Server 2008r2 сыпит ошибками, траблы с RDP появились
 

всем привет! вот появились новые проблемы с сервером терминалов, а именно начали сыпаться ошибки в системе, одна и та же ошибка, в мин по несколько раз появляется:
Имя журнала: System
Источник: Service Control Manager
Дата: 05.06.13 8:40:21
Код события: 7034
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: serv2
Описание:
Служба "Windows Modules Installer" неожиданно прервана. Это произошло (раз): 23886.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
<EventID Qualifiers="49152">7034</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2013-06-05T04:40:21.821703300Z" />
<EventRecordID>440575</EventRecordID>
<Correlation />
<Execution ProcessID="660" ThreadID="1041452" />
<Channel>System</Channel>
<Computer>serv2</Computer>
<Security />
</System>
<EventData>
<Data Name="param1">Windows Modules Installer</Data>
<Data Name="param2">23886</Data>
</EventData>
</Event>

а в журнале приложении вообще ппц:
1-ошибка

Имя журнала: Application
Источник: Application Error
Дата: 05.06.13 8:53:28
Код события: 1000
Категория задачи:(100)
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: serv2
Описание:
Имя сбойного приложения: TrustedInstaller.exe, версия: 6.1.7600.16385, отметка времени: 0x4a5bc4b0
Имя сбойного модуля: ntdll.dll, версия: 6.1.7600.16915, отметка времени 0x4ec4b137
Код исключения: 0xc00000fd
Смещение ошибки: 0x0000000000054997
Идентификатор сбойного процесса: 0x102518
Время запуска сбойного приложения: 0x01ce61a89b1e654e
Путь сбойного приложения: C:\Windows\servicing\TrustedInstaller.exe
Путь сбойного модуля: C:\Windows\SYSTEM32\ntdll.dll
Код отчета: dc6e24d9-cd9b-11e2-bc3a-0025907bea04
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Application Error" />
<EventID Qualifiers="0">1000</EventID>
<Level>2</Level>
<Task>100</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-05T04:53:28.000000000Z" />
<EventRecordID>543121</EventRecordID>
<Channel>Application</Channel>
<Computer>serv2</Computer>
<Security />
</System>
<EventData>
<Data>TrustedInstaller.exe</Data>
<Data>6.1.7600.16385</Data>
<Data>4a5bc4b0</Data>
<Data>ntdll.dll</Data>
<Data>6.1.7600.16915</Data>
<Data>4ec4b137</Data>
<Data>c00000fd</Data>
<Data>0000000000054997</Data>
<Data>102518</Data>
<Data>01ce61a89b1e654e</Data>
<Data>C:\Windows\servicing\TrustedInstaller.exe</Data>
<Data>C:\Windows\SYSTEM32\ntdll.dll</Data>
<Data>dc6e24d9-cd9b-11e2-bc3a-0025907bea04</Data>
</EventData>
</Event>

2 ошибка

Имя журнала: Application
Источник: Application Error
Дата: 05.06.13 8:53:28
Код события: 1000
Категория задачи:(100)
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: serv2
Описание:
Имя сбойного приложения: TrustedInstaller.exe, версия: 6.1.7600.16385, отметка времени: 0x4a5bc4b0
Имя сбойного модуля: ntdll.dll, версия: 6.1.7600.16915, отметка времени 0x4ec4b137
Код исключения: 0xc00000fd
Смещение ошибки: 0x0000000000054997
Идентификатор сбойного процесса: 0x102518
Время запуска сбойного приложения: 0x01ce61a89b1e654e
Путь сбойного приложения: C:\Windows\servicing\TrustedInstaller.exe
Путь сбойного модуля: C:\Windows\SYSTEM32\ntdll.dll
Код отчета: dc6e24d9-cd9b-11e2-bc3a-0025907bea04
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Application Error" />
<EventID Qualifiers="0">1000</EventID>
<Level>2</Level>
<Task>100</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-05T04:53:28.000000000Z" />
<EventRecordID>543121</EventRecordID>
<Channel>Application</Channel>
<Computer>serv2</Computer>
<Security />
</System>
<EventData>
<Data>TrustedInstaller.exe</Data>
<Data>6.1.7600.16385</Data>
<Data>4a5bc4b0</Data>
<Data>ntdll.dll</Data>
<Data>6.1.7600.16915</Data>
<Data>4ec4b137</Data>
<Data>c00000fd</Data>
<Data>0000000000054997</Data>
<Data>102518</Data>
<Data>01ce61a89b1e654e</Data>
<Data>C:\Windows\servicing\TrustedInstaller.exe</Data>
<Data>C:\Windows\SYSTEM32\ntdll.dll</Data>
<Data>dc6e24d9-cd9b-11e2-bc3a-0025907bea04</Data>
</EventData>
</Event>

