Перейти к содержимому


Фото
- - - - -

Агент 12.0 аварийно завершает работу Windows 10


  • Please log in to reply
14 ответов в этой теме

#1 Jumbo Frame

Jumbo Frame

    Member

  • Posters
  • 140 Сообщений:

Отправлено 04 Март 2021 - 16:46

Сейчас у нас два ESS-сервера: 10.01.0-201705110 и параллельно 12.00.10-202012180 с аналогичными настройками, на который потихоньку мигрируем клиентов.

 

В процессе апгрейда ОС с WIn7 на WIn10 изредка происходит следующее: 

 

- в Win7 после миграции агента на 12-й сервер ОС ведёт себя штатно;

- после апгрейда до Win10 с 12-м агентом сразу после появления окна приветствия машина уходит в циклическую перезагрузку с интервалом в минуту. При этом меню кнопки выключения неактивно - "параметры электропитания недоступны". Если успеть войти в систему - можно застать "аварийное" окно ОС с предупреждением, что машина через минуту будет перезагружена;

- если успеть удалить 12-го агента через remover, то после его повторной установки аварийную перезагрузку ОС просит сразу же, как появляется окно АВ об установке новых компонентов.

 

Если на машине до апгрейда стоял 11-й агент, то всё идёт нормально до того момента, как агент перенаправляется на новый сервер и выкачивает оттуда 12-ю версию, Далее, см. выше, как появляется окно об установке новых компонентов.

 

С 11-м агентом всё стабильно нормально в любом случае. На машинах со свежей установкой Win10 проблема 12-го агента ни разу не воспроизводилась.

 

Таких случаев было три или четыре, но с учётом того, что большинство на удалёнке, а мы ещё и на Windows 10 мигрируем, хотелось бы понять, как эту беду побороть.

 

В аттаче отчёты oldinstall (смена агента с 11 на 12, апгрейд ОС)  и freshinstall (установка 12-го агента на Win10 после прогона drwremover).

 

 

Прикрепленные файлы:


Dr.Web Server 13.00.1-202308170 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)


#2 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Март 2021 - 17:14

Что-то там хардкор какой-то:

grep -a ErrorLogEntry SystemInfo.xml | grep -ac 20210304
368

И всё серьезные, типа невозможности службам зайти в систему под SYSTEM и пр.

Нам бы C:\Windows\MEMORY.DMP, через службу техподдержки, раз BSoD-ит.


Сообщение было изменено Kirill Polubelov: 04 Март 2021 - 17:15

(exit 0)

