Приветсвую Всех!

Натолкните на решения проблемы, с не давнего времени сервер перезагружается когда ему захочется что очень мешает работе.

В событиях можно проследить по каким причинам. Подскажите пожалуйста из-за чего это может возникать ?

На сервере установлена защита: ESET Nod 32 antivirus 4 версии,

также пробовал прогонять последней версией kaspersky removal tool, ничего подозрительного не обнаружено.


Буду благодарен за любую информацию, если что в созданной теме не так, подкорректирую, какую нужно информацию добавлю, просьба сразу не удалять.

alex_cent, включите запись дампов памяти (http://forum.oszone.net/thread-93436.html).
Если дампы уже есть в папке \WINDOWS\Minidump, выложите свежие.

Потестируйте память (http://www.outsidethebox.ms/10203/) с помощью Memtest86.

В событиях можно проследить по каким причинам
Event ID: 1015 Source: Winlogon (http://eventid.net/display-eventid-1015-source-Winlogon-eventno-3812-phase-1.htm)

Petya V4sechkin,
спасибо друг!

включил малые дампы, буду теперь ждать перезагрузки, затем выложу.

Мемтестом проверю, в не рабочее время.

Процесс: C: \ WINDOWS \ system32 \ lsass.exe, Code: c0000005 - происходит, когда 16-битные приложения работают на сервере терминалов Windows Server 2003.

можно ли для проверки запретить выполнение 16-битных приложений ?

alex_cent, еще посмотрите в папке
\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson
Если свежие (по дате) файлы, выложите.

можно ли для проверки запретить выполнение 16-битных приложений ?
Можно.
Если сможете подтвердить, что проблема именно в этом.

Спасибо Вам что помогаете, директории Dr Watson по указанному пути нет.


Подтвердить в плане? запустить любое 16-битное приложения и посмотреть будет ли перезагрузка.

директории Dr Watson по указанному пути нет
Странно.
Хотелось бы посмотреть дамп процесса.
Скачайте утилиту ProcDump (http://technet.microsoft.com/en-us/sysinternals/dd996900) и распакуйте в отдельную папку, например C:\ProcDump
Запустите командную строку (cmd.exe) и выполните:
C:\ProcDump\procdump.exe -accepteula -e lsass.exe C:\ProcDump\
Ждите следующего сбоя, после выложите сохраненный DMP-файл из папки C:\ProcDump в архиве на любой файлообменник.


запустить любое 16-битное приложения и посмотреть будет ли перезагрузка
Типа того.

Еще такая тема (http://forum.oszone.net/thread-222142.html) была - выложите содержимое раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
(в Regedit -> меню Файл -> Экспорт).

Procdump скачал, распаковал, команду выполнил, как только за сбоит выложу дамп.

Содержимое раздела прикрепляю

один раз была перезагрузка, но что минидамп не был создан, что в директории Procdamp не появился файл с дампом процесса, прописал все заново, удалил старые минидампы. Четвертый день работает без перезагрузки, жду... Прошу пока тему не закрывать.

Спасибо.

Я правильно понял, на этом сервере не установлен последний Service Pack и все критические post-SP обновления безопасности?

WindowsNT, сейчас занимаюсь решением этого вопроса.

Ответ неясен. Там может быть только "да" или "нет".
В случае "нет" можете считать систему скомпрометированной и подлежащей уничтожению, переустановке.

последний service pack установлен.

Прошу дать хоть какую-то наводку на решение, проблемы.

Система была переустановленна заново, обновлена последним сервис-паком и апдейтами, Просканированная разного рода AVP.

Все равно вылетает lsass.exe (( Не могу понять в чем проблема.

Я бы посмотрел на несколько вещей:

1. Какие системные программы вы ставите вместе с сервером, считая их безобидными. По факту, это может оказаться не так.
2. Если вдруг система действительно была скомпрометирована, не была ли она переустановлена из заражённого источника. Сканирование всякими AVP — не показатель. Если бы сканирование умело находить все угрозы, все вирусные заражения в мире уже были бы ликвидированы.
3. Может, проблема с драйверами? Специфическая аппаратура?
4. Может, проблемы с диском или контроллером?

alex_cent, дамп процесса так и не получилось сделать?
Не закрывайте командную строку с ProcDump (и не завершайте сеанс), пока не произойдет сбой.

Память в Memtest86 тестировали?

ошибка оболочки LSA.jpg
А это что?
По виду может быть утечка выгружаемого пула, как в теме
[решено] Пропадание окон и надписей (http://forum.oszone.net/thread-101392.html)

Понаблюдайте за динамикой выделения с помощью Poolmon (http://forum.oszone.net/attachment.php?attachmentid=57757) (в командной строке).
Еще посмотрите размер файлов в папке \Windows\system32\config (кустов реестра).

