Действительно не было обновлений, хотя я пытался обновиться сборкой, вроде прошло, но в программы и компоненты-обновление виндовс обновлений не оказалось. Пытался обновиться как пакетом с микрософта так и сторонними сборками- не проходят обновления. Была система проверена встроеным вигдовс дефендером, куреит от вебра и 360 тотал секюрити- вирусов нет. Но в 360 тотал секюрити обнаружил примочку с установкой патчей винды. Прописал компу доступ к инету. Попробовал, обновляет, насчитало 171 обновление нужно винде. На данный момент еще 105 осталось. Процес не для слаюонервных, с кучей перезагрузок.

Проблема решена. Причина была в отсутствии обновлений и вирусах в сети. 360 тотал секюрити снес, после установки обновлений виндовса, работает только виндовс дефендер(он стал нормально онлайн обновляться). В его журнале появляются записи об удалении вирусов при подключении с других компов. Но все работает без перезагрузок.

Всем привет. Админю Win 2012 r2, RDS. С недавних пор крэш lsass начал приводить к отложенной перезагрузке. Мешает работать.
Я почитал форум и попытался снять дамп с процесса. Но получаю отказ:
ProcDump v10.0 - Sysinternals process dump utility
Copyright (C) 2009-2020 Mark Russinovich and Andrew Richards
Sysinternals - www.sysinternals.com

Error debugging process:
???????? ? ???????. (0x00000005, 5)
За символами ??? гуглится "access is denied" по коду 5. Гуглить пробовал, но без результата. Окажите помощь, если получится.
Что делал:

1) в Политиках нашел параметр Debug Program и проверил, что Администраторы вписаны.
2) пробовал отключать, совсем закрывал приложение Kaspersky Endpoint Security
3) пробовал "натравить" ProcDump на другое приложение - получилось.
4) обновил до последней версии утилиту (10.0)

Хочу еще попробовать пофиксить исчерпанное место на WSUS и запустить обновление. Где-то полгода сижу без них получается. По сути после глобальной борьбы с WanaCry (и имею ввиду кучу обновлений нацеленных на борьбу с ним) не обновляюсь. Заранее спасибо за уделенное время

"access is denied" по коду 5
Запускаете cmd от имени Администратора?
и запустить обновление. Где-то полгода сижу без них получается. По сути после глобальной борьбы с WanaCry (и имею ввиду кучу обновлений нацеленных на борьбу с ним) не обновляюсь.
Да, обновиться надо, поскольку с тех пор были обнаружены другие уязвимости, в частности BlueKeep в RDS.

Запускаете cmd от имени Администратора?

Разумеется.
Про обновить - принял

Ест ещё идеи о правах для Дебага?

miwka77, попробуйте запустить cmd/ProcDump от имени SYSTEM (системной учётной записи).

от имени SYSTEM »
Не прокатило. Пока бросил попытки Дампнуть и Занялся обновлениями. В свете последних своих событий вижу связь перезагрузок и тем, что они происходят в момент работы именно моих пользователей. Стабильно по утрам. Видимо у кого-то запускается некое приложение, крашещее lsass. Буду эмперически искать, раз Дамп не слить.
Если будут советы альтернативного способа слить Дамп от Lsass'а, то я бы послушал

p.s я может зря сразу не сказал об этом: может на блокировку lsass повлять то, что сервер - это V-машина (VmWare ESXi)?

Win 2012 r2 »
вижу связь перезагрузок и тем, что они происходят в момент работы именно моих пользователей »
Видимо у кого-то запускается некое приложение »
Буду эмперически искать »

Command line process auditing (https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing)

может на блокировку lsass повлять
Настройка дополнительной защиты LSA (https://docs.microsoft.com/ru-ru/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection)

Такая же ошибка происходит, уже второй день пытаюсь починить, но ответов нет, код ошибки бывает как на картинке и 255, помогите пожалуйста!

но ответов нет
Ответы есть, для начала можете прочитать тему.

Здравствуйте, у меня такая же проблема с lsass.exe
и аналогичная (на выходе - перезагрузка системы) с services.exe:


Имя сбойного приложения: services.exe, версия: 6.1.7601.24537, отметка времени: 0x5dce0333
Имя сбойного модуля: ntdll.dll, версия: 6.1.7601.24564, отметка времени 0x5ff4d8e6
Код исключения: 0xc0000005
Смещение ошибки: 0x00000000000bab92
Идентификатор сбойного процесса: 0x2a4
Время запуска сбойного приложения: 0x01d81c5fda9a6600
Путь сбойного приложения: C:\Windows\system32\services.exe
Путь сбойного модуля: C:\Windows\SYSTEM32\ntdll.dll
Код отчета: 198a04e4-8864-11ec-a3a6-001986002929

Я ловил обе проги, дамп по services.exe


(тут через онлайн пытался расшифровать дамп)
https://dumps.metastruct.uk.to/analyze/780d179a16a1427fdee6cb9d096463d8789427d22ea42c2fbfa6529afe27b799

samarian, по services.exe не удалось выяснить причину.
Дамп lsass.exe имеется?

Критические обновления безопасности установлены?

samarian, по services.exe не удалось выяснить причину.
Дамп lsass.exe имеется?
Критические обновления безопасности установлены? »

Пока нету, придется ждать может быть неделю, а может день. Критические обновления установлены. Во время формирования этого дампа, который я выложил, в окне по lsass.exe спамилось сообщение "Exception: 000006BA" (я понимаю, что это вряд ли поможет определить причину, но вдруг)).
----
Прошло 2 недели, и даже ни одного сообщения не появилось в окне по lsass.exe. Может ли наблюдение влиять на объект?)) Если так, то меня такой фикс устроит.