3-я

Имя журнала: Application
Источник: Microsoft-Windows-Security-SPP
Дата: 05.06.13 8:48:39
Код события: 8198
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: serv2
Описание:
Сбой активации лицензий (slui.exe). Код ошибки:
0x800401F9
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-SPP" Guid="{E23B33B0-C8C9-472C-A5F9-F2BDFEA0F156}" EventSourceName="Software Protection Platform Service" />
<EventID Qualifiers="49152">8198</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-05T04:48:39.000000000Z" />
<EventRecordID>543112</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>serv2</Computer>
<Security />
</System>
<EventData>
<Data>0x800401F9</Data>
</EventData>
</Event>


4-я

Имя журнала: Application
Источник: Microsoft-Windows-Winlogon
Дата: 05.06.13 8:48:39
Код события: 4103
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: serv2
Описание:
Ошибка активации лицензии Windows. Ошибка 0x00000000.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Winlogon" />
<EventID Qualifiers="49152">4103</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-05T04:48:39.000000000Z" />
<EventRecordID>543113</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>serv2</Computer>
<Security />
</System>
<EventData>
<Data>0x00000000</Data>
<Data>0x00000001</Data>
</EventData>
</Event>

5-я

Имя журнала: Application
Источник: Microsoft-Windows-Winlogon
Дата: 05.06.13 8:48:39
Код события: 4105
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: serv2
Описание:
Windows находится в режиме уведомления.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Winlogon" />
<EventID Qualifiers="32768">4105</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-05T04:48:39.000000000Z" />
<EventRecordID>543111</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>serv2</Computer>
<Security />
</System>
<EventData>
<Data>0x00000000</Data>
<Data>0x00000000</Data>
</EventData>
</Event>

6-я

Имя журнала: Application
Источник: SideBySide
Дата: 05.06.13 8:41:05
Код события: 33
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: serv2
Описание:
Ошибка при создании контекста активации для "C:\Windows\System32\systemcpl.dll". Не найдена зависимая сборка "Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="&#x2a;",publicKeyToken="436865772d574741",type="wi n32",version="6.0.0.0"". Используйте sxstrace.exe для подробной диагностики.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="SideBySide" />
<EventID Qualifiers="49409">33</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-06-05T04:41:05.000000000Z" />
<EventRecordID>543096</EventRecordID>
<Channel>Application</Channel>
<Computer>serv2</Computer>
<Security />
</System>
<EventData>
<Data>Microsoft.Windows.Common-Controls,language="&amp;#x2a;",processorArchitecture="&amp;#x2a;",publicKeyToken="436865772d574741", type="win32",version="6.0.0.0"</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>C:\Windows\System32\systemcpl.dll</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
</EventData>
</Event>

эти ошибки появляются несколько раз в минуту. людей выкидывает с РДП, потом сам подключает опять...

santey007, в командной строке (cmd.exe) от имени Администратора выполните:
Перезагрузитесь и выложите лог \Windows\Logs\CBS\CBS.log в архиве.

Petya V4sechkin пока не могу остановить сервер, если только сегодня ночью

santey007, а смысл ждать?
Если людей и так выкидывает каждую минуту.

