере и снова зайдите в домен.

Как исправить временный профиль в Windows 10

Сначала об исправлении «Вы вошли в систему с временным профилем» в Windows 10 и 8, а в следующем разделе инструкции — отдельно по Windows 7 (хотя и описываемый здесь способ тоже должен работать). Также, при входе с временным профилем в Windows 10 вы можете видеть уведомления «Стандартное приложение сброшено. Приложение вызвало проблему с настройкой стандартного приложения для файлов, поэтому оно сброшено».

Вы вошли в систему с временным профилем в Windows 10

Прежде всего, для всех последующих действий потребуется иметь учетную запись администратора. Если до появления ошибки «Вы вошли с временным профилем» ваша учетная запись имела такие права, то имеет и сейчас, и можно продолжать.

Если же у вас была учетная запись простого пользователя, то выполнять действия придется либо под другой учеткой (администратора), либо зайти в безопасный режим с поддержкой командной строки, активировать скрытую учетную запись администратора, а затем из неё выполнять все действия.

Запустите редактор реестра (нажмите клавиши Win+R, введите regedit и нажмите Enter)
Раскройте раздел (слева) HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ ProfileList и обратите внимание на наличие в нем подраздела с .bak в конце, выберите его.
В правой части посмотрите на значение ProfileImagePath и проверьте, совпадает ли имя папки пользователя, указанное там с именем папки пользователя в C:\Пользователи (C:\Users). Резервная копия профиля в реестре
Далее действия будут зависеть от того, что у вас получилось в пункте 3. Если имя папки не совпадает:

Дважды кликните по значению ProfileImagePath и измените его так, чтобы в нем был правильный путь к папке.
Если в разделах слева есть раздел точно с таким же именем, как текущий, но без .bak, кликните по нему правой кнопкой мыши и выберите «Удалить».
Кликните правой кнопкой мыши по разделу с .bak на конце, выберите пункт «Переименовать» и уберите .bak.
Закройте редактор реестра, перезагрузите компьютер и попробуйте зайти под тем профилем, где была ошибка.
Если путь к папке в ProfileImagePath верный:

Автор рекомендует прочесть:

Компьютер тормозит — что делать и почему это происходит?
Лучшие бесплатные программы на каждый день
Как подключить ноутбук к телевизору (для просмотра видео и игр)
Как раздавать Интернет по Wi-Fi с ноутбука
Как смотреть ТВ онлайн бесплатно
Если в левой части редактора реестра присутствует раздел с тем же именем (все цифры совпадают), что и раздел с .bak на конце, кликните по нему правой кнопкой мыши и выберите «Удалить». Подтвердите удаление.
Кликните правой кнопкой мыши по разделу с .bak и также его удалите.
Перезагрузите компьютер и попробуйте снова войти в поврежденную учетную запись — данные для нее в реестре должны будут создаться автоматически.
Далее способы, являющиеся удобными и быстрыми для исправления ошибки в 7-ке.

Исправление входа с временным профилем в Windows 7

Временный профиль в Windows 7 и 8
По сути, это вариация способов, описанных выше, и, более того данный вариант должен сработать и для 10-ки, но опишу его отдельно:

Войдите в систему под учетной записью администратора, отличающейся от той учетной записи, в которой есть проблема (например, под учеткой «Администратор» без пароля)
Сохраните все данные из папки проблемного пользователя в другую папку (или переименуйте ее). Эта папка находится в C:\Пользователи (Users)\ Имя_пользователя
Запустите редактор реестра и перейдите к разделу HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ ProfileList
Удалите в нем подраздел, заканчивающийся на .bak
Закройте редактор реестра, перезагрузите компьютер и зайдите под учетной записью, с которой была проблема.
В описанном способе снова будет создана папка пользователя и соответствующая запись в реестре Windows 7. Из папки, в которую вы ранее копировали данные пользователя, вы можете вернуть их во вновь созданную папку, чтобы они оказались на своих местах.

Если же вдруг способы, описанные выше, не смогли помочь — оставляйте комментарий с описанием ситуации, постараюсь помочь.

Как перенести файлы загрузки Windows 7,8 на другой жесткий диск

Как перенести файлы загрузки Windows 7 на другой жесткий диск
   Шрифт:

Аннотация

Начальные условия: в вашей системе более одного жесткого диска. На одном из них уже установлена операционная система, а на второй вы установили Windows 7. Возникла необходимость удалить из системы жесткий диск, на котором Windows 7 не установлена. Но оказалось, что без этого диска ваша система загружаться не хочет.

Это произошло потому, что перестало соблюдаться одно из трех условий успешной загрузки:

  • раздел, с которого выполняется загрузка, должен быть активным;
  • загрузочный сектор раздела должна быть совместим с bootmgr;
  • на активном разделе должны находиться файлы загрузки операционной системы. Для Windows 7 это файл bootmgrи хранилище данных конфигурации загрузки (BCD), находящееся в скрытой и системной папке Boot.

Рассмотрим решение проблемы на примере конфигурации, представленной на рисунке


Увеличить рисунок

На скриншоте «Управления дисками» видно, что диск С:, на котором установлена Windows 7, не активен. Активным является диск D:. Файлов загрузки Windows 7 (они скрытые и системные) на диске С: так же не обнаружится. Задача: перенести загрузчик с диска D: на диск С:, то есть обеспечить соблюдение вышеназванных условий.

Использование установочного диска или диска восстановления Windows 7

При наличии этих дисков перенос загрузочных файлов не составляет труда. Физически отключите «ненужный» жесткий диск, загрузитесь с диска, установив в BIOS привод CD-DVD первым загрузочным устройством, войдите в среду восстановления. После того, как закончится сканирование ипоиск установленных операционных систем, выполните «Восстановление запуска». Программа восстановления подготовит нужным образом жесткий диск и скопирует на него необходимые файлы. После перезагрузки возможность загрузки будет восстановлена.

Если у вас нет ни установочного диска, ни диска восстановления, можно воспользоваться способом, описанным ниже.

Перенесение файлов загрузки с использованием утилиты bcdboot.exe

Условно можно разделить предстоящую операцию на три этапа, соответствующих трем необходимым условиям успешной загрузки.

Первый: войдите в оснастку «Управление дисками» (Win + R, в строке «Выполнить» наберите diskmgmt.msc и нажмите OK) и посмотрите, какая буква присвоена первому слева разделу диска, который планируется оставить. Именно этот раздел мы сделаем загрузочным и активным: щелкните правой кнопкой мыши по выбранному разделу и выберите пункт контекстного меню «Сделать раздел активным». Учтите, что этот раздел должен иметь атрибут «основной».

Второй: запустите командную строку с правами администратора. Все команды, о которых пойдет речь далее, будут выполняться последовательно без выхода из командной строки.

DISKPART

list disk

sel disk X

list partition

sel part 1

active

exit

где X — номер диска, который предполагается оставить, в списке дисков (команда list disk).

Для этого понадобится утилита bootsect.exe, которую, при отсутствии установочного диска, можно взять здесь. Заранее скачайте и распакуйте ее, например, в корневой каталог раздела С:.

c:\bootsect /nt60 All /force

примечание: опыт показывает, при наличии в конфигурации 2-х и более HDD ключ /force необходим.

bcdboot %Windir% /l ru-Ru /s С:

— ключ /l — выбор языковых параметров менеджера загрузки. Если ваша система не русскоязычная, используйте другие значения этого ключа, например, для английского языка — en-Us, для немецкого — de-DE, и т.д.

— ключ /s — определяет букву тома, назначенную целевому системному разделу, в который копируются файлы среды загрузки. Это раздел, который мы сделали активным. Так как микропрограмма команды по умолчанию использует текущий системный раздел (до извлечения жесткого диска — это раздел D:), применение этого ключа с буквой предполагаемого загрузочного раздела — обязательно!

  1. Делаем диск активным. Есть два способа сделать нужный раздел активным.
  2. Перезаписываем загрузочный сектор (делаем его совместимым с bootmgr):
  3. Переносим BCD и файл bootmgr на новый активный раздел:

Проверяем и редактируем BCD

Выполните команду

bcdedit /store C:\boot\bcd


Увеличить рисунок

По результатам выполнения команды проверьте параметры (подчеркнуты на скриншоте):

  • в секции «Диспетчер загрузки Windows» параметр deviceдолжен быть равен букве нового активного раздела, в нашем случае — С:.
  • в секции «Загрузка Windows» параметры deviceи osdevice должны быть равны букве раздела, на котором сейчас расположены каталоги Windows. В нашем случае, это тоже С:.
  • в случае несоответствия внесите необходимые изменения с помощью команд:

bcdedit /store C:\boot\bcd /set {bootmgr} device partition=С:

bcdedit /store C:\boot\bcd /set {current} device partition=С:

bcdedit /store C:\boot\bcd /set {current} osdevice partition=С:

Обычно выполнение команд не требуется, но проверить не помешает. Вместо идентификатора {current} может быть {default}, или вообще буквенно-цифровой. Тогда в командах нужно использовать тот, который используется для загрузки.

Таким образом, перенесение файлов загрузки на другой диск — не такая сложная задача.

Вместо заключения, или «Русскоязычное меню мультизагрузки»

В связи с тем, что программа восстановления запуска, выполняющаяся из среды восстановления, использует параметры «по-умолчанию», язык менеджера загрузки становится английским. При наличии одной загружаемой системы это не заметно, а при наличии меню мультизагрузки — бросается в глаза. Если вас это не устраивает, выполните в командной строке:

bcdboot %Windir% /l ru-Ru

Выполнить ее нужно уже после перенесения файлов загрузки в новый раздел.

Критические even id для мониторинга.

10 критически важных event ID для мониторинга recovery mode

Системное администрирование*, Блог компании Netwrix
Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.

О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.
Контроллеры доменов
Event ID — (Категория) — Описание

1) 675 или 4771 
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768
(Аудит событий входа в систему) 
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776
(Аудит событий входа в систему) 
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738 
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720 
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя

7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Вход и выход из системы (Logon/Logoff)
Event Id — Описание

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)
Типы входов в систему (Logon Types)
Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
Коды отказов Kerberos
Код ошибки — Причина

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему