katbert

Начал падать один из KSWS10 [В процессе]

32 posts in this topic

На следующий день после установки патча B на сервер KSC, на одном из файловых серверов начал падать KSWS без видимых причин. На этот файловый сервер - патчи не ставились.

В журнале System - типовые ошибки от Service Control Manager

Служба Kaspersky Security Service была неожиданно завершена. Это произошло 20 раз(а). Следующее корректирующее действие будет предпринято через 1000 мсек: Перезапуск службы.

На KSWS10 стоит только авто-патч:

Critical Fix AntiCryptor 4 (KB12644) : http://support.kaspersky.com/find?faq_id=12644

Critical Fix ProductCore 3 (KB13017) : http://support.kaspersky.com/find?faq_id=13017

 

Share this post


Link to post
Share on other sites

Служба аварийно перезапускалась, но не могла перезапуститься. Через диспетчер задач поубивал процессы kavfswp.exe - и служба таки смогла запуститься. KSWS проработал почти полтора часа без ошибок. Остановил службу и снова попробовал запустить - опять начались падения.

 

Отключил автоматический перезапуск при отказе для службы Kaspersky Security Service - все равно упала при попытке запуска. 3 процесса kavfswp.exe при этом остались в диспетчере задач

Edited by katbert

Share this post


Link to post
Share on other sites

И еще деталь - с момента, когда начала падать служба, в журнале Kaspersky Security стали фиксироваться необработанные исключения

post-5449-1482484410_thumb.png

Share this post


Link to post
Share on other sites

При попытке запуска службы и ее падении еще фиксируются такие ошибки в журнале Kaspersky Security:

 

Внутренняя ошибка в ходе выполнения задачи.

 

Имя задачи: Н/Д.

Код ошибки: 4294967295.

 

Источники таких ошибок:

Cloud protection by KSN

Real-time file protection

OnDemandScan

Share this post


Link to post
Share on other sites

Добрый день!

 

Мы передали информацию ответственным лицам.

Обновим топик как только получим от них ответ.

 

Спасибо!

Share this post


Link to post
Share on other sites
Служба аварийно перезапускалась, но не могла перезапуститься. Через диспетчер задач поубивал процессы kavfswp.exe - и служба таки смогла запуститься. KSWS проработал почти полтора часа без ошибок. Остановил службу и снова попробовал запустить - опять начались падения.

 

Отключил автоматический перезапуск при отказе для службы Kaspersky Security Service - все равно упала при попытке запуска. 3 процесса kavfswp.exe при этом остались в диспетчере задач

Здравствуйте,

 

Пожалуйста, включите в KSWS10 опцию генерации дампов при падении:

 

post-27-1482491056_thumb.png

 

И сгенерированные дампы пришлите нам. Если сервис не поднимается совсем, то трейсы можно включить через реестр:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.0\CrashDump]

"Enable"=dword:00000001

"Folder"="c:\\Trace\\"

 

Нужно указывать имя уже существующей папки.

Share this post


Link to post
Share on other sites
Здравствуйте,

 

Пожалуйста, включите в KSWS10 опцию генерации дампов при падении:

Отправил ссылку на дамп в личку

Share this post


Link to post
Share on other sites
Отправил ссылку на дамп в личку

Спасибо, получил, проблема ясна.

 

Судя по всему, на этой машине периодически очищается журнал Windows Security Event Log. Это действительно так?

Share this post


Link to post
Share on other sites

Как раз за день до начала проблем менял настройки журнала security с "перезаписывать при необходимости" на "архивировать при заполнении"

В результате события складируются в файлах типа Archive-Security-2016-12-21-17-32-14-914.evtx

Edited by katbert

Share this post


Link to post
Share on other sites
Как раз за день до начала проблем менял настройки журнала security с "перезаписывать при необходимости" на "архивировать при заполнении"

В результате события складируются в файлах типа Archive-Security-2016-12-21-17-32-14-914.evtx

Это всё объясняет, спасибо. Мы исправляли эту ситуацию в одном из более поздних патчей, чем у Вас установлены.

 

Можете запросить у поддержки патч Core10 для KSWS10? Там это точно исправлено.

Share this post


Link to post
Share on other sites

Патч запрошу в понедельник.

Пока что вернул настройки журнала system на "перезаписывать при необходимости" и KSWS падать перестал.