WindowsNT,

1. Adobe reader, mozilla firefox, mozilla thunderbird, libreoffice, eset antivirus больше ничего не устанавливал кроме этих программ.
2. Была установлена с оригинального диска который шел с лицензией, на счет AVP согласен
3. Драйвера все установил что шли с сервером, также установил еще дополнительно последний intel update inf
4. chkdsk /f /r - вариант ?

Petya V4sechkin,

так и делал как Вы написали, дамп не создавался попробую еще на новой системе.

memtest86 еще не запускал, сколько нужно минимум проходов для проверки? по времени не много ограничен
ок,

размер файлов в папке \Windows\system32\config





Спасибо!

Adobe Reader и Mozilla Firefox системными программами не являются (хотя я не совсем понимаю смысл установки различного рода мозилл на сервер).
Eset является системной программой и уж точно может служить причиной сбоя. Хотя вариант с памятью весьма и весьма вероятен.

Проверьте сначала память. Это удобно сделать, загрузившись с установочного компакт-диска или флешки Windows 7.

WindowsNT,
я просто перечислил что устанавливал на сервер.
Firefox установлен как браузер в нужных случаях, чтобы не использовать IE, Thunderbird как почтовый клиент.


ок, спасибо, буду тестировать озу.

Petya V4sechkin, удалось создать дамп, посмотрите please

alex_cent, и по дампу причина непонятна.
Сторонних модулей в процессе нет, только системные библиотеки, в стеке:
STACK_TEXT:
00e0e178 78002331 00e0e190 00000010 00000088 advapi32!rc4+0x50
00e0e298 74176b0b 00e0e2bc 00e0e2b0 00e0e360 advapi32!SystemFunction032+0x41
00e0e2c8 7417f26b 00000078 00000010 00e0e360 netlogon!NlDecryptRC4+0x78
00e0e2f0 741770f5 00000002 00000003 00000000 netlogon!NlpDecryptValidationInformation+0x65
00e0e378 74176cf8 0010a758 00000000 00000002 netlogon!NlpUserValidateHigher+0x638
00e0e3d8 74177407 000dcdd8 00000001 00000000 netlogon!NlpUserValidate+0x309
00e0e460 7417728d 00000000 00000000 00000000 netlogon!NlpLogonSamLogon+0x3f5
00e0e49c 76bbdb5f 00000000 00000000 00000000 netlogon!NetILogonSamLogon+0x32
00e0ecdc 76bba852 ffffffff 00000003 019e3d28 msv1_0!LsaApLogonUserEx2+0x1106
00e0f05c 76bb4d7a 00676618 00685940 00908001 msv1_0!SsprHandleAuthenticateMessage+0xe64
00e0f278 4ac45edb 00676618 00686f30 00e0fb04 msv1_0!SpAcceptLsaModeContext+0x21f
00e0f2ec 4ac89321 00e0fae4 00e0fb10 00e0fb04 lsasrv!WLsaAcceptContext+0x139
00e0fb3c 4ac896cb 000faab0 00685930 00908001 lsasrv!NegHandleSubsequentClientRequest+0x26e
00e0fc30 4ac8a11c 000faab0 00685930 00908001 lsasrv!NegHandleClientRequest+0x1bf
00e0fc98 4ac45edb 000faab0 00e0fdc4 00e0fe40 lsasrv!NegAcceptLsaModeContext+0x321
00e0fd0c 4ac460c8 006ac310 006ac318 00e0fe40 lsasrv!WLsaAcceptContext+0x139
00e0fe84 4ac3ae7b 006ac2e8 006ae128 005ec630 lsasrv!LpcAcceptContext+0x13b
00e0fe9c 4ac3ad7e 006ac2e8 005f4d10 006aec98 lsasrv!DispatchAPI+0x46
00e0ff54 4ac3a7c9 006ac2e8 00e0ff9c 7c81ba69 lsasrv!LpcHandler+0x1fe
00e0ff78 4ac5c3f9 005ec510 00000000 00000000 lsasrv!SpmPoolThreadBase+0xb9
00e0ffb8 7c82482f 005eb9d0 00000000 00000000 lsasrv!LsapThreadBase+0x57
00e0ffec 00000000 4ac4f3f1 005eb9d0 00000000 kernel32!BaseThreadStart+0x34

Похоже, сбой службы Netlogon при дешифровании учетных данных (в ходе аутентификации).
Пока не придумал, что можно выжать из этой информации.
Аудит входа в систему (http://technet.microsoft.com/ru-ru/library/cc787567(v=ws.10)) включить?