[решено] LSASS.EXE запрошенная операция не выполнена [Версия для КПК]

Показать полную графическую версию : [решено] LSASS.EXE запрошенная операция не выполнена

Grub

04-12-2011, 13:49

Парни привет.
Стала вываливаться вот такая ошибка (см. сабж и аттач).
Вываливается периодически на разных машинах в домене. На всех тачках стоит Win XP SP3. Антивирус Symantec Endpoint Protection v11.0.6300. На WSUSе сделано правило ставить security updates автоматом. Какой-то определенной последовательности в том, почему тачки выпадают в осадок нет.
Сейчас восстанавливаем по этой (http://forum.oszone.net/post-1247616-23.html) инструкции. Но это никак не предотвращает проблему на других компах.
Что это может быть и как победить?

Petya V4sechkin

04-12-2011, 18:01

Grub, ошибка может быть связана с кривыми Authentication Packages, выложите содержимое раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
(в Regedit -> меню Файл -> Экспорт).

Grub

05-12-2011, 09:44

Petya V4sechkin, от чего путь может измениться на 20-ти с лишним машин?
Причем "сегодняшние" машины можно вернуть к работе с помощью последней работоспособной конфигурацией, а вот "позавчерашние" так не восстанавливались.
Что было сделано за вчера? Это смена паролей у саппорта.

Petya V4sechkin

05-12-2011, 09:48

Grub, от вируса, например (которого нет в базах Symantec).
Если раздел реестра не выложите, будете сами гадать на кофейной гуще.

от чего путь может измениться
Какой путь?

Grub

05-12-2011, 10:11

Какой путь? »
Сори, почему-то посчитал, что изменился путь. Сейчас выложу ветку реестра

Grub

05-12-2011, 10:39

Petya V4sechkin, вот экспорт. Вроде Authentication Packages верный

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00, \
00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00, \
00,00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e, \
00,6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00, \
74,00,73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,74, \
00,73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,74,00, \
73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:000000e0
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00, \
00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,4e, \
00,54,00,20,00,41,00,63,00,63,00,65,00,73,00,73,00,20,00,50,00,72,00,6f,00, \
76,00,69,00,64,00,65,00,72,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00, \
6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c, \
00,6e,00,74,00,6d,00,61,00,72,00,74,00,61,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:21,c7,36,6a,c9,ee,54,97,49,f9,4f,f2,66,2c,ba,7b,65,38,66,36, \
65,33,39,37,00,fd,07,00,bb,64,00,00,34,fa,07,00,46,98,4a,75,20,fa,07,00,40, \
fd,07,00,4c,fd,07,00,1f,31,24,0c,0f,86,f6,1a,ca,d3,16,e8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:d3,b4,55,c3,6e,81,a1,39,c1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:5d,be,85,8f,51,53

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]
"MachineSid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,bc,7b,b0,b5,88,ac,f3, \
80,0e,ad,01,01,bb,c7,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:7a,47,f4,2d,cf,1c,fe,1c,f7,5a,b3,93,93,db,97,e9

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:62,e5,bc,67,0d,b3,cc,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00000050
"RpcId"=dword:000000ff
"Version"=dword:00000001
"TokenSize"=dword:000000ff
"Time"=hex:00,60,0b,3b,f0,9e,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000000
"Time"=hex:00,60,0b,3b,f0,9e,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000000
"Time"=hex:00,60,0b,3b,f0,9e,c8,01
"Type"=dword:00000031

Petya V4sechkin

05-12-2011, 11:25

Grub, странно, что в параметре Security Packages много строк tspkg (шесть штук).

Если при сбое создался дамп процесса, выложите
\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp

Grub

05-12-2011, 12:09

Petya V4sechkin, выложил

Petya V4sechkin

05-12-2011, 18:36

Grub, дамп старый и к Lsass.exe не относится.
Так поясните, почему:

в параметре Security Packages много строк tspkg (шесть штук)
Скриптом добавляете, что ли? Удалите лишние.

После ошибки можно войти в систему?
Безопасный режим работает?

Grub

06-12-2011, 08:47

Скриптом добавляете, что ли? Удалите лишние. »
Не добавляем. Пояснить не могу.
Безопасный режим ни в какой конфигурации не загружается. Также вываливается с ошибкой LSASS.EXE
Что значит? После ошибки можно войти в систему? »
Можно, если восстановить тем способом, который я указал в первом посте. Больше никак.
Сегодня вывалились еще компов 20 :(

Petya V4sechkin

06-12-2011, 09:54

ни в какой конфигурации не загружается
То есть, ветку реестра вы выложили с живого компьютера?
В этом нет смысла.