Спасибо за быстрые ответы!

Share this post


Link to post
Share on other sites

Передумал запрашивать патч :-(

 

Сегодня был еще более дикий случай - понадобилось подцепить к серверу 2008 R2 SP1 дополнительный HDD для бекапов. Но при попытке отформатировать раздел консоль Управление дисками переставала подавать признаки жизни. Windows не могла даже корректно перезагрузиться. Способность форматировать диски вернулась к системе только после удаления KSWS и перезагрузки. Отключение службы KSWS не помогало.

 

Пока что откатываюсь на wsee 8.0.2

Edited by katbert

Share this post


Link to post
Share on other sites
Передумал запрашивать патч :-(

 

Сегодня был еще более дикий случай - понадобилось подцепить к серверу 2008 R2 SP1 дополнительный HDD для бекапов. Но при попытке отформатировать раздел консоль Управление дисками переставала подавать признаки жизни. Windows не могла даже корректно перезагрузиться. Способность форматировать диски вернулась к системе только после удаления KSWS и перезагрузки. Отключение службы KSWS не помогало.

 

Пока что откатываюсь на wsee 8.0.2

А почему патч-то передумали запрашивать? Может, он всё это и решает как раз.

Share this post


Link to post
Share on other sites
А почему патч-то передумали запрашивать? Может, он всё это и решает как раз.

На этом сервере стабильность важнее. Да и общих папок там почти нет, стоит MS SQL и 1С. Так что защита от шифровальщиком там не особо актуальна.

Патч позже потестирую, на чем не жалко.

 

А среди уже исправленных бета-версиями патчей KSWS10 есть ли подобная бага, которая мешает форматированию дисков?

Share this post


Link to post
Share on other sites
А среди уже исправленных бета-версиями патчей KSWS10 есть ли подобная бага, которая мешает форматированию дисков?

С проблемами при форматировании никогда не сталкивался - если что и было, до команды такая проблема не доходила.

 

В Core10 обновлённый файловый драйвер, поэтому есть вероятность, что он помог бы.

 

Share this post


Link to post
Share on other sites
А среди уже исправленных бета-версиями патчей KSWS10 есть ли подобная бага, которая мешает форматированию дисков?

И снова здравствуйте.

 

Сегодня разбирались с похожей проблемой у клиента - тормоза сервера при попытке отформатировать NTFS-раздел. Как выяснилось, виноват драйвер Акрониса snapman.sys, который при обработке нотификации от PnP-менеджера открывает файлы прямо в потоке обработчика.

 

У вас, случайно, на том сервере с проблемой ничего от Акрониса не установлено?

 

В KSWS10 SP1 мы перейдём на другую схему обработки томов и такой проблемы не будет.

Share this post


Link to post
Share on other sites
И снова здравствуйте.

 

Сегодня разбирались с похожей проблемой у клиента - тормоза сервера при попытке отформатировать NTFS-раздел. Как выяснилось, виноват драйвер Акрониса snapman.sys, который при обработке нотификации от PnP-менеджера открывает файлы прямо в потоке обработчика.

 

У вас, случайно, на том сервере с проблемой ничего от Акрониса не установлено?

 

В KSWS10 SP1 мы перейдём на другую схему обработки томов и такой проблемы не будет.

 

Да, установлен Acronis Backup 11.7.44421 для Windows Server.

Share this post


Link to post
Share on other sites

Еще на одном сервере с Windows Server 2012 и KSWS10 с релизными патчами (Critical Fix AntiCryptor 4 и Critical Fix ProductCore 3) есть странная проблема, и тоже с журналами событий. По сети с другого сервера раз в день делается выборка журнала событий с помощью утилиты psloglist.

Но с этого сервера время от времени события собираться перестают, лечится только перезагрузкой ОС.

Есть ли среди уже исправленных багов KSWS10 нечто подобное?

 

C:\Scripts>psloglist \\server -d 1 -s sys

 

PsLoglist v2.70 - local and remote event log viewer

Copyright © 2000-2009 Mark Russinovich

Sysinternals - www.sysinternals.com

 

System log on \\server:

Could not open System event log on fileserv:

Сервер RPC занят и не может завершить операцию.

