morozoff, похоже после дефрагментации. Автоввод пароля не помогает, галочка «Требовать нажатия Ctrl+alt+del» тоже не помогает, все как было так и осталось, но что странно, всё работает в безопасном режиме.
К большому сожалению, точки отката были выключены еще в самом начале
1. CureIT вирусов не выявил.
2. sfc /scannow говорит, что испорчен файл c:/windows/system32/comres.dll но и заменить его не может. Вручную тоже не меняется. Из wim архива установочного диска с виндой вытащил этот файл, поменял в линуксе (т.к. даже erd commander не давал его менять), но все равно sfc утверждает что этот файл битый. Как мне его корректно поменять? Может в этом файле разгадка?
Сообщения: 52194 Благодарности: 15076
c:/windows/system32/comres.dll все равно sfc утверждает что этот файл битый
окошек с выбором пользователя нет. На ctrl+alt+del не реагирует. При том в безопасном режиме все нормально
Посмотрите значение параметра Userinit в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Служба «Поставщик домашней группы» является зависимой от службы «Хост поставщика функции обнаружения», которую не удалось запустить из-за ошибки Не удалось запустить дочернюю службу.
Ошибка DCOM «1084» при попытке запуска службы EventSystem с аргументами «» для запуска сервера:
Ошибка DCOM «1084» при попытке запуска службы ShellHWDetection с аргументами «» для запуска сервера:
Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: discache hwinterface spldr VBoxDrv VBoxUSBMon Wanarpv6
По поводу той дллки, в безопасности стоят Все и Полный доступ всем, потому что я ее грубо поменял (через другую операционку) а так до этого у всех только чтение и у TrustedInstall полный доступ, и права поменять не давала.
Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.
О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.
Контроллеры доменов
Event ID — (Категория) — Описание
1) 675 или 4771 (Аудит событий входа в систему) Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768 (Аудит событий входа в систему) Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже. ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776 (Аудит событий входа в систему) Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной. Коды ошибок NTLM приведены ниже. ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.
4) 642 или 4738 (Аудит управления учетными записями) Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756 (Аудит управления учетными записями) Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720 (Аудит управления учетными записями) Была создана новая учетная запись пользователя
7) 644 или 4740 (Аудит управления учетными записями) Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
517 или 1102 (Аудит системных событий) Указанный пользователь очистил журнал безопасности
Вход и выход из системы (Logon/Logoff)
Event Id — Описание
528 или 4624 — Успешный вход в систему 529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль 530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени 531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована 532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек 533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере 534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере 535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек 539 или 4625 — Отказ входа в систему – Учетная запись заблокирована 540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)
Типы входов в систему (Logon Types)
Тип входа в систему — Описание
2 — Интерактивный (вход с клавиатуры или экрана системы) 3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540) 4 — Пакет (batch) (например, запланированная задача) 5 — Служба (Запуск службы) 7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером) 8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”) 9 — NewCredentials 10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник) 11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
Коды отказов Kerberos
Код ошибки — Причина
6 — Имя пользователя не существует 12 — Ограничение рабочей машины; ограничение времени входа в систему 18 — Учетная запись деактивирована, заблокирована или истек срок ее действия 23 — Истек срок действия пароля пользователя 24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль 32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров 37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует 3221225578 — C000006A — Верное имя пользователя, но неверный пароль 3221226036 — C0000234 — Учетная запись пользователя заблокирована 3221225586 — C0000072 — Учетная запись деактивирована 3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени) 3221225584 — C0000070 — Ограничение рабочей станции 3221225875 — C0000193 — Истек срок действия учетной записи 3221225585 — C0000071 — Истек срок действия пароля 3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему
Настройка DHCP failover. Error: 20010. The specified option does not exist
Windows Server 2012 позволяет довольно просто организовать отказоустойчивую конфигурацию из двух DHCP серверов. Выбираем в контекстном меню протокола или конкретной области «Configure Failover…», указываем тип конфигурации (балансировка нагрузки или режим горячей замены) и настраиваем соответствующие параметры (период синхронизации базы, процент обслуживаемых клиентов и т.д.). После этого все настройки первого сервера (области, параметры) автоматически переезжают на второй сервер.