Нашел глобальную причину (перезагружался в итоге по разным причинам + косяки и ошибки всякие перестали выскакивать). Если не создавать точки сохранения системы, то проблемы нет, но проще удалять вот эти файлы:
1). C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\* (все, кроме файлов с расширением ".dat")
2). C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\* (все, кроме "container.dat")

Если пользуетесь nncron, то:

#( IExplore_clear \ из-за ~ошибок в винде
SingleInstance
VARIABLE test123
VARIABLE test124
NoActive
Action:
S" IExplore_clear START" CRON-LOG
BEGIN
WIN-EXIST: "IEFrame" NOT 100 PAUSE
IF
PROC-EXIST: "iexplore*" NOT 100 PAUSE
IF
1 test123 !
1 test124 !
RECURSIVE
FOR-FILES: "C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*"
1 PAUSE
IS-DIR? NOT 100 PAUSE FOUND-FULLPATH S" /(.*\.dat)/" RE-MATCH NOT AND 100 PAUSE
IF
test123 @ test123 @ + test123 !
\ MSG: %FOUND-FULLPATH%
FILE-DELETE: %FOUND-FULLPATH%
THEN
;FOR-FILES
RECURSIVE
FOR-FILES: "C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\*"
1 PAUSE
IS-DIR? NOT 100 PAUSE FOUND-FILENAME S" /container.dat/"
RE-MATCH NOT AND 100 PAUSE
IF
test124 @ test124 @ + test124 !
\ MSG: %FOUND-FILENAME%
FILE-DELETE: %FOUND-FULLPATH%
THEN
;FOR-FILES
test123 @ 1 >
IF
S" IExplore_clear CLEARED: %test123 @ 1 -%" CRON-LOG
THEN
test124 @ 1 >
IF
S" IExplore_clear CLEARED(2): %test124 @ 1 -%" CRON-LOG
THEN
THEN
THEN
test124 @ -1 = 100 PAUSE
UNTIL
)#

Добрый день.

Появилась похожая проблема и внезапные перегрузки сервера начали проявлятсья чаще и чаще.
lsass.exe вылетает и триггером является библиотека schannel.dll

Дамп снял. Расшифровать не могу.
Может ли кто-нибдуь помочь?
https://disk.yandex.ru/d/dvumH1SiXZrHFA

Может ли кто-нибдуь помочь? »
Стек:
> k
# Child-SP RetAddr Call Site
00 00000028`0173e460 00000000`5231f438 schannel!SpDeleteContext+0x70
01 00000028`0173e4a0 00000000`80090304 Itcssp+0xf438
02 00000028`0173e4a8 00000000`5238d3f0 0x80090304
03 00000028`0173e4b0 00000028`02bae830 Itcssp+0x7d3f0
04 00000028`0173e4b8 00000000`00000000 0x00000028`02bae830

Модуль:
> lmvm Itcssp
Browse full module list
start end module name
00000000`52310000 00000000`52397000 Itcssp T (no symbols)
Loaded symbol image file: Itcssp.Dll
Image path: C:\Windows\System32\Itcssp.Dll
Image name: Itcssp.Dll
Browse all global symbols functions data
Timestamp: Tue May 08 19:37:52 2018 (5AF1B640)
CheckSum: 0008EE03
ImageSize: 00087000
File version: 4.2.8.51670
Product version: 4.2.8.51670
File flags: 0 (Mask 3F)
File OS: 4 Unknown Win32
File type: 1.0 App
File date: 00000000.00000000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4


Корявый "ViPNet" роняет Вашу систему.

NickM, на него и грешил. Только не могу доказать. Спасибо!

Стоит с оф сайта, но ставился давно. Его стоит переустановить/обновить, как думаете?
Или полностью отказаться от него и уйти к работе с ЭДО на Конутр?

Его стоит переустановить/обновить »
А операционная система у Вас какая, актуальная?

У "ViPNet" и раньше были конфликты, но почему у Вас система засбоила именно сейчас - вот тут Вам и следует разобраться;

уйти к работе с ЭДО на Контур»
"Контур" поставщик услуг, а "ViPNet" программное обеспечение от "Infotecs", в Вашем случае криптопровайдер.

В некоторых случаях помогает отключение компонента "Поддержка работы Vipnet CSP через Microsoft Crypto API", возможно и к Вашему случаю окажется применимым.

А операционная система у Вас какая, актуальная? »

Server 2012 R2. Но без последних обновлений. Что-то сцыкотно их ставить.

"Контур" поставщик услуг, а "ViPNet" программное обеспечение от "Infotecs", в Вашем случае криптопровайдер. »

В данном случае крипропровайдер установлен непосредственно на сервер и обращается к данным в 1С.
В моем понимании если начать работать с Контуром, то из 1С будут выгружаться только данные, а вся работа с этими данными будет уже происходить на пользовательской машине бухгалтера.
Криптопровайдеры сами по себе капризные инстурменты, а если еще уставлены на сервера, там кол-во рисков повышается по сравнении с работой обычной пользовательской машины.

У "ViPNet" и раньше были конфликты, но почему у Вас система засбоила именно сейчас - вот тут Вам и следует разобраться; »
Буду разбираться. Главное что найдено куда копать. Спасибо Вам!