Share this post


Link to post
Share on other sites
Еще на одном сервере с Windows Server 2012 и KSWS10 с релизными патчами (Critical Fix AntiCryptor 4 и Critical Fix ProductCore 3) есть странная проблема, и тоже с журналами событий. По сети с другого сервера раз в день делается выборка журнала событий с помощью утилиты psloglist.

Но с этого сервера время от времени события собираться перестают, лечится только перезагрузкой ОС.

Есть ли среди уже исправленных багов KSWS10 нечто подобное?

Здравствуйте,

 

А на этом сервере в журнале Windows Security Event Log много событий? И часто ли туда новые добавляются?

 

Share this post


Link to post
Share on other sites

Посмотрел в разгар рабочего дня - действительно, журнала Security размером 5 МБ хватало на 2 мин, после чего самые старые события перезаписывались

Отключил аудит успеха для категорий "Подключение платформы фильтрации" и "Сведения об общем файловом ресурсе" - журнал перестал заполняться так быстро. Однако удаленный сбор событий через psloglist не заработал. Установка Core13 тоже не изменила положения.

Share this post


Link to post
Share on other sites
Посмотрел в разгар рабочего дня - действительно, журнала Security размером 5 МБ хватало на 2 мин, после чего самые старые события перезаписывались

Отключил аудит успеха для категорий "Подключение платформы фильтрации" и "Сведения об общем файловом ресурсе" - журнал перестал заполняться так быстро. Однако удаленный сбор событий через psloglist не заработал. Установка Core13 тоже не изменила положения.

Удалённый сбор событий через psloglist не заработал после перегрузки сервера? Или после перегрузки заработал, а потом через некоторое время опять перестал собирать?

 

Share this post


Link to post
Share on other sites

Сервер не перезагружал - уменьшил количество фиксируемых событий аудита и установил Core13

Share this post


Link to post
Share on other sites
И снова здравствуйте.

 

Сегодня разбирались с похожей проблемой у клиента - тормоза сервера при попытке отформатировать NTFS-раздел. Как выяснилось, виноват драйвер Акрониса snapman.sys, который при обработке нотификации от PnP-менеджера открывает файлы прямо в потоке обработчика.

 

У вас, случайно, на том сервере с проблемой ничего от Акрониса не установлено?

 

В KSWS10 SP1 мы перейдём на другую схему обработки томов и такой проблемы не будет.

Еще одна проблема с Acronis, уже с недавно вышедшей версией 12.5.

На одном сервере стоит агент Acronis 12.5 и АВК WSEE 8.0.2, перед запуском бекапа там гасятся некоторые службы, включая kavfs

На втором сервере установлен Acronis 11.7.44421 и подключен отдельный SATA-диск, на котором есть общая папка под бекапы. С предыдущей версией Acronis проблем не было. После перехода на 12.5 - задание бекапа стало выполняться через раз, иногда заканчиваясь невразумительной ошибкой internal error 4. В версии 12.5 и формат архивов поменялся - стал tibx.

 

Известны ли случаи проблем совместимости с Acronis 12.5?

Share this post


Link to post
Share on other sites
Еще одна проблема с Acronis, уже с недавно вышедшей версией 12.5.

На одном сервере стоит агент Acronis 12.5 и АВК WSEE 8.0.2, перед запуском бекапа там гасятся некоторые службы, включая kavfs

На втором сервере установлен Acronis 11.7.44421 и подключен отдельный SATA-диск, на котором есть общая папка под бекапы. С предыдущей версией Acronis проблем не было. После перехода на 12.5 - задание бекапа стало выполняться через раз, иногда заканчиваясь невразумительной ошибкой internal error 4. В версии 12.5 и формат архивов поменялся - стал tibx.

 

Известны ли случаи проблем совместимости с Acronis 12.5?

 

Здравствуйте!

 

Случаев несовместимости с Acronis Backup 12.5 пока что не выявлено.

 

Уточните пожалуйста версию антивирусного ПО на сервере, где установлен Acronis Backup 12.5.

 

Спасибо!

Share this post


Link to post
Share on other sites
Здравствуйте!

 

Случаев несовместимости с Acronis Backup 12.5 пока что не выявлено.

 

Уточните пожалуйста версию антивирусного ПО на сервере, где установлен Acronis Backup 12.5.

 

Спасибо!

 

На одном сервере стоит агент Acronis 12.5 и АВК WSEE 8.0.2

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now