Но, как всегда, есть нюансы.
В моём случае это вылилось в появление ошибки
Error: 20010. The specified option does not exist.
Причина оказалась в том, что для некоторых областей были созданы кастомные параметры (для телефонии). А как выяснилось, параметры, созданные вручную, сервер не может воссоздать автоматически на партнёре. Прописать на областях может, а создать — нет.
Решение — зайти в «Set Predefined Options…» на втором сервере и воссоздать вручную все кастомные параметры, прописанные на первом сервере. Если создавали их не вы, то отличить кастомные параметры от встроенных поможет кнопка «Delete», которая становится активной только в случае выбора параметра, созданного вручную (см второй скриншот). В моём случае, помимо параметров, пришлось прописать ещё и дополнительный Vendor Class. После чего всё успешно отреплицировалось и заработало.
Просматривая журнал событий Windows 2008 Server Standard, увидели, что есть иногда какие-то «входы» ночью в 00-13 или 03-00.
Просто в это время офис закрыт, никто не работает.
Вот скрин одного такого входа:
Ответы
Тип входа: 5 означает, что это вход службы.
Тип 2 это локальный вход
Тип 3 это вход по сети.
Все ответы
Прокрутите чуть ниже, там будет указан «тип входа»
Скорее всего запускается задача, скрипт и так далее.
Может дефрагментация диска, а может и вирусы.
аutobuh, думаю, не стоит волноваться. Все у Вас нормально. Это стандартные ивенты.
От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.
От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.
Там только одна наша обработка стоит на 12-30
Прокрутите чуть ниже, там будет указан «тип входа»
Скорее всего запускается задача, скрипт и так далее.
Может дефрагментация диска, а может и вирусы.
Имя журнала: Security Подача: Microsoft-Windows-Security-Auditing Дата: 09.06.2014 0:19:29 Код события: 4672 Категория задачи: Специальный вход Уровень: Сведения Ключевые слова: Аудит выполнен успешно Пользователь: Н/Д Компьютер: Server Описание: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: SYSTEM Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Тип входа: 5 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
Дополнительные способы устранения STOP-ошибок или ошибки типа «синий экран»
Если вы не агент поддержки или ИТ-специалист, вы найдете более полезные сведения об ошибках stop («синий экран») сообщения в устранении неполадок с синим экраном ошибок.
Что вызывает ошибки Stop?
Ошибка Stop отображается как синий экран, содержащий имя неисправного драйвера, например любого из следующих драйверов примера:
Существует не простое объяснение причины стоп-ошибок (также известный как ошибки синего экрана или ошибки проверки ошибок). Может быть задействовано множество различных факторов. Однако различные исследования показывают, что ошибки stop обычно не вызваны компонентами Microsoft Windows. Вместо этого эти ошибки обычно связаны с неисправными драйверами оборудования или драйверами, установленными сторонним программным обеспечением. Это видеокарты, беспроводные сетевые карты, программы безопасности и так далее.
Наш анализ основных причин сбоей указывает на следующее:
Основной причиной ошибок Stop никогда не является процесс пользовательского режима. В то время как процесс в режиме пользователя (например, Блокнот или Slack) может вызвать ошибку Stop, он просто обнажает обнажаемую ошибку, которая всегда находится в драйвере, оборудовании или ОС.
Общие действия по устранению неполадок
Чтобы устранить неполадки, выполните следующие общие действия:
Просмотрите код ошибки Stop, который вы найдете в журналах событий. Поиск в Интернете определенных кодов ошибок Stop, чтобы узнать, существуют ли какие-либо известные проблемы, разрешения или обходные пути для этой проблемы.
В качестве наилучшей практики рекомендуется сделать следующее:
Убедитесь, что вы установили последние обновления Windows, накопительные пакеты обновления. Чтобы проверить состояние обновления, обратитесь к соответствующей истории обновлений для вашей системы:
Убедитесь, что BIOS и прошивка устарели.
