Remote Procedure Call (RPC) непредвиденная остановка службы

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

Win2003 перезагрузилась сама, записав в журнал событий следующее сообщение:
"Процесс winlogon.exe инициировал действие "Перезапустить" для компьютера W3K от имени пользователя NT AUTHORITY\SYSTEM по причине: Причина на перечислена
Код причины: 0x30006
Тип выключения: Перезапустить
Комментарий: Необходимо перезагрузить Windows, поскольку произошла непредвиденная остановка службы Remote Procedure Call (RPC)"
Сервер, на котором установлена Win2003 давно "болеет" этой способностью к само-перезагрузке. Сначала он работал под управлением W2000, теперь W2003. Перезагрузки происходят крайне редко - от раза в месяц до нескольких дней. Были случаи - через час-другой. Как выявить "железку", которая вызывает эту проблему?
Серверу ок.3 лет. Первый год он работал без проблем. Затем на нем полетел SCSI-винт и начались авто-dump`ы. Через полгода полетел второй SCSI-винт.
Нужна помощь в тестировании сервера.

Вообще очень похоже на поведение msblasta. У меня была как-раз такая же ситуация. Оказался ентот вирус. А перечень проблем есть также на www.eventid.net.

Сервер (w2003, ранее w2000) ругается на SCSI (на его драйвер). Вываливается с дампом и сообщением:
DRIVER_IRQL_NOT_LESS_OR_EQUAL
и еще какие-то сведения (что-то вроде sym_u3.sys). Все на синем экране смерти. После перезагрузки появляется запись в журнале: комп был перезагружен после критической ошибки. Между двумя данными сбоями прошло 3 недели.
Похоже, RPC-служба здесь нипричем. Как решить проблему?

Поставил сервак 2003 этерпрайс, эксчейнж 2003, нортон 2003 . Все сделал вроде чисто - не первый раз, но впервые при конекте в интернет через несколько минум - предупреждений RPC о приближающемся шатдауне.Помогите кто встречался с этим - в чем проблема . Ивент вьювер ничего не говорит.

это Инет-червь, либо Lovesan либо Sasser, поставь заплатку

Спасибо.Но у меня же стоит нортон для сервака с последним дефинишеном. Все равно могут пролазить если нет заплатки?

Guest
В любом случае помимио MS заплаток, на сервере тебе надо ставить файервол (для w2k3k работает например: sygate, portlock еще некоторые , но не NIS!) и закрывать 135, 139 порты и еще, советую отключить Netbios over TCP

Remote Procedure Call (RPC) непредвиденная остановка службы

Короче у мя вот такая вот проблема :

Поиск юзал говорят нужна заплтка тока вот какая именно подкиньте сцылку, а то я что то в винде ни бум бум :)

Обновление системы безопасности для системы Windows 2000

+апдейты по ссылкам внизу той страницы.

Извеняюсь очень забыл написать что у меня Win2003 сервер ):

antyan
Ну так стратегия поиска ведь ясна? или нет?....

for Windows Server 2003 32-Bit Edition:

Обновление системы безопасности для системы Windows Server 2003 32-Bit Edition
+ ссылки внизу страницы

на случай если забыл сказать что у тебя еще и 64-разрядная версия:

for Windows Server 2003 64-Bit Edition:

Security Update for Windows Server 2003 64-Bit Edition
+ ссылки внизу страницы

Blast, Ммммм Наверное тупой вопрос но как узнать какая версия? ): У мя на диске написанно Enterprise тырыпыры =)

была бы 64-разрядная - было бы указано

RPC перезагрузка

У вас просто битый winlogon.exe
например VLK дистрибутив уже активирован
Я тоже его зря еще раз активировал-результат каждые 2 часа перезагрузка
Вернул winlogon.exe все встало на место.
Мораль -wpa_kill.exe не всегда полезен.

Возникла аналогичная ошибка, к счастью быстро вышел на этот форум ...

Поделюсь своим опытом, может кому полезно будет:

Дано

Копм (безмониторный, управление по RAdmin) в качестве сервера internet (VPN соединение поверх локалки), WINS, NAT, file-server.

Win2003 Ent. edition Ru (голый без апдэйтов)

Средства безопастности: Sygate firewall, NA 9 corp. edition

NAT реализован упрощенно через ICS с подключением по требованию

Трабла

После месяца нормальной работы, стал уходить на перезагрузку по непонятным причинам.

После анализа логов, оказалось что винт вырубался периодически. Поменял HDD.

Через какое-то время начались чудеса - хаотичные отрубания инета ... т.к. сервер без моника, клавы и т.д. (просто железная коробка в кладовке ;) ), то причины определить не просто сходу.

Через какое-то время отловил эту причину (скрин)

Решение

Закрыл 135, 137 и 445 на UTP & TCP на WAN NIC'е. (правила в Sygate). Вот цитата из бюллетеня:

Цитата:

Временное решение
Хотя корпорация Майкрософт рекомендует всем своим заказчикам как можно скорее установить обновление для системы безопасности, имеется несколько временных решений, позволяющих избежать опасности. Гарантии того, что эти временные решения позволят заблокировать все возможные направления атаки, нет.

Примечание. Предлагаемые решения являются временными, так как они позволяют блокировать направления атаки, но не устраняют имеющиеся слабые места.
• Заблокируйте порты UDP 135, 137, 138 и 445, а также порты TCP 135, 139, 445 и 593 брандмауэра. Также отключите COM-службы Интернета (CIS) и RPC через HTTP. CIS и RPC через HTTP ведут прослушивание портов 80 и 443 на компьютерах, которым угрожает опасность.

Эти порты используются для создания RPC-подключения к удаленному компьютеру. Их блокировка в брандмауэре позволяет предотвратить попытки использовать эти уязвимые места с при атаках, направленных на компьютеры, находящиеся под защитой брандмауэра. Заблокируйте также каждый определенным образом настроенный порт RPC на удаленном компьютере.

Если службы CIS и RPC через HTTP включены, они разрешают осуществлять вызовы DCOM через TCP-порты 80 (и 443 в Windows XP и Windows Server 2003). Убедитесь, что на всех компьютерах, которым угрожает опасность, службы CIS и RPC через HTTP отключены.

Потом поставил заплатки от нижеприведенных бюллетенях:

MS03-039
MS04-012

Поставил качаться SP1 for Win2003 ... думаю его поставить в итоге в нагрузку. Одно но ... как бы активация опять не включилась принудительно :)