Нужно достать с умершей системы.
Для этого загрузиться с LiveCD или параллельно установленной системы и:
запустить Regedit
установить указатель на HKEY_LOCAL_MACHINE
меню Файл -> Загрузить куст -> указать папку \WINDOWS\system32\config и открыть файл system
задать имя куста, например SYS
в разделе HKEY_LOCAL_MACHINE\SYS\Select посмотреть номер в параметре Current
экспортировать раздел HKEY_LOCAL_MACHINE\SYS\ControlSet00#\Control\Lsa (где # = номер из предыдущего пункта)
выделить раздел HKEY_LOCAL_MACHINE\SYS -> меню Файл -> Выгрузить куст

Не добавляем. Пояснить не могу.
Но их шесть штук.
Это ваш домен, ваша корпоративная среда, ваши политики и скрипты в автозагрузке, как вы можете не знать?

Grub

06-12-2011, 11:56

Ветку выгружал с Live CD, а не с живой системы
Выгружал куст HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, без ControlSet00#
Но их шесть штук. »
Что это? На что влияет и от чего зависит? Так я думаю, быстрее смогу ответить на Ваш вопрос, почему их там 6 штук.

Petya V4sechkin

06-12-2011, 12:17

Что это?
KB951608 (http://support.microsoft.com/kb/951608/en-us)

Выгружал куст HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Это может оказаться куст самого LiveCD (в зависимости от типа LiveCD), а не системы.

Ветку выгружал с Live CD
Исправить там же пробовали?

Grub

06-12-2011, 15:03

Подгруженный куст:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\
00,73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,74,00,\
73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,74,00,73,\
00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:00000304
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000000
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,4e,00,\
54,00,20,00,41,00,63,00,63,00,65,00,73,00,73,00,20,00,50,00,72,00,6f,00,76,\
00,69,00,64,00,65,00,72,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
6e,00,74,00,6d,00,61,00,72,00,74,00,61,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Data]
"Pattern"=hex:ab,15,68,fe,0e,ec,c3,be,3b,c8,5e,59,ea,f9,e8,75,31,35,65,33,61,\
32,39,63,00,fd,07,00,2e,1a,00,00,34,fa,07,00,56,82,4a,75,20,fa,07,00,40,fd,\
07,00,4c,fd,07,00,27,d6,c2,cc,33,57,e3,86,b9,71,90,15

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\GBG]
"GrafBlumGroup"=hex:64,b0,b2,69,ef,39,de,c9,78

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\JD]
"Lookup"=hex:13,2d,32,3b,11,47

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Kerberos\SidCache]
"MachineSid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,82,24,65,cc,06,8a,8d,65,\
c0,30,d7,43,f2,04,00,00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Skew1]
"SkewMatrix"=hex:ee,bd,27,c9,bd,d9,04,3c,bb,f6,05,56,91,b5,0e,a0

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SspiCache]
"Time"=hex:60,11,2f,88,aa,b3,cc,01

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,c2,6f,a5,56,9e,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,1c,d2,a7,56,9e,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,49,03,a9,56,9e,c8,01
"Type"=dword:00000031

Исправить там же пробовали? »
Исправить в соответствии с приведенной статьей? Нет, не пробовал еще.

Petya V4sechkin

06-12-2011, 15:50

Grub, можете исправить, сравнить с рабочими компьютерами, удалить лишние строки.
Для эксперимента удалить tspkg совсем, оставив Security Packages по умолчанию:

kerberos
msv1_0
schannel
wdigest

Grub

06-12-2011, 16:03

Но их шесть штук. »
вот откуда они взялись сайт (http://citrix.pp.ru/forum/viewtopic.php?f=2&t=8695&start=0&sid=2b772888cd8a477cd43612268d5934b7)
Добавляли, чтобы RemoteApps запахал. Но политика весит уже почти месяц, а проблема началась в четверг

Grub

06-12-2011, 18:27

Победили.
Petya V4sechkin, спасибо за помощь. Проблема оказалась в скрипте, которые добавлял tspkg и credssp.dll в реестр.
Когда их количество доходило до 6 т.е. tspkg 6 шт и credssp.dll - 6шт, то система выдавала вот такую ошибку.
Почему именно 6, можете подсказать?

Petya V4sechkin

06-12-2011, 20:02

Ура.

Почему именно 6
У программистов Microsoft спросите :)
Там ведь еще 4 стандартных, в сумме получается 10 (возможно, это и есть ограничение, при котором у Lsass.exe сносит крышу).