Архив форумов ЦИТФорума

[Dmitrius]

Думал поможет установка сервиспака - не помогла.

Ситуация:
у меня несколько серверов. на всех сейчас 2003 энтерпрайз сервер 1 сервис пак + заплатки. на всех цитрикс 4 сервиспак + заплатки. SQL2000 4 сервис пак.
сервер под названием SRVR-ACP - был терминальным сервером, раз в день у него выползала "ошибка приложения lsass.exe" и на него не кто после этого не мог терминально зайти, причем (на сообщении об ошибке) нажимаешь на любую кнопку (ОК или отмена) сервак перегружался. остальные серваки работали нормально.
я перекинул пользователей на другой сервак (который до этого работал 100% нормально) SRVR-TERM - который в придачу мощьнее первого, в итоге эта ошибка стала выползать на SRVR-TERM а на первом изчезла.
после установки 1 сервиспака эта ошибка стала появлятся чаще (2-3 раза в день) но уже не перегружала сервак, а просто молча сообщала об ошибке в логах. при этом стали странно вести себя принтеры (переставали печатать). причем как я заметил - сначало отваливаются принтеры, затем минут через 20 в логах появляется эта ошибка, затем минут через 10 не кто не может зайти на сервак не по цитриксу, не по RDP
на суппорт.микрософт.ком ничего внятного про эту ошибку я не нашел. кто нибудь с таким сталкивался?

лог ошибки

дата: 06.08.2005 Источник: Application Error
Время: 14:22:04 Категория: (100)
Тип: Ошибка Код (ID) 1000
Пользователь: Н/Д
Компьютер SRVR-TERM


Ошибка приложения lsass.exe, версия 5.2.3790.0, модуль ntdll.dll, версия 5.2.3790.1830, адрес 0x00020bbc.

заходят на сервер терминально до 60 пользователей одновременно, но дело наверняка не в этом т.к. я вечером ухожу домой последним (в 1-2 часа ночи) все работает, утром прихожу одним из первых (в 8-30 -9-00), и уже не работает, бэкапы не сделанны, и время ошибки примерно совподает с временем старта бэкапов, но при этом днем бэкапы не делаются только пользователи.

между SRVR-TERM и SRVR-SQL (где сидит база 1С) сеть в 1 Гигабит. днем максимальная загрузка сети доходит до 20%, загрузка протцов на терминале - не более 80% (и то во время массовых обработок), и не более 50% по ОЗУ, на SQL и того меньше нагрузка. Что может быть?

[and3008]

С вероятностью 90% смею утверждать, что сервер валит вирус Sasser

[Dmitrius]

у меня стоит 10 сумантек и он его не видет.

как его можно попробовать вылоаить (какойто ключ в реестре или определенный файлик)?

[Dmitrius]

полазил в вирусной энциклопедии на avp.ru - то что там нарыл на этот вирус у меня не обнаружилось...

всеравно не пойму что происходит: последний раз перегружал сервак в субботу в 16-00 (по Астанинскому времени) и до сих пор (тфу тфу) всё работает

[and3008]

Посети windowsupdate.microsoft.com с сервака. Возможно не все патчи стоят. Иногда заражения не происходит, а работа службы lsass нарушается.

[Dmitrius]

С этим врятли что получится т.к. винда пиратская, может проверку не пройти, но вечером попробую

в любом случае сейчас все работает... причем без сбоев.

у меня есть подозрение на программу XSpider 7.0 Demo т.к. только сейчас заметил что я этой прогой гонял свою подсеть и время падения сервера как раз совподало с временем проверки сервака (второго по крайней мере 100%). с субботы я эту прогу не запускаю, и сервак работает нормально.

но это только теория т.к. другие сервера не падали я наверно в выходные (когда народа будет поменьше) прогоню ёй серваки, и посмотрю что получится

[Dmitrius]

блин опять эта херь случилась...

сначало в 8:36 ID: 1000

Ошибка приложения lsass.exe, версия 5.2.3790.0, модуль ntdll.dll, версия 5.2.3790.1830, адрес 0x00020bbc.

затем в 8:56 ID: 1015

Критический системный процесс, C:\WINDOWS\system32\lsass.exe, завершился ошибкой с кодом состояния c0000005. Необходимо перезагрузить этот компьютер.

и наконец в 8:59 ID: 100 (это просто уведомление)

lsass (480) СУБД 5.02.3790.1830 запущена.

но всеравно не кто не смог зайти по цитриксу в 1С, а те кто зашел до этого, перестали печатать (ошибка печати), хотя по цитриксу на сервер (на рабочий стол, а не в приложение) попасть можно было.

во время ошибки на серваке было 4 человека + работал винрар - бэкап архивировал

что за фигня блин, почти неделю всё было нормально

[Dmitrius]

еще я заметил что эта фигня происходит по пятницам...

чтото сидит блин...

[Belthazor]

По-моему, на сайте Symantec видел утилитку типа Sasser Removal Tool. Думаю, стоит найти, скачать и проверить.

[Dmitrius]

скачал, нифиге не нашел


зато програмка Ad-Aware SE Professional нашла много интересного

проверю в следущюю пятницу

[Serge_HID]

так проблема решилась или нет? а то ук меня на Windows SBS Server 2003 после установки SP1 служба терминалов тоже загнулась, не хочет стартовать даже

[Dmitrius]

не фига не решилось... сегодня таже фигня вылизла

остальные сервари работают нормально, но на них таже винда, и тот же сервис пак, те же терминалы и т.д.

гонит только тот, на который народ логинется...

[sedfom]

А sql сервер крутится на терминальном сервере?
_________________
Каков вопрос, таков ответ.

[Dmitrius]

SQL там стоит (на всякий пожарный), но на нем нет не одной базы, они на другом компе

сервис пак на SQL 4 стоит

[Dmitrius]

Да кстати... проблема решена, не поверите из-за чего...

значит так ошибка вылазила в основном по пятницам т.к. в пятницу пользователи (согласно политеки безопасности) меняли свой пароль, и вот те, которые меняли пароли не в винде, а через цитрикс (когда с 1С логинились) вызывали на сервере ошибку, которая вводила сервак в транс.

но виноват оказался даже не сам цитрикс, а акронис 8,0 версии, который использует с цитриксом одну и туже DLLку (я на это выполз на какомто англоязычном сайте), решил проверить: поставил другую версию акрониса, и все заработало нормально.

короче: Цитрикс ФР3 + Акронис 8,0 + пользователь меняет пароль через цитрикс = аут для сервера... кто бы мать его догадался?