none
Computer Browser他、複数のサービスが停止してしまう

    質問

  • お世話になります。

    今朝より、Computer Browser他複数のサービスが、停止すると言う現象が発生しております。
    昨日までは発生しておらず、1回目(am6:30)発生後、現在(pm7:30)までに4回発生しています。
    尚、システムの変更・ソフトウェアのインストール等は行っていない事と、イベントログにも
    エラーや警告が発生していない事から、皆目見当がつかず困っております。
    何卒お力をお貸し下さい。

    状況を纏めると以下の通りです。

    1. サーバ環境は、Windows Server 2003 R2 Standard Edition SP1 (US)
    2. イベントログにエラーも無く、以下のサービスが停止します。
      ・ Automatic Updates
      ・ Computer Browser
      ・ Cryptographic Serevices
      ・ Distributed Link Tracking Client
      ・ Help and Support
      ・ HID Input Service
      ・ Logical Disk Manager
      ・ Secondary Logon
      ・ Server
      ・ Task Scheduler
      ・ Windows Audio
      ・ Wireless Configuration
      ・ Workstation

    3. 上記サービスが停止したと思われる時間に、以下の2つのイベントが同時に発生しております。
       Applicationのイベント
        Source   :EventSystem
        Category : None
        Type    : Information
        EventID  : 4625
        Description: The EventSystem sub system is suppressing
                               duplicate event log entries for a duration of
                               86400 seconds.  The suppression timeout can
                               be controlled by a REG_DWORD value named
                              SuppressDuplicateDuration under the following
                              registry key: HKLM\Software\Microsoft\EventSystem\EventLog.

       Systemのイベント
        Source      : AeLookupSvc
        Category   : None
        Type         : Information
        EventID    : 3
        Description: The Application Experience Lookup service started successfully.

    4. 以前、別のサーバで似たような現象が発生した事が有ったため、
      以下のKBを本件発生の3ヶ月前に適用しております。
        Windows Server 2003 では、サービスのホスト プロセスが突然停止します。
        http://support.microsoft.com/kb/932762/ja

    ヒントとなりそうな参考情報等があればお教え頂ければ幸いです。
    よろしくお願い致します。

    2009年10月15日 10:43

回答

  • 最新の状態の セキュリティ ソフトウェア による検査は実行されていますか?
    セキュリティ ソフトウェア の log の確認はされているでしょうか?

    Eventid.net から

    ent ID 4625 Source EventSystem
    http://www.eventid.net/display.asp?eventid=4625&eventno=5759&source=EventSystem&phase=1

    This message in itself is not directly related to a problem but it simply states that an application is attempting to record several identical events. In order to prevent a possible performance degradation because of this, the system is supressing the logging of these events for the time interval specified (usually 86400 seconds or 24 hours). The other events recorded before this one should provide some clues about the actual problem.


    AeLookupSvc に関しては、
    Processes application compatibility cache requests for applications as they are launched. If disabled, you may not be informed of compatability issues with certain software.
    というこです。

    > 上記サービスが停止したと思われる時間に、以下の2つのイベントが同時に発生しております

    それぞれの Services には Dependencies(依存関係) が存在するので、
    その時間帯だけでなく、 記録されている Error、 Warning Log をすべて検証してみたほうがよろしいと思います。 

    また、 それぞれの Service の Recovery の設定はどのようになっているでしょうか?
    2009年10月15日 15:26
  • こんにちは、フォーラムオペレーターの三沢健二です。

    eiv23 さん、その後いかがでしょうか?

    ご投稿された現象はウイルスの影響も考えられますので、JR K Yoshikawa さんもコメントされていましたように、まずはセキュリティソフトのスキャンを実施いただければと思います。

    また、TechNet フォーラム内に同様の事象についてのスレッドがありますので、参考にしていただければと。

    - 関連スレッド
    WinServer2003のサービスのsvchost.exe -k netsvcs で起動される全てのサービスが一斉に落ちてしまいます
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/b840ff70-061b-478a-b6a7-12bd8696b060

    Windows Server 2003 R2 でComputer Browserサービスが落ちてしまう
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/1d2ca822-98ea-4cfa-b592-84ba07955733

    svchost.exeが不定期にエラーで終了する
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/59a3d498-565c-432e-819f-7fbf52501dd8


    それでは、こちらの情報が少しでもお役にたてれば幸いです (^^)/

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年10月22日 5:31
    モデレータ

すべての返信

  • 最新の状態の セキュリティ ソフトウェア による検査は実行されていますか?
    セキュリティ ソフトウェア の log の確認はされているでしょうか?

    Eventid.net から

    ent ID 4625 Source EventSystem
    http://www.eventid.net/display.asp?eventid=4625&eventno=5759&source=EventSystem&phase=1

    This message in itself is not directly related to a problem but it simply states that an application is attempting to record several identical events. In order to prevent a possible performance degradation because of this, the system is supressing the logging of these events for the time interval specified (usually 86400 seconds or 24 hours). The other events recorded before this one should provide some clues about the actual problem.


