Здравствуйте!
Есть проблема. Периодически пропадает возможность подключиться к некоторым серверам, как по RDP так и через консоль. При попытке подключения сервера висят в черном экране.
Журнал ошибок пестрит ошибками с Event ID 1000
Текст ошибки 1
Faulting application name: cmd.exe, version: 6.3.9600.17415, time stamp: 0x545042b1
Faulting module name: KERNELBASE.dll, version: 6.3.9600.18969, time stamp: 0x5aa29ff0
Exception code: 0xc0000142
Fault offset: 0x00000000000ecf30
Faulting process id: 0x6058
Faulting application start time: 0x01d5412d76c7194f
Faulting application path: C:\Windows\system32\cmd.exe
Faulting module path: KERNELBASE.dll
Report Id: b47869db-ad20-11e9-8145-0050568256e7
Faulting package full name:
Faulting package-relative application ID:
Текст ошибки 1- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Application Error" />
<EventID Qualifiers="0">1000</EventID>
<Level>2</Level>
<Task>100</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2019-07-23T08:05:59.000000000Z" />
<EventRecordID>164967</EventRecordID>
<Channel>Application</Channel>
<Computer>MOS-RDS-UPD.nasta.local</Computer>
<Security />
</System>
- <EventData>
<Data>cmd.exe</Data>
<Data>6.3.9600.17415</Data>
<Data>545042b1</Data>
<Data>KERNELBASE.dll</Data>
<Data>6.3.9600.18969</Data>
<Data>5aa29ff0</Data>
<Data>c0000142</Data>
<Data>00000000000ecf30</Data>
<Data>6058</Data>
<Data>01d5412d76c7194f</Data>
<Data>C:\Windows\system32\cmd.exe</Data>
<Data>KERNELBASE.dll</Data>
<Data>b47869db-ad20-11e9-8145-0050568256e7</Data>
<Data />
<Data />
</EventData>
</Event>
Поиск в интернете вывел сначала на вот эту
тему После прочтения полез смотреть реестр, и нашел следующий "подозрительный" ключ в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AlternateShells\AvailableShells]
"30000"="cmd.exe /c \"cd /d \"%USERPROFILE%\" & start cmd.exe /k runonce.exe /AlternateShellStartup\""
По данному ключу реестра, на Technet есть
тема что вроде бы это не страшно, и нормально. И что эту ветку можно удалить.
Пробежался скриптом, вроде бы по удалял данный ключ. Вроде бы проблема исчезла (хотелось бы думать), по крайней мере ошибка из логов исчезла, и сервера перестали впадать в "черный экран"Но вот сегодня на одном сервере проблема повторилась, хотя ключ в реестре был удален. Но ошибка в журнале все та же...
Вопрос: что означает такая ошибка? Где искать проблему? Как исправлять?
UPD: Еще немного симптомы:
1. Невозможно войти в систему ни через RDP ни через консоль. В RDP черный экран, в консоли – бесконечный логин.
2. ОЧЕНЬ долгий доступ по сетевой шаре. Напр. \\servername\c$\. Ожидание открытия папки – 15 – 30 минут.
3. Удаленно не запускается cmd.
4. Если в момент проблемы находится внутри ВМ, то не запускается ни taskmanager, ни cmd, ни большинство оболочек. Если cmd работал, то в нем не проходят большинство команд. Tasklist, netstat и т.п.
5. При попытке перезагрузки через управлялку ВМ зависает. Помогает только reset либо poweroff/on.
6. При этом, ВМ продолжает нормально функционировать в своих ролях. БД SQL работают, профили пользователей с RDS успешно пробрасываются на сервера фермы и работают. Деградации производительности также не замечено.
Еще одно UPD:Вот еще один лог этой ошибкиVersion=1
EventType=APPCRASH
EventTime=132083550404956444
ReportType=2
Consent=1
ReportIdentifier=4c21a276-ad3d-11e9-8145-0050568256e7
IntegratorReportIdentifier=4c21a275-ad3d-11e9-8145-0050568256e7
NsAppName=cmd.exe
Response.type=4
Sig[0].Name=Application Name
Sig[0].Value=cmd.exe
Sig[1].Name=Application Version
Sig[1].Value=6.3.9600.17415
Sig[2].Name=Application Timestamp
Sig[2].Value=545042b1
Sig[3].Name=Fault Module Name
Sig[3].Value=KERNELBASE.dll
Sig[4].Name=Fault Module Version
Sig[4].Value=6.3.9600.18969
Sig[5].Name=Fault Module Timestamp
Sig[5].Value=5aa29ff0
Sig[6].Name=Exception Code
Sig[6].Value=c0000142
Sig[7].Name=Exception Offset
Sig[7].Value=00000000000ecf30
DynamicSig[1].Name=OS Version
DynamicSig[1].Value=6.3.9600.2.0.0.272.7
DynamicSig[2].Name=Locale ID
DynamicSig[2].Value=1049
DynamicSig[22].Name=Additional Information 1
DynamicSig[22].Value=ac05
DynamicSig[23].Name=Additional Information 2
DynamicSig[23].Value=ac0507478d1c5bd693cfc4fe3987e900
DynamicSig[24].Name=Additional Information 3
DynamicSig[24].Value=ac05
DynamicSig[25].Name=Additional Information 4
DynamicSig[25].Value=ac0507478d1c5bd693cfc4fe3987e900
UI[2]=C:\Windows\system32\cmd.exe
UI[5]=Check online for a solution (recommended)
UI[6]=Check for a solution later (recommended)
UI[7]=Close
UI[8]=Windows Command Processor stopped working and was closed
UI[9]=A problem caused the application to stop working correctly. Windows will notify you if a solution is available.
UI[10]=&Close
LoadedModule[0]=C:\Windows\system32\cmd.exe
LoadedModule[1]=C:\Windows\SYSTEM32\ntdll.dll
FriendlyEventName=Stopped working
ConsentKey=APPCRASH
AppName=Windows Command Processor
AppPath=C:\Windows\system32\cmd.exe
NsPartner=windows
NsGroup=windows8
ApplicationIdentity=6BAB0CDF19924ED39BA09CBD56F0790C
Еще одно UPD:Еще одна ошибка которая объединяет- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
<EventID Qualifiers="0">10010</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2019-07-23T19:47:23.759114000Z" />
<EventRecordID>151680</EventRecordID>
<Correlation />
<Execution ProcessID="656" ThreadID="15576" />
<Channel>System</Channel>
<Computer>mos-qlik-uat.nasta.local</Computer>
<Security UserID="S-1-5-18" />
</System>
- <EventData>
<Data Name="param1">{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}</Data>
</EventData>
</Event>