Petya V4sechkin сегодня в ночь поставил пару обновлений, стало меньше выкидывать(примерно 3 раза в час). но появилась проблема с самопроизвольным заходом через некоторое время обратно.
не могу останавливать сервак в рабочее время(особенно среда и четверг), пусть хотя бы так работает, т.к. пока выгоню всех оттуда и пока перезагрузился -за это время меня 5 раз убьют))

Пока сделайте дамп процесса:

1. скачайте утилиту ProcDump и распакуйте в отдельную папку, например C:\ProcDump;
2. запустите командную строку (cmd.exe) от имени Администратора и выполните:
   
   Код:

   ---

   C:\ProcDump\procdump.exe -accepteula -e -w TrustedInstaller.exe C:\ProcDump\

   ---

3. попытайтесь запустить службу TrustedInstaller (Windows Modules Installer) и дождитесь сбоя;
4. выложите сохраненный DMP-файл из папки C:\ProcDump в архиве на любой файлообменник.

P. S. Как дела с вирусами обстоят?

Petya V4sechkin у меня нет такой службы, может она как то по другому называется?

santey007, есть у вас такая служба, глазами посмотрите на свое первое сообщение в теме:

Petya V4sechkin нет такой службы в диспетчере сервера. я поэтому и спрашиваю, может она там как то по другому может называться?

santey007, нажмите Win+R -> введите services.msc

Petya V4sechkin а чем это отличается от: мой комп-управление-службы?
нету там этой службы..

Установщик модулей Windows есть?

santey007, и вы забыли ответить на вопрос:

и установщик Виндовс есть и установщик модулей виндовс есть
на вирье гонял 2 недели назад-чисто. проблемы эти уже тогда наблюдались.
к выходным еще раз проганю на вирье, но думаю все чисто будет

на вирье гонял 2 раза касперким и дрвеб куретом-все в норме. проблема оч актуальна

santey007, очень вам сочувствую.
К сожалению, вы не выполнили ни одной просьбы с начала темы.

Petya V4sechkin приношу свои извинения. структура у нас большая, + еще много городов -и на все тут я один.
вот логи с ProcDump (на всякий случай два)
лог 1
лог 2

вот лог c \Windows\Logs\CBS\CBS.log в архиве (правда не выполнял команду sfc /scannow , была вынужденная перезагрузка)
CBS

если перед анализом лога CBS.log надо обязательно выполнить проверку сис.файлов, то в эти выхи сделаю это обязательно
на вирусы гонял опять, все чисто как и ожидал.
служба которая падает называется: Установщик модулей Widows(в это время как раз и появляются ошибка), затем через некоторое время падает и просто Установщик Windows
жду с нетерпение вывода по логам.
пользовался еще этим -результата нет. бежит строка поиск обновлений для этого пк и все -2 суток ждал, так пришлось потом перезагружаться...

santey007, скачайте и запустите средство проверки готовности системы к обновлению.
После выполнения выложите лог \Windows\Logs\CBS\CheckSUR.log в архиве.

P. S. Если с первого раза не получится, перезагрузите сервер.

Petya V4sechkin в 16 посте писал в самом конце, что пользовался уже этой утилитой...
в данный момент запускаю еще раз и выдается такая ошибка:
установщик обнаружил ошибку: 0х80080005
...
возможно это произошло после этого:
посоветовали на стороннем форуме...


Попробуйте так:
1. Остановите службы «Центр обновления Windows», «Фоновая интеллектуальная служба передачи (BITS)» и «Службы криптографии».
2. Найдите папку «c:\windows\softwaredistribution» и переименуйте ее в «softwaredistribution_OLD».
3. Переименуйте папку «c:\Windows\System32\catroot2» в «c:\Windows\System32\catroot2_OLD».
4. Запустите остановленные службы, попробуйте выполнить поиск и установку обновлений.

Если проблема не устранена, опубликуйте логи:
Файл «WindowsUpdate», расположенный в папке «C:\Windows».
Файл «CBS», расположенный в папке «C:\Windows\Logs\CBS».
Файл «CheckSUR», расположенный в папке «C:\ Windows\Logs\CBS».

после чего ответил я(это было сегодня же):
«Центр обновления Windows» не останавливается, при попытки остановки выдал ошибку, после чего никаких операций я с ним не смог совершить
«Фоновая интеллектуальная служба передачи (BITS)» и «Службы криптографии» -остановились нормально
в результате с теми папками я никаких махинаций не смог проделать, я так понимаю из-за службы «Центр обновления Windows», т.к. она не остановилась корректно и ничего с ней сделать теперь немогу, поможет наверно только перезагрузка...
ЗЫ Файла «CheckSUR», расположенный в папке «C:\ Windows\Logs\CBS» -нет такого в этой папке, там только архивы и CBS
и остальные логи приложил

и запустите сразу после перезагрузки.