    AeLookupSvc に関しては、
    Processes application compatibility cache requests for applications as they are launched. If disabled, you may not be informed of compatability issues with certain software.
    というこです。

    > 上記サービスが停止したと思われる時間に、以下の2つのイベントが同時に発生しております

    それぞれの Services には Dependencies(依存関係) が存在するので、
    その時間帯だけでなく、 記録されている Error、 Warning Log をすべて検証してみたほうがよろしいと思います。 

    また、 それぞれの Service の Recovery の設定はどのようになっているでしょうか?
    2009年10月15日 15:26
  • JR K Yoshikawaさん

    情報とご指摘いただき、ありがとうございます。

    > それぞれの Services には Dependencies(依存関係) が存在するので、
    > その時間帯だけでなく、 記録されている Error、 Warning Log をすべて検証してみたほうがよろしいと思います。 

    Warningについては、バックアップ取得の関係で今回停止したサービスとは別のサービスを
    停止しているのですが、このサービスが停止している旨のログが、Applicationのイベントログに
    毎日一回発生しています。
    ただ、このサービスには依存関係はありません。

    その他のErrorとWarningについては、一週間以上何も発生しておらず、直近で発生しているエラーでは
    Systemのイベントに、リモートデスクトップのクライアント設定で「プリンタを使用する」のチェックが入っているため
    発生する下記のエラーが数回あります。
    このエラー以外は、Warningも含めございません。

    Source   : TermServDevices
    Category : None
    Type    : Error
    EventID  : 1111
    Description: <プリンタ名> required for printer !!< IPアドレス>!< プリンタ名 > is unknown.
                       Contact the administrator to install the driver before you log in again.


    > また、 それぞれの Service の Recovery の設定はどのようになっているでしょうか?

    停止したサービスについて確認しました。
    "Help and Support"と"Task Scheduler"は、以下のような設定となっております。

    First failure             : Restart the Service
    Second failure         : Restart the Service
    Subsequent failures : Take No Action
    Reset fail count after : 1 days
    Restart service after : 0 minutes

    その他のサービスは、"Take No Action"となっております。

    追加で気付いた点があります。
    今回の事象と関係が有るか分からないのですが、1回目の事象が発生した後より
    リモートデスクトップで接続した前後で、以下のイベントがSystemのイベントに
    出力されるようになりました。

    接続時
        Source   :Service Control Manager
        Category : None
        Type    : Information
        EventID  : 7036
        Description: The Telephony service entered the running state.

        Source   :Service Control Manager
        Category : None
        Type    : Information
        EventID  : 7035
        Description: The Remote Access Connection Manager service was successfully
                               sent a start control.

        Source   :Service Control Manager
        Category : None
        Type    : Information
        EventID  : 7036
        Description: The Remote Access Connection Manager service entered the running state.

    ログオフ後
        Source   :Service Control Manager
        Category : None
        Type    : Information
        EventID  : 7036
        Description: The Remote Access Connection Manager service entered the stopped state.

        Source   :Service Control Manager
        Category : None
        Type    : Information
        EventID  : 7036
        Description: The Telephony service entered the stopped state.


    まずは、停止したサービスの依存関係を調べてみます。
    他に、確認すべき項目等がございましたら、お教えいただければ幸いです。
    よろしくお願い申し上げます。
    2009年10月16日 2:33
  • こんにちは、フォーラムオペレーターの三沢健二です。

    eiv23 さん、その後いかがでしょうか?

    ご投稿された現象はウイルスの影響も考えられますので、JR K Yoshikawa さんもコメントされていましたように、まずはセキュリティソフトのスキャンを実施いただければと思います。

    また、TechNet フォーラム内に同様の事象についてのスレッドがありますので、参考にしていただければと。

    - 関連スレッド
    WinServer2003のサービスのsvchost.exe -k netsvcs で起動される全てのサービスが一斉に落ちてしまいます
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/b840ff70-061b-478a-b6a7-12bd8696b060

    Windows Server 2003 R2 でComputer Browserサービスが落ちてしまう
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/1d2ca822-98ea-4cfa-b592-84ba07955733

    svchost.exeが不定期にエラーで終了する
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/59a3d498-565c-432e-819f-7fbf52501dd8


    それでは、こちらの情報が少しでもお役にたてれば幸いです (^^)/

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年10月22日 5:31
    モデレータ
  • eiv23 さん、

    こんにちは!
    フォーラム オペレーターの服部 清次です。

    eiv23 さんがこちらの質問を投稿されてから少し時間が経ちましたが、その後の状況はいかがでしょうか?
    eiv23 さんが遭遇された現象は、いくつかの原因が考えられるのですが、まずはセキュリティ ソフトでスキャンするところからご確認いただくのが良いのではないかと思います。

    今回、1つの情報として、JR K Yoshikawa さんと弊社の三沢健二の回答が参考になるのではないかと思いましたので、勝手ながら、ひとまず私の方で [回答としてマーク] のチェックを付けさせていただきました。
    もし eiv23 さんの方でスキャンを行なっていただいた後で、まだ疑問が残っているようでしたら、遠慮なく [回答としてマーク] のチェックを外して返信してください。 (^^)

    今後とも、TechNet フォーラムをよろしくお願いします。
    それでは、また! (^_^)/


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2009年11月6日 1:43
    モデレータ