none
W2K8R2_64: Bluescreen (BAD_SYSTEM_CONFIG_INFO) nach Installation Updates 14.11.2013 (ausgelöst durch KB2875783) RRS feed

  • Allgemeine Diskussion

  • Nach den automatischen Updates startete der Server in einer Endlosschleife, ausgelöst durch einen Bluescreen.
    Der Server läuft unter Hyper-V(auch 2K8R2), eine weitere Windows Server 2008 R2 Instanz hat das Update ohne Problem installiert.
    "Technisch" sind beide Server identisch, nur ist auf dem zweiten (laufenden) viel weniger Software installiert und dient nur zu Testzwecken.
    Den defekten Server habe ich durch die Auswahl "Zuletzt bekannte Konfiguration" und dem UNDO der Updates wieder lauffähig bekommen und heute die Installation der Updates einzeln wiederholt.
    Nach der Installation vom KB2875783 stürzt der Server nach dem Reboot ab: BAD_SYSTEM_CONFIG_INFO.
    Dazu finde ich nur das in diesem Fall die Registry defekt sein soll.
    Alle anderen Updates können ohne Probleme installiert werden.

    BAD_SYSTEM_CONFIG_INFO / STOP 0x00000074

    Was kann ich tun außer dieses Update erstmal auszuschließen?



    Sonntag, 17. November 2013 13:10

Alle Antworten

  • Auf dem betroffenen Server wird vermutlich veraltete Software verwendet, die noch auf der TDI-Schnittstelle beruht (pre-Windows Server 2008) jedoch seit Windows Server 2008 veraltet ist und deswegen nicht mehr verwendet werden soll. Das zugehörige Update KB2875783 ("AFC.sys") verändert dieses so, dass die veraltete Software nicht mehr damit zurecht kommt und vermutlich den Bluescreen verursacht.

    Deswegen: Analyisere, welche Software auf diese Schnittstelle beruht (z.B. u.a. Antivirus, Firewall oder VPN-Software) und trete mit dessen Support in Verbindung, ob es hierfür ein Update oder eine Alternative gibt.

    Hintegrund:

    [..]
    What is the Ancillary Function Driver (AFD)? 
    The AFD component provides the "ancillary function driver," which supports Windows sockets applications and is contained in the afd.sys file. The afd.sys driver runs in kernel mode and manages the Winsock TCP/IP communications protocol. This Winsock Kernel Interface provides access to the TDI transports.

    What is the Transport Driver Interface (TDI)? 
    The Transport Driver Interface (TDI) defines a kernel-mode network interface that is exposed at the upper edge of all transport protocol stacks. The highest level protocol driver in every such stack supports the TDI interface for still higher level kernel-mode network clients. For more information about the TDI Component, see the MSDN article, Transport
    [..]
    Source: http://technet.microsoft.com/en-us/security/bulletin/ms13-093

    [..]
    The TDI feature is deprecated and will be removed in future versions of Microsoft    Windows. Depending on how you use TDI, use either the Winsock Kernel (WSK) or Windows Filtering Platform    (WFP). For more information about WFP and WSK, see      Windows Filtering    Platform and      Winsock Kernel.
    [..]
    Source: http://msdn.microsoft.com/en-us/library/ff565685.aspx

     

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Montag, 18. November 2013 10:57
  • Deswegen: Analyisere, welche Software auf diese Schnittstelle beruht (z.B. u.a. Antivirus, Firewall oder VPN-Software) und trete mit dessen Support in Verbindung, ob es hierfür ein Update oder eine Alternative gibt.

    Der Virenscanner wäre dann ein Kandidat, auf dem zweiten Windows 2008 Server läuft dieser nicht.
    Allerdings ist dieser (Symantec 11 ohne Firewall) auch auf anderen WTS2008 installiert, nur nicht auf dem Testserver.
    Ansonsten ist nur "normale" Anwendungssoftware installiert und Software für den Kartenleser Cyber Jack.

    Wie kann man denn konkret ermitteln welche Software darauf beruht ohne nun alles zu deinstallieren und jedes Mal den Patch zu testen?

    Montag, 18. November 2013 11:38
  • Für Symantec SEP ist erst Version 11.0 Release Update 7 (11.0.7000) ohne TDI implementiert und deswegen offizielle für "Windows Server 2008 R2 Service Pack 1" supported - s.a. http://www.symantec.com/business/support/index?page=content&id=TECH94910

    Für alle andere, verwendete Software musst Du selbst analysieren welche ggf. noch TDI verwenden.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Montag, 18. November 2013 13:14
  • Für Symantec SEP ist erst Version 11.0 Release Update 7 (11.0.7000) ohne TDI implementiert und deswegen offizielle für "Windows Server 2008 R2 Service Pack 1" supported - s.a. http://www.symantec.com/business/support/index?page=content&id=TECH94910

    Danke für die Info, leider ist es schon das Update 7: 11.0.7000.795
    D.h. dann wohl Test & Try ...

    Montag, 18. November 2013 13:28