Самопроизвольное отключение служб в домене
На ровном месте возникла следующая проблема, в сети на компьютерах под управлением XP/2003, включая сам контроллер домена, самопроизвольно отключаются службы "Рабочая станция" и "Сервер". Это происходит через 15-90 минут после загрузки, иногда появляется сообщение о том что приложение "Generic Host Process выполнило недопустимую операцию и будет закрыто".
Если службы поднять руками то они работают опять же до перезагрузки. В журналах все чисто, сброс групповых политик домена на дефолтные результата не дает.
Заранее спасибо за помощь.
|
Для начала попробуйте вот эти заплатки на клиентах:
Windows XP SP1 - KB921883 и KB923414
Windows XP SP2 - KB923414 и KB924270
|
на всех клиентах стоит SP3, на win 2003 уставновлен SP2
|
| Oleg Krylov |
17-03-2009 10:02 1066127 |
В логах аудита и системы на контроллере домена что интересного есть?
|
в момент падения служб только в журнале системы появились два события:
Код:
Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7035
Дата: 17.03.2009
Время: 16:05:38
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVER
Описание:
Служба "Служба авто-обнаружения веб-прокси WinHTTP" успешно отправила управляющий элемент "запустить".
Код:
Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7036
Дата: 17.03.2009
Время: 16:05:38
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Служба "Служба авто-обнаружения веб-прокси WinHTTP" перешла в состояние "Работает".
позже добавилось
Код:
Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7035
Дата: 17.03.2009
Время: 16:13:52
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVER
Описание:
Служба "Служба сетевого расположения (NLA)" успешно отправила управляющий элемент "запустить".
|
| Petya V4sechkin |
17-03-2009 15:18 1066380 |
|
для Win2k3 SP2 и WinXP SP3 этого обновления нет, видимо уже включено в сервиспак
|
недавно сталкнулся с подобной проблемой.... червь kido - вот что это, фиксим сервер, лечим антивирусом.
|
Касперский с последними базами ничего вредного не находит
|
| Petya V4sechkin |
18-03-2009 12:08 1067113 |
|
спасибо =)
Поставил на Win2k3, 10 часов - полет нормальный. Если это обновление закрывает дырку защиты, то чтобы этот дыркой воспользоваться все равно нужен вирус, но что-то я его не вижу.
|
Скачай с сайта Каспера утилиту kidokiller (последняя вроде была 3.3)
|
| Petya V4sechkin |
19-03-2009 09:39 1068007 |
MadTimer, можно включить аудит и смотреть, кто постоянно долбится по сети. Лучше на обычном компе (не сервере), чтобы легче было искать в результате нужные события. Или поставить файрвол и с помощью него отслеживать, с какого адреса идет атака.
|
Kido Killer ничего не нашел, как и Virus Removal Tool. прогонял на сервере и на некоторых компьютер в сети (на которых выпадают службы)
кстати забыл сказать - на контроллере домена стоит ISA 2006 со всеми обновками и включены все возможные защиты, по поводу атак ничего в ее журналах нет. Попробую еще порыскать по ее логам.
И как следствие выходит что если на самом компьютере КидоКиллер ничего не нашел, то если этот компьютер отключить от сети физически и оставить, службы упасть не должны - надо проверить.
|
А моно посмотреть в аудите Безопасности с какого компа была инициализация блокировки учетной записи.
Извиняюсь задумался. У вас проблема в службах а в не уч .записях
|
Бинго. И все таки это был Kido, жил на паре машин без антивирусника. Машины вычислил по логам ИСЫ.
Резюме: обновить WSUS и купить нормальный антивирус =)
ВСЕМ ОГРОМНОЕ СПАСИБО!!
|
Время: 10:13.
© OSzone.net 2001-
