Хаотическая перезагрузка системы Win 2003 R2 SP1
 

Приветсвую Всех!

Натолкните на решения проблемы, с не давнего времени сервер перезагружается когда ему захочется что очень мешает работе.

В событиях можно проследить по каким причинам. Подскажите пожалуйста из-за чего это может возникать ?

На сервере установлена защита: ESET Nod 32 antivirus 4 версии,

также пробовал прогонять последней версией kaspersky removal tool, ничего подозрительного не обнаружено.


Буду благодарен за любую информацию, если что в созданной теме не так, подкорректирую, какую нужно информацию добавлю, просьба сразу не удалять.

alex_cent, включите запись дампов памяти.
Если дампы уже есть в папке \WINDOWS\Minidump, выложите свежие.

Потестируйте память с помощью Memtest86.

Event ID: 1015 Source: Winlogon

Petya V4sechkin,
спасибо друг!

включил малые дампы, буду теперь ждать перезагрузки, затем выложу.

Мемтестом проверю, в не рабочее время.

Процесс: C: \ WINDOWS \ system32 \ lsass.exe, Code: c0000005 - происходит, когда 16-битные приложения работают на сервере терминалов Windows Server 2003.

можно ли для проверки запретить выполнение 16-битных приложений ?

alex_cent, еще посмотрите в папке
\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson
Если свежие (по дате) файлы, выложите.

Можно.
Если сможете подтвердить, что проблема именно в этом.

Спасибо Вам что помогаете, директории Dr Watson по указанному пути нет.


Подтвердить в плане? запустить любое 16-битное приложения и посмотреть будет ли перезагрузка.

Странно.
Хотелось бы посмотреть дамп процесса.

1. Скачайте утилиту ProcDump и распакуйте в отдельную папку, например C:\ProcDump
2. Запустите командную строку (cmd.exe) и выполните:
   
   Код:

   ---

   C:\ProcDump\procdump.exe -accepteula -e lsass.exe C:\ProcDump\

   ---

3. Ждите следующего сбоя, после выложите сохраненный DMP-файл из папки C:\ProcDump в архиве на любой файлообменник.

Типа того.

Еще такая тема была - выложите содержимое раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
(в Regedit -> меню Файл -> Экспорт).

Procdump скачал, распаковал, команду выполнил, как только за сбоит выложу дамп.

Содержимое раздела прикрепляю

один раз была перезагрузка, но что минидамп не был создан, что в директории Procdamp не появился файл с дампом процесса, прописал все заново, удалил старые минидампы. Четвертый день работает без перезагрузки, жду... Прошу пока тему не закрывать.

Спасибо.

Я правильно понял, на этом сервере не установлен последний Service Pack и все критические post-SP обновления безопасности?

WindowsNT, сейчас занимаюсь решением этого вопроса.

Ответ неясен. Там может быть только "да" или "нет".
В случае "нет" можете считать систему скомпрометированной и подлежащей уничтожению, переустановке.

последний service pack установлен.

Прошу дать хоть какую-то наводку на решение, проблемы.

Система была переустановленна заново, обновлена последним сервис-паком и апдейтами, Просканированная разного рода AVP.

Все равно вылетает lsass.exe (( Не могу понять в чем проблема.

Я бы посмотрел на несколько вещей:

1. Какие системные программы вы ставите вместе с сервером, считая их безобидными. По факту, это может оказаться не так.
2. Если вдруг система действительно была скомпрометирована, не была ли она переустановлена из заражённого источника. Сканирование всякими AVP — не показатель. Если бы сканирование умело находить все угрозы, все вирусные заражения в мире уже были бы ликвидированы.
3. Может, проблема с драйверами? Специфическая аппаратура?
4. Может, проблемы с диском или контроллером?

alex_cent, дамп процесса так и не получилось сделать?
Не закрывайте командную строку с ProcDump (и не завершайте сеанс), пока не произойдет сбой.

Память в Memtest86 тестировали?

А это что?
По виду может быть утечка выгружаемого пула, как в теме
[решено] Пропадание окон и надписей

Понаблюдайте за динамикой выделения с помощью Poolmon (в командной строке).
Еще посмотрите размер файлов в папке \Windows\system32\config (кустов реестра).

WindowsNT,

1. Adobe reader, mozilla firefox, mozilla thunderbird, libreoffice, eset antivirus больше ничего не устанавливал кроме этих программ.
2. Была установлена с оригинального диска который шел с лицензией, на счет AVP согласен
3. Драйвера все установил что шли с сервером, также установил еще дополнительно последний intel update inf
4. chkdsk /f /r - вариант ?

Petya V4sechkin,

так и делал как Вы написали, дамп не создавался попробую еще на новой системе.

memtest86 еще не запускал, сколько нужно минимум проходов для проверки? по времени не много ограничен
ок,

размер файлов в папке \Windows\system32\config





Спасибо!

Adobe Reader и Mozilla Firefox системными программами не являются (хотя я не совсем понимаю смысл установки различного рода мозилл на сервер).
Eset является системной программой и уж точно может служить причиной сбоя. Хотя вариант с памятью весьма и весьма вероятен.

Проверьте сначала память. Это удобно сделать, загрузившись с установочного компакт-диска или флешки Windows 7.

WindowsNT,
я просто перечислил что устанавливал на сервер.
Firefox установлен как браузер в нужных случаях, чтобы не использовать IE, Thunderbird как почтовый клиент.


ок, спасибо, буду тестировать озу.

Petya V4sechkin, удалось создать дамп, посмотрите please

alex_cent, и по дампу причина непонятна.
Сторонних модулей в процессе нет, только системные библиотеки, в стеке:
Похоже, сбой службы Netlogon при дешифровании учетных данных (в ходе аутентификации).
Пока не придумал, что можно выжать из этой информации.
Аудит входа в систему включить?