#3 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Март 2021 - 17:26

grep -a ErrorLogEntry SystemInfo.xml | grep -a 20210304 | grep -a lsass
<ErrorLogEntry TimeGenerated="20210304100156.776118-000" Logfile="Application" SourceName="Microsoft-Windows-Wininit" Category="0" EventIdentifier="3221226487" EventCode="1015" ComputerName="era-nb.diasoft.ru" Message="Критический системный процесс &quot;C:\WINDOWS\system32\lsass.exe&quot; завершился ошибкой с кодом состояния c0000374.  Необходимо перезагрузить компьютер." />
<ErrorLogEntry TimeGenerated="20210304095816.969326-000" Logfile="Application" SourceName="Microsoft-Windows-Wininit" Category="0" EventIdentifier="3221226487" EventCode="1015" ComputerName="era-nb.diasoft.ru" Message="Критический системный процесс &quot;C:\WINDOWS\system32\lsass.exe&quot; завершился ошибкой с кодом состояния c0000374.  Необходимо перезагрузить компьютер." />
<ErrorLogEntry TimeGenerated="20210304095526.431070-000" Logfile="Application" SourceName="Microsoft-Windows-Wininit" Category="0" EventIdentifier="3221226487" EventCode="1015" ComputerName="era-nb.diasoft.ru" Message="Критический системный процесс &quot;C:\WINDOWS\system32\lsass.exe&quot; завершился ошибкой с кодом состояния c0000374.  Необходимо перезагрузить компьютер." />
<ErrorLogEntry TimeGenerated="20210304095236.400185-000" Logfile="Application" SourceName="Microsoft-Windows-Wininit" Category="0" EventIdentifier="3221226487" EventCode="1015" ComputerName="era-nb.diasoft.ru" Message="Критический системный процесс &quot;C:\WINDOWS\system32\lsass.exe&quot; завершился ошибкой с кодом состояния c0000374.  Необходимо перезагрузить компьютер." />
<ErrorLogEntry TimeGenerated="20210304094947.578549-000" Logfile="Application" SourceName="Microsoft-Windows-Wininit" Category="0" EventIdentifier="3221226487" EventCode="1015" ComputerName="era-nb.diasoft.ru" Message="Критический системный процесс &quot;C:\WINDOWS\system32\lsass.exe&quot; завершился ошибкой с кодом состояния c0000374.  Необходимо перезагрузить компьютер." />
<ErrorLogEntry TimeGenerated="20210304094657.452524-000" Logfile="Application" SourceName="Microsoft-Windows-Wininit" Category="0" EventIdentifier="3221226487" EventCode="1015" ComputerName="era-nb.diasoft.ru" Message="Критический системный процесс &quot;C:\WINDOWS\system32\lsass.exe&quot; завершился ошибкой с кодом состояния c0000374.  Необходимо перезагрузить компьютер." />
<ErrorLogEntry TimeGenerated="20210304094401.220130-000" Logfile="Application" SourceName="Microsoft-Windows-Wininit" Category="0" EventIdentifier="3221226487" EventCode="1015" ComputerName="era-nb.diasoft.ru" Message="Критический системный процесс &quot;C:\WINDOWS\system32\lsass.exe&quot; завершился ошибкой с кодом состояния c0000374.  Необходимо перезагрузить компьютер." />

(exit 0)

#4 Jumbo Frame

Jumbo Frame

    Member

  • Posters
  • 140 Сообщений:

Отправлено 04 Март 2021 - 17:39

Там не BSOD, а сообщение вида

 

imge_13671.png

 

Если lsass падает, то поведение вполне закономерное... Почему вот только он падает, когда 12-й клиент инициализируется...

 

Насчёт дампа посмотрю, конечно, как машина в сети объявится - у нас тут пит-стоп, машины привозят на ремонт/апгрейд и увозят.


Dr.Web Server 13.00.1-202308170 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)


#5 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Март 2021 - 17:47

https://dirteam.com/sander/2020/11/10/knowledgebase-lsass-on-windows-10-version-20h2-crashes-and-reboots-unexpectedly-on-systems-with-renamed-built-in-administrator-or-guest-accounts/


(exit 0)

#6 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Март 2021 - 17:49

Но solutions какой-то странный.


Сообщение было изменено Kirill Polubelov: 04 Март 2021 - 17:49

(exit 0)

#7 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Март 2021 - 17:54

Тащем-то, отзываю предыдущий линк. Вот более полное обсуждение:

https://answers.microsoft.com/en-us/windows/forum/windows_10-performance/a-critical-system-process-cwindowssystem32lsassexe/a2b8d71e-4cf8-4b96-93ea-5856333ae95b

Вывод, по сути, один -- нужна более свежая Windows 10, нежели 10.0.19042 =)


Сообщение было изменено Kirill Polubelov: 04 Март 2021 - 17:56

(exit 0)

#8 Jumbo Frame

Jumbo Frame

    Member

  • Posters
  • 140 Сообщений:

Отправлено 04 Март 2021 - 17:58

Ну пока не горит... Подожду 21h1, на ком экспериментировать - теперь известно.


Dr.Web Server 13.00.1-202308170 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)


#9 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Март 2021 - 18:51

Конечно, интересно было бы узнать, в какой момент и почему именно провоцируется этот майкрософтовский баг. Есть ли тут наша доля, но, наших логов за процитированный выше период нет, отротировались.


(exit 0)

#10 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 04 Март 2021 - 18:58

Ну пока не горит... Подожду 21h1, на ком экспериментировать - теперь известно.

