С пару-тройку недель назад некоторые пользователи начали жалоаться что им не удается войти в терминал (Windows Server 2003 Standart). Ошибки в логах:

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1500
Дата: 28.04.2010
Время: 8:58:06
Пользователь: DOMAIN\user
Компьютер: SERVER
Описание:
Windows не удалось выполнить ваш вход в систему, поскольку не удалось загрузить ваш профиль. Проверьте наличие подключения к сети и что сеть правильно работает. Если проблема не устраняется, обратитесь к системному администратору.

ПОДРОБНО - Недостаточно системных ресурсов для завершения операции.

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1508
Дата: 28.04.2010
Время: 8:59:37
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVER
Описание:
Windows не удалось загрузить реестр. Возможная причина - нехватка памяти или недостаточные права безопасности.

ПОДРОБНО - Недостаточно системных ресурсов для завершения операции. для C:\Documents and Settings\user\ntuser.dat

Времени на перезагрузку сервера небыло, поэтому нашли выход только в том чтобы удалить профиль с сервака, и при входе пользователя - профиль пересоздавался без проблем.
Спустя неделю ошибка повторилась и теперь повторяется чут ли не каждый день с утра.

При чем не пускает не всех пользователей, а только некоторых.

Почитал разные форумы - точного ответа на свою проблему не нашел, только установил uphclean сегодня, посмотрим, поможет ли.

Вообщем надеюсь на подсказку из-за чего сие могло ни с того ни с сего начать происходить и как эту проблему победить?

NuclearMax, Error message when you try to log on to a Windows Server 2003-based terminal server: "Windows cannot load the user's profile but has logged you on with the default profile for the system" (http://support.microsoft.com/kb/935649/en-us)

хм...да , как раз когда в первый раз поймали эту ошибку, после пересоздания профилей, установили эти параметры в реестре... по видимому спасло только на неделю(и кстати в по ссылке указаны 1505 и 1508, а в моей ситуации 1500 и 1508 )... есть еще какие нибудь варианты?

есть еще какие нибудь варианты?
Есть.

Установить SP2 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=95ac1610-c232-4644-b828-c55eec605d55).

Искать, где может быть утечка памяти.

1500 (http://www.eventid.net/display.asp?eventid=1500&eventno=2044&source=Userenv&phase=1)
1508 (http://www.eventid.net/display.asp?eventid=1508&eventno=2069&source=Userenv&phase=1)

только установил uphclean сегодня
Прикольно, а здесь (http://support.microsoft.com/kb/837115/) советуется её удалить. :)

Да, сорри, про систему неразвернуто написал - Windows Server 2003 R2 Standart Edition SP2.
Ну а по uphclean - если к завтру проблема останется, то смело удалю

ААААА!!! 2 недели всё было пучком, т.е.как раз после установки uphclean проблема ушла и не давала о себе знать...но сегодня опять с утра половина пользователей не пускало в терминал с теми же ошибками, полчаса бегал в панике проклиная всё на свете и толком ничего не сделав проблема вдруг исчезла сама и система дала пользователям зайти....
я уж думал что uphclean меня спас, а оказывается это было просто совпадение?!
Я в отчаяньи(

Ну чтож. продолжу хныкать... вообщем третий день подряд сервер кошмарит первые 30 минут с начала раб дня, после успокаивается, и вроде как юзеров начинает пускать... и еще - среди всех процессов winlogon на сервере , один весит 43 метра, остальные 2-4 метра... это нормально?

winlogon на сервере , один весит 43 метра
Многовато, мягко говоря.
Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.
Проверяемся.

Тут (http://grax.livejournal.com/230077.html) похожая проблема.

Но все winlogon, включая и самый здоровый, запущены от SYSTEM.... вирусня смогла бы от имени SYSTEM запустится?

вирусня смогла бы от имени SYSTEM запустится?
Естественно!

не,не то, мой Winlogon не растет и проц не грузит

а как посмотреть из какого места запускается процес?

а как посмотреть из какого места запускается процес? »
Processexplorer от Руссиновича

Глянул C:\WINDOWS\system32\winlogon.exe - так что вроде нормальный не вирус

А если переместить проблемные профили в другое место (желательно другой локальный диск) и дать полный доступ этой папке всему что есть.

Через АД переносить?

в итоге и не нашли проблему из-за чего? как решили?