Обвал служб
 

Добрый день господа. Нужна помощь профессионалов.
Я работаю в большой конторе. У нас домен и почти тысяча пользователей. с недавнего времени начились серьезные проблемы.
У нас домен на windows server 2003 R2 EN
3 контроллера домена. На большенстве машин стаит антивирусная защита NOD 32 4.0.414.0, на сервере Нода выставлена конфигурационая политика. т.е. конфигурация нода на все ПК одинакова.
В сети так же установлен и настроен WSUS сервер. Совсем не давно, буквальн неделю назад мы ввели новую парольную политику.
На WSUS сервере так же недели недавно разрешил установку новых обновлений, но только на тестовую зону.
Другими словами пространство WSUS разделено следующим образом.
Основные сервера "Контроллеры домена" и ISA сервер.
Второстипенные сервера. тапа ФТП, файловй сервер, сервер откатов т.д.
Пилотная группа, т.е. все компы домена.
Тестовая зогна. в тестовую зону включены некоторые второстипенные сервера под управлением Windows server 2003 R2 и компы админов. Пару недель назад разрешил все всежие обновления на тестовую зону.
3 прошлых дня превратились в ад для отдела БТО (Бюро технического обслуживания) Те кто занимаются клиентскими компами. проблемы на всех клиентах примерно одинаковы обвал сетевых служб. Причем обвал довольно азбавный. Где-то падают только "Рабочая станция" и соответственно все дочернии службы, а где происходит обавл чуть ли не всех сетевых служб. Типа DHCP, DNS клиент, telnet, маршрутизация и удаленнй доступ, модуль подключения через tcp/ip, рабочая станция, серверсетевой вход в систему, службы IPSEC...
Я постараюсь выложить как можно больше информации о событиях.
До 16 числа все вроде стабильно, журнал относительно чист. А вот 16 начинается по немногу.

Windows Update Agent пытается соединиться для получения обновлений. первая ошибка.

16.07.2009
Источник: Kerberos
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/oznaisa.ozna.corp. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (OZNA.CORP), and the client realm. Please contact your system administrator.
Код (ID): 4

За тем это предупреждение:

Источник: MRxSmb
Перенаправитель не смог определить тип подключения.
Код (ID): 3019

еще через час 4 подряд ошибки Kerberos, описаные выше.
После чего идет обширный список уведомлений о том что туева куча обновлений скачена и готова к установке и заканчивается этот список снова ошибкой Kerberos.
17 числа скаченые обновления доустанавливались. и в этот же день понеслись проблемы

Источник: NetBT
Сбой при инициализации из-за невозможности создать устройство драйвера.
Код (ID): 4311

Источник: Workstation
Не удалось загрузить драйвер устройства RDR.
Код (ID): 5727

Источник: Workstation
Не удалось загрузить драйвер устройства MRxSmb.
Код (ID): 5727

Источник: Service Control Manager
Служба "Автоматическое обновление" завершена из-за ошибки
Операция на сокете обнаружила отключение сети.
Код (ID): 7023

Источник: Service Control Manager
Служба "Службы IPSEC" является зависимой от службы "Драйвер протокола TCP/IP", которую не удалось запустить из-за ошибки
Присоединенное к системе устройство не работает.
Код (ID): 7001

Источник: Workstation
Служба "Рабочая станция" завершена из-за внутренней ошибки 2250 (0x8CA).
Код (ID): 7024

Источник: Service Control Manager
Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
AFD
epfwtdir
MRxSmb
Tcpip
Код (ID): 7026

Источник: Service Control Manager
Сбой при запуске службы "Драйвер протокола TCP/IP" из-за ошибки
Не удается найти указанный файл.
Код (ID): 7000

и т.д. по тексту. Вот список обдейтов которые по моему мнению могли вызвать такие проблемы. и еще вопрос. Могло ли такие проблемы вызвать новая парольная политика. Ввиду смены билетов на сервере Kerberos?

updates:
Обновление для системы безопасности Windows XP (KB923561)
- Обновление системы безопасности для ОС Windows XP (KB944338)
- Накопительное обновление для системы безопасности браузера Internet Explorer 6 для ОС Windows XP (KB963027)
- Обновление системы безопасности для служб Microsoft XML Core Services (MSXML)*4.0 с пакетом обновления*2 (SP2) (KB954430)
- Обновление системы безопасности для проигрывателя Flash (KB923789)
- Обновление для системы безопасности Windows XP (KB956802)
- Обновление системы безопасности для Windows XP (KB955069)
- Обновление системы безопасности для ОС Windows XP (KB958644)
- Обновление для системы безопасности Windows XP (KB954600)
- Обновление для системы безопасности Windows XP (KB960803)
- Обновление системы безопасности для ОС Windows XP (KB950749)
- Обновление системы безопасности для ОС Windows XP (KB951748)
- Обновление для системы безопасности Windows XP (KB958690)
- Обновление системы безопасности Outlook Express для ОС Windows XP (KB951066)

Возможны ли проблемы с вязаные с этими обновлениями?