Запустите все необходимые тесты оборудования и памяти.
Запустите пакет диагностики Windows сброса памяти машины. Этот диагностический инструмент используется для сбора файлов сброса памяти машины и проверки известных решений.
Запустите средство проверки безопасности (Майкрософт) или любую другую программу обнаружения вирусов, которая включает проверки master Boot Record для инфекций.
Убедитесь, что на жестком диске достаточно свободного места. Точные требования различаются, но мы рекомендуем 10-15 процентов свободного дискового пространства.
Обратитесь к соответствующему поставщику оборудования или программного обеспечения, чтобы обновить драйверы и приложения в следующих сценариях:
Сообщение об ошибке указывает на то, что определенный драйвер вызывает проблему.
Перед сбоем вы видите указание службы, которая начинается или останавливается. В этой ситуации определите, соответствует ли поведение службы всем экземплярам сбоя.
Вы внося изменения в программное или аппаратное обеспечение.
Если у конкретного производителя нет обновлений, рекомендуется отключить связанную службу.
Вы можете отключить драйвер, следуя шагам в «Как временно отключить драйвер фильтра режима ядра» в Windows.
Также может потребоваться рассмотреть возможность отката изменений или возвращания к последнему известному рабочему штату. Дополнительные сведения см. в перекате драйвера устройства в предыдущую версию.
Коллекция демпинга памяти
Чтобы настроить систему для файлов сброса памяти, выполните следующие действия:
Запустите средство DumpConfigurator.hta, а затем выберите Elevate this HTA.
Выберите ядро auto Config.
Перезапустите компьютер, чтобы параметр вступил в силу.
Остановите и отключите службы автоматической перезапуска системы (ASR), чтобы предотвратить написание файлов сброса.
Если сервер виртуализирован, отключать автоматическую перезагрузку после создания файла сброса памяти. Это позволяет сделать снимок сервера в состоянии, а также при повторном повторе проблемы.
Файл сброса памяти сохранен в следующих расположениях:
Тип файла dump
Местонахождение
(нет)
%SystemRoot%\MEMORY. DMP (неактивный или серый)
Небольшой файл сброса памяти (256 кб)
%SystemRoot%\Minidump
Файл сброса памяти ядра
%SystemRoot%\MEMORY. DMP
Полный файл сброса памяти
%SystemRoot%\MEMORY. DMP
Автоматический файл сброса памяти
%SystemRoot%\MEMORY. DMP
Файл сброса активной памяти
%SystemRoot%\MEMORY. DMP
Чтобы убедиться, что файлы сброса памяти не повреждены или недействительны, можно использовать средство Microsoft DumpChk (Проверка файлов аварийного сброса). Дополнительные сведения см. в следующем видео:
Дополнительные сведения об использовании Dumpchk.exe для проверки файлов сброса:
Pagefile Параметры
Анализ сброса памяти
Найти причину сбоя может быть непросто. Проблемы с оборудованием особенно трудно диагностировать, так как они могут вызывать непредсказуемое и непредсказуемое поведение, которое может проявляться в различных симптомах.
При ошибке Stop необходимо сначала изолировать проблемные компоненты, а затем попытаться вызвать ошибку Stop снова. Если вы можете повторить проблему, обычно можно определить причину.
Для диагностики журналов сброса можно использовать такие инструменты, как Windows комплект разработки программного обеспечения (SDK) и символы. В следующем разделе обсуждается, как использовать этот инструмент.
Расширенные действия по устранению неполадок
Расширенные устранения неполадок при сбоях могут быть очень сложными, если вы не имеете опыта программирования и внутренних Windows механизмов. Мы попытались предоставить краткое представление о некоторых используемых методах, в том числе некоторых примерах. Однако для эффективного устранения неполадок при аварийном сбое следует потратить время на ознакомление с передовыми методами отладки. Обзор видео см. в Windows отладки и отладки режимов ядра. Также см. дополнительные ссылки, перечисленные ниже.
Расширенные ссылки на отладку
Этапы отладки
Убедитесь, что компьютер настроен для создания полного файла сброса памяти при сбое. Дополнительные сведения см. в ниже.