Зачем ждать? Вроде апдейт с фиксом есть и для 20H2

https://support.microsoft.com/ru-ru/topic/после-обновления-до-windows-10-версии-20h2-может-возникнуть-ошибка-при-доступе-к-параметрам-входов-или-привязке-пользователей-mmc-138e1980-1162-94ca-d537-1cd07887dc53


(exit 0)

#11 Jumbo Frame

Jumbo Frame

    Member

  • Posters
  • 140 Сообщений:

Отправлено 04 Март 2021 - 20:58

Что мне известно:

 

- встроенные учётные записи не переименовывались

- апдейты на машине стоят из январской раздачи

 

Если закрыть на это глаза, то

После обновления до Windows 10 версии 20H2 в LSASS.exe может возникнуть ошибка с текстом "Компьютер автоматически перезапустится через минуту" при взаимодействии с любым диалоговое окном, в которое перечислены пользователи ( например, доступ к странице параметров входов или папка пользователей в приложении Local user and groups MMC snap-in). Эта проблема затрагивает только устройства, на которых были переименованы локальные встроенные учетные записи, такие как "Администратор" или "Гость"

 

В 12-й версии есть разграничение прав по пользователям, может, в этом дело? С 11-м то агентом всё прекрасно работает...

Во freshinstall, по идее, логи ещё не должны были успеть отротироваться, потому как от установки до сбора прошло от силы две перезагрузки (мог бы обойтись одной, но снять отчёт за минуту - это тот ещё аттракцион).


Сообщение было изменено Jumbo Frame: 04 Март 2021 - 20:58

Dr.Web Server 13.00.1-202308170 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)


#12 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 05 Март 2021 - 00:32

А переименовывает их не пользователь, и дело там в ошибке -- неуникальности SID-ов при этом.

 

Эта проблема вызвана дублированием встроенных учетных записей пользователей, которые создаются с одинаковыми идентификаторами безопасности (SID) и относительные идентификаторы (RID) во время обновления до Windows 10 версии 20H2. SiDs и RIDs для встроенных учетных записей пользователей хорошо известны как задокументированные здесь и должны быть уникальными на этом устройстве.

freshinstall -- это же где проблем нет? Вот кстати, винда там как раз, наверно и содержит январские апдейты?

А апдейт с семёрки делается на не свежий дистр, наверно.


Сообщение было изменено Kirill Polubelov: 05 Март 2021 - 00:33

(exit 0)

#13 Jumbo Frame

Jumbo Frame

    Member

  • Posters
  • 140 Сообщений:

Отправлено 05 Март 2021 - 11:01

Freshinstall - это та же система, что и в oldinstall, только после того, как АВ был удалён через remover.

Там lsass падает сразу, как только АВ устанавливается и появляется окно "установлены приоритетные компоненты, перезагрузитесь".


Dr.Web Server 13.00.1-202308170 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)


#14 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 05 Март 2021 - 11:32

lsass падает сразу, как только АВ устанавливается и появляется окно "установлены приоритетные компоненты, перезагрузитесь"

Больше похоже на баг, такое нужно попробовать воспроизвести.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#15 Jumbo Frame

Jumbo Frame

    Member

  • Posters
  • 140 Сообщений:

Отправлено 10 Март 2021 - 11:31

Удалось воспроизвести на клоне одной из проблемных машин.

Апдейт с Win7 с 11-м агентом до 20h2 (самый первый релиз MSDN), затем установка 12-го агента - ошибка, перезагрузка. На ней же открытие lusrmgr.msc, переход в раздел "Группы" - ошибка, перезагрузка.

Установил февральский накопительный апдейт - и всё стало нормально, ни оснастка не падает, ни АВ.

 

Правда, там аккаунты администратора и гостя не переименовывались, ну да ладно.

 

Если обновляться с 7 до 10 20h2 и на машине уже установлен 12-й агент - либо удалить агент перед установкой, либо достать с MSDN обновлённую февральскую версию ISO.

 

Всем спасибо за помощь..


Сообщение было изменено Jumbo Frame: 10 Март 2021 - 11:35

Dr.Web Server 13.00.1-202308170 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)



Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых