Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   [решено] LSASS.EXE запрошенная операция не выполнена (http://forum.oszone.net/showthread.php?t=222142)

Grub 04-12-2011 13:49 1809012
LSASS.EXE запрошенная операция не выполнена
 
Вложений: 1
Парни привет.
Стала вываливаться вот такая ошибка (см. сабж и аттач).
Вываливается периодически на разных машинах в домене. На всех тачках стоит Win XP SP3. Антивирус Symantec Endpoint Protection v11.0.6300. На WSUSе сделано правило ставить security updates автоматом. Какой-то определенной последовательности в том, почему тачки выпадают в осадок нет.
Сейчас восстанавливаем по этой инструкции. Но это никак не предотвращает проблему на других компах.
Что это может быть и как победить?

Petya V4sechkin 04-12-2011 18:01 1809118
Grub, ошибка может быть связана с кривыми Authentication Packages, выложите содержимое раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
(в Regedit -> меню Файл -> Экспорт).

Grub 05-12-2011 09:44 1809479
Petya V4sechkin, от чего путь может измениться на 20-ти с лишним машин?
Причем "сегодняшние" машины можно вернуть к работе с помощью последней работоспособной конфигурацией, а вот "позавчерашние" так не восстанавливались.
Что было сделано за вчера? Это смена паролей у саппорта.

Petya V4sechkin 05-12-2011 09:48 1809485
Grub, от вируса, например (которого нет в базах Symantec).
Если раздел реестра не выложите, будете сами гадать на кофейной гуще.

Цитата:
от чего путь может измениться
Какой путь?

Grub 05-12-2011 10:11 1809495
Цитата:
Цитата Petya V4sechkin
Какой путь? »
Сори, почему-то посчитал, что изменился путь. Сейчас выложу ветку реестра

Grub 05-12-2011 10:39 1809510
Petya V4sechkin, вот экспорт. Вроде Authentication Packages верный

Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00, \
  00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00, \
  00,00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e, \
  00,6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00, \
  74,00,73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,74, \
  00,73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,74,00, \
  73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:000000e0
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00, \
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,4e, \
  00,54,00,20,00,41,00,63,00,63,00,65,00,73,00,73,00,20,00,50,00,72,00,6f,00, \
  76,00,69,00,64,00,65,00,72,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00, \
  6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c, \
  00,6e,00,74,00,6d,00,61,00,72,00,74,00,61,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:21,c7,36,6a,c9,ee,54,97,49,f9,4f,f2,66,2c,ba,7b,65,38,66,36, \
  65,33,39,37,00,fd,07,00,bb,64,00,00,34,fa,07,00,46,98,4a,75,20,fa,07,00,40, \
  fd,07,00,4c,fd,07,00,1f,31,24,0c,0f,86,f6,1a,ca,d3,16,e8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:d3,b4,55,c3,6e,81,a1,39,c1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:5d,be,85,8f,51,53

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]
"MachineSid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,bc,7b,b0,b5,88,ac,f3, \
  80,0e,ad,01,01,bb,c7,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:7a,47,f4,2d,cf,1c,fe,1c,f7,5a,b3,93,93,db,97,e9

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:62,e5,bc,67,0d,b3,cc,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00000050
"RpcId"=dword:000000ff
"Version"=dword:00000001
"TokenSize"=dword:000000ff
"Time"=hex:00,60,0b,3b,f0,9e,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000000
"Time"=hex:00,60,0b,3b,f0,9e,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000000
"Time"=hex:00,60,0b,3b,f0,9e,c8,01
"Type"=dword:00000031

Petya V4sechkin 05-12-2011 11:25 1809530
Grub, странно, что в параметре Security Packages много строк tspkg (шесть штук).

Если при сбое создался дамп процесса, выложите
\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp

Grub 05-12-2011 12:09 1809554
Petya V4sechkin, выложил

Petya V4sechkin 05-12-2011 18:36 1809789
Grub, дамп старый и к Lsass.exe не относится.
Так поясните, почему:

Цитата:
Цитата Petya V4sechkin
в параметре Security Packages много строк tspkg (шесть штук)
Скриптом добавляете, что ли? Удалите лишние.

После ошибки можно войти в систему?
Безопасный режим работает?

Grub 06-12-2011 08:47 1810120
Цитата:
Цитата Petya V4sechkin
Скриптом добавляете, что ли? Удалите лишние. »
Не добавляем. Пояснить не могу.
Безопасный режим ни в какой конфигурации не загружается. Также вываливается с ошибкой LSASS.EXE
Что значит?
Цитата:
Цитата Petya V4sechkin
После ошибки можно войти в систему? »
Можно, если восстановить тем способом, который я указал в первом посте. Больше никак.
Сегодня вывалились еще компов 20 :(

Petya V4sechkin 06-12-2011 09:54 1810144
Цитата:
Цитата Grub
ни в какой конфигурации не загружается
То есть, ветку реестра вы выложили с живого компьютера?
В этом нет смысла.