Причем на тестовых машинках установлены все обновления с сервера WSUS и ни каких проблем на тестовых машинках н возникло...

Здесь посмотрите.

Судя по вашим предыдущим постам, могут и другие файлы отсутствовать (помимо Mrxsmb.sys). Например: Netapi32.dll, Afd.sys, Tcpip.sys.

Запускаете FileMon -> меню Options -> Filter/Highlight -> снимаете галку Log Successes.
Далее в командной строке:
и смотрите в FileMon, на каких файлах ошибка.

Проблемы с сетью может создать только KB951748 (описаны в статье KB953230).

Кстати, кроме KB951748 (для DNS-клиентов) есть KB951746 (для DNS-серверов).
Бюллетень по безопасности Microsoft MS08-037

А вообще, все это может быть совпадением (по времени) с вирусной эпидемией в вашей конторе.
Лечение систем от вредоносных программ

сейчас занимался анализом логов тех компов, на которых произошел обвал службы Workstation. К сожалению у меня в наличии только один журнал такого компа. Но в нем наткнулся на очень интерестную последовательность.
изначально на нем стабильная работа. Ни каких обдейтов ничего не ставилось, затем:

Источник: sr
Произошла неожиданная ошибка фильтра восстановления системы '0xC0000102' при обработке файла '_filelst.cfg' на томе 'HarddiskVolume1'. Это привело к остановке наблюдения на томе.
Код (ID): 1

спустя 5 секунд уведомление:

Источник: EventLog
Microsoft (R) Windows 2000 (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.
Код (ID): 6009 *К Сожалению я совершенно не представляю что означает это уведомление. Значит ли это что Service Pack 3 уже установлен на это ПК?

В следующую секунду произошел обвал драйвера RDR и MRxSmb:

Источник: Workstation
Не удалось загрузить драйвер устройства RDR.
Код (ID): 5727

Источник: Workstation
Не удалось загрузить драйвер устройства MRxSmb.
Код (ID): 5727

через 2 минуты отваливается сама служба:

Источник: Workstation
Служба "Рабочая станция" завершена из-за внутренней ошибки 2250 (0x8CA).
Код (ID): 7024

Вы уже спрашивали об этом в другой теме.
С тех пор что-то изменилось?

Petya V4sechkin я знаю как решать последствия. Мне нужно знать причину. Что вызвало такой обвал.

uneform_alex, вирус, к примеру.
Заразил файл Mrxsmb.sys, антивирусник не смог его вылечить и прибил.

Или ложное срабатывание (год назад Avast убивал на русских системах Svchost.exe со всеми службами).

Это точно виноват Mrxsmb.sys,и как сказал Petya V4sechkin файл был скорее всего завирусован и его прибил анитвирус,я с таким сталкивался,помогло удаление испорченного файла,и закачка нового файла с другова компьютера(нормально работающего),потом просто перезапуск виндоуз и все работало.
P.s просто попробуй этот файл заменить такимже с другово компа(на котором нету проблем), с такойже осью

обвал вызвало то что этот файл паходу отвечает за службы,и он был испорчен вирусом,и работает теперь некоректно.Замен файла в 80% решит проблему с обвалом служб.

файлов Afd.sys, Tcpip.sys небыло. После их копирования в c:\windows\system32\drivers восстановились службы DHCP, DNS клиент, telnet, маршрутизация и удаленнй доступ, модуль подключения через tcp/ip, службы IPSEC.
После копирования файла Mrxsmb.sys. поднялись службы рабочая станция, сетевой вход в систему. Но сервисы "Сервер" так и не завилась. Какой файл отвечает за ег работу?
Что касается предположения что эти файл стер антивирь, это не так. просмотрел логи антивиря. Никакой информации об удалении этих файлов нет. есть только карантин. И то там валяется только файлы Autorun.inf
Другими словами прича вызвавшая такие последствия до сих пор не ясна.

Srv.sys, Srvsvc.dll

Petya V4sechkin большое спасибо за помощь и оперативность.
Но причина так и осталась неизвестной. Печально.

uneform_alex, более чем странно.
В основном эти файлы как раз входят в обновления, которые вы ставили. Смотрите логи KBxxxxxx.log в папке \WINDOWS

Какая-то проблема с заменой .sys файлов в \WINDOWS\system32\drivers