none
Server starten sich selbst neu - lsass.exe Statuscode c0000409 RRS feed

  • Allgemeine Diskussion

  • Hallo,

    ich habe hier mehrere Domänen Controller unter Win 2016 die sich immer sporadisch von selbst neustarten. Mit

    Event 1015:

    Ein kritischer Systemprozess C:\WINDOWS\system32\lsass.exe ist fehlgeschlagen mit den Statuscode c0000409. Der Computer muss neu gestartet werden.

    und

    Event 1000

    ame der fehlerhaften Anwendung: lsass.exe, Version: 10.0.14393.1480, Zeitstempel: 0x595f2e8e
    Name des fehlerhaften Moduls: ntdsai.dll, Version: 10.0.14393.1480, Zeitstempel: 0x595f2c8b
    Ausnahmecode: 0xc0000409
    Fehleroffset: 0x0000000000180f99
    ID des fehlerhaften Prozesses: 0x288
    Startzeit der fehlerhaften Anwendung: 0x01d30d18a3442d9e
    Pfad der fehlerhaften Anwendung: C:\WINDOWS\system32\lsass.exe
    Pfad des fehlerhaften Moduls: C:\WINDOWS\system32\ntdsai.dll
    Berichtskennung: a7910f75-c7ac-4c9b-83c6-e8ddb2830247
    Vollständiger Name des fehlerhaften Pakets:
    Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

    Habt Ihr eine Idee woran das liegen kann. Tritt seit ca drei Wochen auf. Davor lief die Umgebung die letzten Monate ohne Probleme. Einmal haben sich alle DCs auf einmal neugestartet. Kann das von einem fehlerhaften Client ausgehen?

    Freitag, 11. August 2017 12:49

Alle Antworten

  • Taucht da ggf. ein alter Virus wieder auf?
    Um das Jahr 2000 herum, gab es einen Internetangriff (also Attacke, kein Virus), der den LSASS-Prozess (zuständig für Anmeldeüberwachung) zwanghaft beendete, was das System zum runterfahren zwang.
    Allerdings kann ich michnicht mehr erinnern, was man dagegen unternommen hatte.

    Freitag, 11. August 2017 12:58
  • Moin,

    läuft ein residenter Antivirus auf den DCs und sind die von MSFT vorgeschriebenen Ausnahmen exakt umgesetzt worden? Wenn nur ein DC betroffen wäre, könnte ich mir auch die Dateikorruption vorstellen, aber bei mehreren gleichzeitig wird es wohl entweder ein Patch oder ein fehlender Patch für einen Patch oder eine neue AV-Engine oder so etwas sein. Aber einmal eine semantische Datenbank-Konsistenzprüfung zu machen, kann nicht schaden...

    Wie weit ist bei euch Auditing aufgedreht? Da kann man evtl. sehen, ob irgendein Anfragensturm dem Absturz unmittelbar vorangeht... Aber eigentlich kann man den DSA vom Client aus kaum zum Absturz bringen.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Freitag, 11. August 2017 13:46
  • Hi,

    hatte die Antivirus-Regeln nochmal alle überarbeitet. Lief jetzt auch zwei Wochen sauber durch. Just haben sich drei von fünf gestern kurz vor 12:00 innerhalb von zwei Minuten neugestartet.

    In den Logs hab ich nichs weiter gefunden, was auffällig wäre. Am Sonntag haben wir auch nicht allzuviel Last auf den Maschinen. Werde mal einen DB-check die Tage machen lassen. Ich werde das Gefühl nicht los, dass ein Client das Problem verursacht mit einer fehlerhaften Anfrage.

    Werde weiter berichten.

    Montag, 28. August 2017 06:49
  • Soweit ich mich erinnere war das damals eine Sicherheitslücke in Windows  Kann mir kaum vorstellen, dass nach 17 Jahren diese Lücke auf einmal wieder auftaucht.
    Sobald der Hinweis kommt, dass der Rechner neu gestartet wird, kann man es mit "shutdown -a" verhindern.
    Montag, 11. September 2017 19:30