Petya V4sechkin попробую ближе к выходным, сейчас не могу остановить сервер. а что в логах? по ним можно что то сказать?

santey007, нет, ничего.
CheckSUR.log должен показать поврежденные MUM- и/или CAT-файлы.

Petya V4sechkin
C:\Users\Administrator>sfc /scannow

Начато сканирование системы. Этот процесс может занять некоторое время.

Начало стадии проверки при сканировании системы.
Проверка 14% завершена.

Защита ресурсов Windows не может выполнить запрошенную операцию.

santey007, этого и следовало ожидать.
sfc /scannow не надо.
Надо средство проверки готовности системы к обновлению. Перезагрузить сервер и сразу запустить (пока не прочухался и не упал TrustedInstaller). Потом выложить \Windows\Logs\CBS\CheckSUR.log (там будет видно, какие MUM- и/или CAT-файлы повреждены).

Petya V4sechkin
тогда в субботу сделаю, т.к. не могу остановить сервак, а в чт-пт особенно, даже ночью
кстати крайняя перезагрузка была жесткая, т.к. он висел на остановке служб около 40мин-времени больше не было ждать, пришлось нажать резет

Petya V4sechkin перезагружал, запускал сразу и итог один и тот же, бесконечно идет поиск обновлений-эту сообщение могу убрать только перезагрузкой сервера. делал несколько раз-один итог. CheckSUR.log не появляется
еще мысли есть?

santey007, выложите CBS.log хотя бы.

Petya V4sechkin до этого выкладывал уже, вот свежий лог

santey007, сделайте лог Process Monitor следующим образом:

1. запустите Process Monitor;
2. выполните sfc /scannow и дождитесь ошибки;
3. сохраните лог: меню File -> Save -> CSV-формат;
4. заархивируйте и выложите.

Petya V4sechkin сделал все как вы сказали, только теперь проверка дошла до 7 % и все.вот лог
до проверки откл. службу автообновления и перезагрузился. или надо все таки со вкл службой? если надо, то сделаю со вкл службой автоматического обновления.

santey007, процесс TrustedInstaller.exe зацикливается на чтении файлов:
Первый относится к обновлению KB2742598 (при установке обновлений иногда случаются сбои, сопровождающиеся повреждением файлов).
Попробуйте заменить (скопировать с нормально работающего сервера).

Petya V4sechkin вроде перестал ошибками сыпать, помониторю пару дней, затем попробую еще раз сервак обновить весь. сделал так:
1- выкл службу обновления, он там что то ругнался и я перезагрузился
2- служба обновления не запустилась (и хорошо), затем отключил следующие службы: «Фоновая интеллектуальная служба передачи (BITS)» и «Службы криптографии».
3- папку «c:\windows\softwaredistribution» и переименовал ее в «softwaredistribution_OLD».
папку «c:\Windows\System32\catroot2» в «c:\Windows\System32\catroot2_OLD». (дабы не удалять эти папки, а то вдруг чего)
4- удалил те пакеты, на которых он зацикливался: Package_for_KB2742598..... и Microsoft-Windows-WindowsFoundation-LanguagePack-Package..... (но прежде конечно же сохранил их, так же на всякий...)
5- затем запустил все выше остановленные службы, в том числе и обновление виндовс -все запустилось без проблем
средство проверки готовности системы к обновлению заработало тут же, предложил мне установить какое то обновление, я согласился. после чего он закрылся и все.
sfc /scannow так же отработал без проблем и создал лог
в журнале перестали сыпаться эти ошибки, пока мониторю 2 часа только
завтра- после завтра попробую применить все важные обновления (их около 100шт)

появилась новая проблема, слетела активация- никак не могу активировать

santey007, кто ж знает, какие у вас ошибки в журнале событий и т. д.
Папку catroot2 не надо было трогать, на нее особые разрешения.