none
lsass.exeでの再起動 RRS feed

  • 質問

  • 知識、経験のある方、教えてください

    困っている事
    WindowsServerにて想定していないタイミングで再起動されてしまう

    調べて分かった事1
    以下のメッセージがイベントビューアに出力されていること。
    重要なシステム プロセス C:\Windows\system32\lsass.exe に失敗しました (状態コード: c0000005)。
    コンピューターを再起動する必要があります。

    調べて分かった事2
    lsass.exe
    のメモリ使用量が、毎日増え続けている事
    1日あたり、4MBくらいずつ増えていきます

    目指したいゴール
    不意に再起動しないようにしたい。
    原因と対応、追加で調査すべき事項があれば教えて頂けると幸いです
    2019年11月15日 0:40

回答

  • BSOD は発生していませんでしたか。。。。
    この手のエラーは BSOD になってくれた方が、原因を特定しやすいんですよね。
    (皮肉なことですけど。wwww)

    でも、提示された Log を見ると WER が LsaSrv 内のでの例外を検出しているようなので、そのエラーを調べれば原因を特定できるかも。
    とりあえず下記サイトを参考に WER に関するレジストリ設定を行い、lsass プロセス内で STATUS_ACCESS_VIOLATION エラーが発生したタイミングでプロセス ダンプを採取出来ないか、試してみてください。
    ------------------------------------------------------
    [Windows Server]プロセスダンプの取得方法
    https://www.ibm.com/support/pages/windows-serverプロセスダンプの取得方法
    ------------------------------------------------------

    プロセス ダンプが採取できるのであれば、それを解析すればなにか手掛かりがつかめると思います。
    • 回答としてマーク suzuki-tooru 2019年11月26日 4:45
    2019年11月15日 7:32
  • クラッシュ時のダンプ採取と解析をされるのであれば、そちらを優先させた方が良いでしょう。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク suzuki-tooru 2019年11月26日 4:45
    2019年11月18日 2:47

すべての返信

  • 以前のバージョンの Windows Server では lsass.exe がクラッシュする不具合が確認されて修正プログラムが提供された経緯がありますが、Windows Server 2016 での問題ということでしょうか?

    Windows Server 2016 の更新(Windows Update)は行われているでしょうか?



    Hebikuzure aka Murachi Akira

    2019年11月15日 2:57
  • > 重要なシステム プロセス C:\Windows\system32\lsass.exe に失敗しました (状態コード: c0000005)。

    そこに、メモリ アクセス違反が発生したモジュール名等の、もっと詳細な情報が記載されていなっかったのですか?
    エラー コードだけを提示されても、それに付随する詳細情報が無ければ意味がありません、

    lsass.exe 内でエラー (例外?) が発生しているとのことですが、BSOD は発生していないのでしょうか?
    lsass.exe は、Windows システムにおける主要サービス プロセスの一つなので、このプロセス内でエラーが発生した場合、CRITICAL_PROCESS_DIED (Bug Check 0xEF) か WINLOGON_FATAL_ERROR (Bug Check 0xC000021A) で BSOD になると思うのです。
    BSOD が発生している場合、システム ログに "Kernel-Power 41" のエラー ログが記録されるので、再起動がかかった時間帯にシステム ログに "Kernel-Power 41" のエラーが記録されていないか、確認されることをお勧めします。
    "Kernel-Power 41" エラー ログが記録されているのであれば、BSOD が発生した際に生成されるダンプ ファイルを解析すれば、何か手掛かりが掴めると思います。
    逆に "Kernel-Power 41" エラー ログが記録されていない場合は。。。。もっと詳細なエラー情報がないと何とも言えません。
    2019年11月15日 4:03
  • 返信ありがとうございます

    WindowsUpdateについては、2019年11月12日に実施済みです

    2019年11月15日 6:01
  • 返信ありがとうございます

    システム ログに "Kernel-Power 41" のエラーはありませんでした。

    システムログは以下を確認できました。

    セキュリティ パッケージ Kerberos は例外を生成しました。例外情報はデータです。

    ログの名前:システム
    ソース:LSA (LsaSrv)
    イベントID:5000
    レベル:エラー

    ---------------------------------

    Windows Error Reporting Service サービスは 実行中 状態に移行しました。
    ログの名前:システム
    ソース:Service Control Manager
    イベントID:7036
    レベル:情報

    ---------------------------------

    次の理由で、プロセス wininit.exe は、ユーザー  の代わりに、コンピューター hogehoge の 再起動 を始めました: この理由のタイトルが見つかりません
     理由コード: 0x50006
     シャットダウンの種類: 再起動
     コメント: システム プロセス 'C:\Windows\system32\lsass.exe' は、状態コード -1073741819 で突然終了しました。システムをシャットダウンし、再起動します。

    ログの名前:システム
    ソース:User32
    イベントID:1074
    レベル:情報

    2019年11月15日 6:16
  • BSOD は発生していませんでしたか。。。。
    この手のエラーは BSOD になってくれた方が、原因を特定しやすいんですよね。
    (皮肉なことですけど。wwww)

    でも、提示された Log を見ると WER が LsaSrv 内のでの例外を検出しているようなので、そのエラーを調べれば原因を特定できるかも。
    とりあえず下記サイトを参考に WER に関するレジストリ設定を行い、lsass プロセス内で STATUS_ACCESS_VIOLATION エラーが発生したタイミングでプロセス ダンプを採取出来ないか、試してみてください。
    ------------------------------------------------------
    [Windows Server]プロセスダンプの取得方法
    https://www.ibm.com/support/pages/windows-serverプロセスダンプの取得方法
    ------------------------------------------------------

    プロセス ダンプが採取できるのであれば、それを解析すればなにか手掛かりがつかめると思います。
    • 回答としてマーク suzuki-tooru 2019年11月26日 4:45
    2019年11月15日 7:32
  • あと、特定のセキュリティ対策ソフトが原因で lsass.exe がメモリ リークするという事例もありましたが、このサーバーでは何かサードパーティー製のセキュリティ対策ソフトを入れていますか?


    Hebikuzure aka Murachi Akira

    2019年11月15日 7:42
  • 返信ありがとうございます

    プロセスダンプ取得の設定追加を実施しました。次回再起動時に確認いたします

    2019年11月17日 23:25
  • 返信ありがとうございます

    サードパーティー製のセキュリティ対策ソフトですが、ウイルスバスターXGを導入しております

    ウイルスバスターXGを停止して、現象が再現するかどうかを経過観察した方が良いという事でしょうか?

    2019年11月17日 23:29
  • クラッシュ時のダンプ採取と解析をされるのであれば、そちらを優先させた方が良いでしょう。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク suzuki-tooru 2019年11月26日 4:45
    2019年11月18日 2:47
  • suzuki-tooruさん、こんにちは。フォーラムオペレーターのFarenaです。

    TechNetフォーラムにご投稿くださいましてありがとうございます。

     

    その後のご状況いかがでしょうか。

    さんから寄せられた情報はお役に立ちましたか。

     

    参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、ご協力くださいますようお願いいたします。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年11月22日 8:27
    モデレータ