Нужно достать с умершей системы.
Для этого загрузиться с LiveCD или параллельно установленной системы и:
  1. запустить Regedit
  2. установить указатель на HKEY_LOCAL_MACHINE
  3. меню Файл -> Загрузить куст -> указать папку \WINDOWS\system32\config и открыть файл system
  4. задать имя куста, например SYS
  5. в разделе HKEY_LOCAL_MACHINE\SYS\Select посмотреть номер в параметре Current
  6. экспортировать раздел HKEY_LOCAL_MACHINE\SYS\ControlSet00#\Control\Lsa (где # = номер из предыдущего пункта)
  7. выделить раздел HKEY_LOCAL_MACHINE\SYS -> меню Файл -> Выгрузить куст

Цитата:
Цитата Grub
Не добавляем. Пояснить не могу.
Но их шесть штук.
Это ваш домен, ваша корпоративная среда, ваши политики и скрипты в автозагрузке, как вы можете не знать?

Grub 06-12-2011 11:56 1810230
Ветку выгружал с Live CD, а не с живой системы
Выгружал куст HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, без ControlSet00#
Цитата:
Цитата Petya V4sechkin
Но их шесть штук. »
Что это? На что влияет и от чего зависит? Так я думаю, быстрее смогу ответить на Ваш вопрос, почему их там 6 штук.

Petya V4sechkin 06-12-2011 12:17 1810240
Цитата:
Цитата Grub
Что это?
KB951608

Цитата:
Цитата Grub
Выгружал куст HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Это может оказаться куст самого LiveCD (в зависимости от типа LiveCD), а не системы.

Цитата:
Цитата Grub
Ветку выгружал с Live CD
Исправить там же пробовали?

Grub 06-12-2011 15:03 1810360
Подгруженный куст:

Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
  00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
  00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
  6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\
  00,73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,74,00,\
  73,00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,74,00,73,\
  00,70,00,6b,00,67,00,00,00,74,00,73,00,70,00,6b,00,67,00,00,00,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:00000304
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000000
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,4e,00,\
  54,00,20,00,41,00,63,00,63,00,65,00,73,00,73,00,20,00,50,00,72,00,6f,00,76,\
  00,69,00,64,00,65,00,72,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  6e,00,74,00,6d,00,61,00,72,00,74,00,61,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Data]
"Pattern"=hex:ab,15,68,fe,0e,ec,c3,be,3b,c8,5e,59,ea,f9,e8,75,31,35,65,33,61,\
  32,39,63,00,fd,07,00,2e,1a,00,00,34,fa,07,00,56,82,4a,75,20,fa,07,00,40,fd,\
  07,00,4c,fd,07,00,27,d6,c2,cc,33,57,e3,86,b9,71,90,15

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\GBG]
"GrafBlumGroup"=hex:64,b0,b2,69,ef,39,de,c9,78

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\JD]
"Lookup"=hex:13,2d,32,3b,11,47

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Kerberos\SidCache]
"MachineSid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,82,24,65,cc,06,8a,8d,65,\
  c0,30,d7,43,f2,04,00,00

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\Skew1]
"SkewMatrix"=hex:ee,bd,27,c9,bd,d9,04,3c,bb,f6,05,56,91,b5,0e,a0

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SspiCache]
"Time"=hex:60,11,2f,88,aa,b3,cc,01

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,c2,6f,a5,56,9e,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,1c,d2,a7,56,9e,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYS\ControlSet001\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,49,03,a9,56,9e,c8,01
"Type"=dword:00000031
Цитата:
Цитата Petya V4sechkin
Исправить там же пробовали? »
Исправить в соответствии с приведенной статьей? Нет, не пробовал еще.

Petya V4sechkin 06-12-2011 15:50 1810391
Grub, можете исправить, сравнить с рабочими компьютерами, удалить лишние строки.
Для эксперимента удалить tspkg совсем, оставив Security Packages по умолчанию:
Код:
kerberos
msv1_0
schannel
wdigest

Grub 06-12-2011 16:03 1810400
Цитата:
Цитата Petya V4sechkin
Но их шесть штук. »
вот откуда они взялись сайт
Добавляли, чтобы RemoteApps запахал. Но политика весит уже почти месяц, а проблема началась в четверг

Grub 06-12-2011 18:27 1810487
Победили.
Petya V4sechkin, спасибо за помощь. Проблема оказалась в скрипте, которые добавлял tspkg и credssp.dll в реестр.
Когда их количество доходило до 6 т.е. tspkg 6 шт и credssp.dll - 6шт, то система выдавала вот такую ошибку.
Почему именно 6, можете подсказать?

Petya V4sechkin 06-12-2011 20:02 1810536
Ура.

Цитата:
Цитата Grub
Почему именно 6
У программистов Microsoft спросите :)
Там ведь еще 4 стандартных, в сумме получается 10 (возможно, это и есть ограничение, при котором у Lsass.exe сносит крышу).


Время: 09:05.

Время: 09:05.
© OSzone.net 2001-