Найдите файл memory.dmp в каталоге Windows на сбое компьютера и скопируйте его на другой компьютер.
На другом компьютере скачайте Windows 10 SDK.
Запустите установку и выберите средства отладки для Windows. Это устанавливает средство WinDbg.
Откройте средство WinDbg и установите путь символа, щелкнув файл, а затем щелкнув путь файла символа.
Если компьютер подключен к Интернету, введите сервер общедоступных символов Майкрософт (и https://msdl.microsoft.com/download/symbols) нажмите кнопку ОК. Это рекомендуемый метод.
Если компьютер не подключен к Интернету, необходимо указать локальный путь символов.
Нажмите кнопку «Открытая сбойнаясвалка», а затем откройте скопированные файлы memory.dmp. См. пример ниже.
Появится подробный анализ ошибок. См. пример ниже.
Прокрутите вниз к разделу, в котором написано STACK_TEXT. Будут строки чисел с каждой строкой, а затем двоеточие и текст. В этом тексте должны быть даны сообщения о том, что является причиной СБО и применима ли какая служба сбой DLL.
Подробнее о том, как интерпретировать вывод STACK_TEXT, см. в STACK_TEXT расширения!.
Существует множество возможных причин ошибки, и каждый случай уникален. В примере, представленного выше, важные строки, которые можно определить из STACK_TEXT: 20, 21 и 22:
(Здесь удаляются данные HEX, а строки про номером для ясности)
Проблема заключается в mpssvc, который является компонентом брандмауэра Windows брандмауэра. Проблему удалось устранить, временно отключив брандмауэр, а затем сброс политик брандмауэра.
Дополнительные примеры предоставляются в разделе Примеры отладки в нижней части этой статьи.
Ресурсы видео
В следующих видео иллюстрируются различные методы устранения неполадок для анализа файлов сброса.
Advanced troubleshooting using Driver Verifier
По нашим оценкам, около 75 процентов всех ошибок stop вызваны неисправным драйвером. Средство проверки драйвера предоставляет несколько методов, которые помогут устранить неполадки. К ним относятся запуск драйверов в изолированном пуле памяти (без обмена памятью с другими компонентами), создание экстремального давления памяти и проверка параметров. Если инструмент сталкивается с ошибками при выполнении кода драйвера, он активно создает исключение, чтобы эта часть кода была рассмотрена далее.
Driver Verifier потребляет много ЦП и может значительно замедлить компьютер. Кроме того, могут возникнуть дополнительные сбои. Verifier отключает неисправные драйверы после возникновения ошибки Stop и продолжает это делать до тех пор, пока вы не сможете успешно перезапустить систему и получить доступ к рабочему столу. Кроме того, можно ожидать создания нескольких файлов сброса.
Не пытайтесь проверять все драйверы одновременно. Это может ухудшить производительность и сделать систему непригодной для работы. Это также ограничивает эффективность средства.
Используйте следующие рекомендации при использовании драйвера Verifier:
Проверьте все «подозрительные» драйверы (драйверы, которые были недавно обновлены или которые, как известно, являются проблемными).
Если вы продолжаете испытывать неанализируемые сбои, попробуйте включить проверку для всех сторонних и неподписаных драйверов.
Включить одновременное подтверждение групп по 10-20 драйверов.
Кроме того, если компьютер не может загрузиться на рабочий стол из-за проверки драйвера, вы можете отключить средство, Сейф режиме. Это потому, что средство не может работать в Сейф режиме.
Распространенные Windows остановки ошибок
В этом разделе не содержится список всех кодов ошибок, но так как многие коды ошибок имеют те же потенциальные разрешения, лучше всего следовать ниже шагам, чтобы устранить ошибку.
В следующей таблице перечислены общие процедуры устранения неполадок для общих кодов ошибок Stop.
Если ошибка возникает во время последовательности запуска, а раздел системы отформатирован с помощью файловой системы NTFS, вы можете использовать режим Сейф для отключения драйвера в диспетчере устройств. Для этого выполните следующие действия: