IPB

Welcome Guest ( Log In | Register )

2 Pages V   1 2 >  
Reply to this topicStart new topic
> Начал падать один из KSWS10 [В процессе], Возможно, после установки патча на сервер
katbert
post 23.12.2016 11:41
Post #1


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




На следующий день после установки патча B на сервер KSC, на одном из файловых серверов начал падать KSWS без видимых причин. На этот файловый сервер - патчи не ставились.
В журнале System - типовые ошибки от Service Control Manager
QUOTE
Служба Kaspersky Security Service была неожиданно завершена. Это произошло 20 раз(а). Следующее корректирующее действие будет предпринято через 1000 мсек: Перезапуск службы.

На KSWS10 стоит только авто-патч:
Critical Fix AntiCryptor 4 (KB12644) : http://support.kaspersky.com/find?faq_id=12644
Critical Fix ProductCore 3 (KB13017) : http://support.kaspersky.com/find?faq_id=13017
Go to the top of the page
 
+Quote Post
katbert
post 23.12.2016 13:00
Post #2


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




Служба аварийно перезапускалась, но не могла перезапуститься. Через диспетчер задач поубивал процессы kavfswp.exe - и служба таки смогла запуститься. KSWS проработал почти полтора часа без ошибок. Остановил службу и снова попробовал запустить - опять начались падения.

Отключил автоматический перезапуск при отказе для службы Kaspersky Security Service - все равно упала при попытке запуска. 3 процесса kavfswp.exe при этом остались в диспетчере задач

This post has been edited by katbert: 23.12.2016 13:04
Go to the top of the page
 
+Quote Post
katbert
post 23.12.2016 13:13
Post #3


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




И еще деталь - с момента, когда начала падать служба, в журнале Kaspersky Security стали фиксироваться необработанные исключения
Attached File(s)
Attached File  kavfswp.png ( 12,24K ) Number of downloads: 21
 
Go to the top of the page
 
+Quote Post
katbert
post 23.12.2016 13:29
Post #4


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




При попытке запуска службы и ее падении еще фиксируются такие ошибки в журнале Kaspersky Security:

QUOTE
Внутренняя ошибка в ходе выполнения задачи.

Имя задачи: Н/Д.
Код ошибки: 4294967295.


Источники таких ошибок:
Cloud protection by KSN
Real-time file protection
OnDemandScan
Go to the top of the page
 
+Quote Post
Artem Ershov
post 23.12.2016 13:57
Post #5


Technical Support Engineer
**************

Group: KL Russia
Posts: 6599
Joined: 15.06.2015




Добрый день!

Мы передали информацию ответственным лицам.
Обновим топик как только получим от них ответ.

Спасибо!


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)
На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 |Трассировки KES8 | Отчет утилиты klnagchk

Please evaluate support help by using "Rating" option!
Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!


Подписаться на новости о корпоративных продуктах
Go to the top of the page
 
+Quote Post
Oleg Bykov
post 23.12.2016 15:06
Post #6


Product Developer
******

Group: KL Russia
Posts: 913
Joined: 7.04.2005
From: Moscow, Russia




QUOTE(katbert @ 23.12.2016 12:00) *
Служба аварийно перезапускалась, но не могла перезапуститься. Через диспетчер задач поубивал процессы kavfswp.exe - и служба таки смогла запуститься. KSWS проработал почти полтора часа без ошибок. Остановил службу и снова попробовал запустить - опять начались падения.

Отключил автоматический перезапуск при отказе для службы Kaspersky Security Service - все равно упала при попытке запуска. 3 процесса kavfswp.exe при этом остались в диспетчере задач

Здравствуйте,

Пожалуйста, включите в KSWS10 опцию генерации дампов при падении:

Attached File  Capture.PNG ( 36,23K ) Number of downloads: 13


И сгенерированные дампы пришлите нам. Если сервис не поднимается совсем, то трейсы можно включить через реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.0\CrashDump]
"Enable"=dword:00000001
"Folder"="c:\\Trace\\"

Нужно указывать имя уже существующей папки.


--------------------
KL Russia
Go to the top of the page
 
+Quote Post
katbert
post 23.12.2016 18:15
Post #7


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




QUOTE(Oleg Bykov @ 23.12.2016 16:06) *
Здравствуйте,

Пожалуйста, включите в KSWS10 опцию генерации дампов при падении:

Отправил ссылку на дамп в личку
Go to the top of the page
 
+Quote Post
Oleg Bykov
post 23.12.2016 18:49
Post #8


Product Developer
******

Group: KL Russia
Posts: 913
Joined: 7.04.2005
From: Moscow, Russia




QUOTE(katbert @ 23.12.2016 17:15) *
Отправил ссылку на дамп в личку

Спасибо, получил, проблема ясна.

Судя по всему, на этой машине периодически очищается журнал Windows Security Event Log. Это действительно так?


--------------------
KL Russia
Go to the top of the page
 
+Quote Post
katbert
post 23.12.2016 19:26
Post #9


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




Как раз за день до начала проблем менял настройки журнала security с "перезаписывать при необходимости" на "архивировать при заполнении"
В результате события складируются в файлах типа Archive-Security-2016-12-21-17-32-14-914.evtx

This post has been edited by katbert: 23.12.2016 19:28
Go to the top of the page
 
+Quote Post
Oleg Bykov
post 23.12.2016 19:31
Post #10


Product Developer
******

Group: KL Russia
Posts: 913
Joined: 7.04.2005
From: Moscow, Russia




QUOTE(katbert @ 23.12.2016 18:26) *
Как раз за день до начала проблем менял настройки журнала security с "перезаписывать при необходимости" на "архивировать при заполнении"
В результате события складируются в файлах типа Archive-Security-2016-12-21-17-32-14-914.evtx

Это всё объясняет, спасибо. Мы исправляли эту ситуацию в одном из более поздних патчей, чем у Вас установлены.

Можете запросить у поддержки патч Core10 для KSWS10? Там это точно исправлено.


--------------------
KL Russia
Go to the top of the page
 
+Quote Post
katbert
post 23.12.2016 19:58
Post #11


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




Патч запрошу в понедельник.
Пока что вернул настройки журнала system на "перезаписывать при необходимости" и KSWS падать перестал.
Спасибо за быстрые ответы!
Go to the top of the page
 
+Quote Post
katbert
post 26.12.2016 17:44
Post #12


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




Передумал запрашивать патч :-(

Сегодня был еще более дикий случай - понадобилось подцепить к серверу 2008 R2 SP1 дополнительный HDD для бекапов. Но при попытке отформатировать раздел консоль Управление дисками переставала подавать признаки жизни. Windows не могла даже корректно перезагрузиться. Способность форматировать диски вернулась к системе только после удаления KSWS и перезагрузки. Отключение службы KSWS не помогало.

Пока что откатываюсь на wsee 8.0.2

This post has been edited by katbert: 26.12.2016 17:46
Go to the top of the page
 
+Quote Post
Oleg Bykov
post 26.12.2016 23:41
Post #13


Product Developer
******

Group: KL Russia
Posts: 913
Joined: 7.04.2005
From: Moscow, Russia




QUOTE(katbert @ 26.12.2016 16:44) *
Передумал запрашивать патч :-(

Сегодня был еще более дикий случай - понадобилось подцепить к серверу 2008 R2 SP1 дополнительный HDD для бекапов. Но при попытке отформатировать раздел консоль Управление дисками переставала подавать признаки жизни. Windows не могла даже корректно перезагрузиться. Способность форматировать диски вернулась к системе только после удаления KSWS и перезагрузки. Отключение службы KSWS не помогало.

Пока что откатываюсь на wsee 8.0.2

А почему патч-то передумали запрашивать? Может, он всё это и решает как раз.


--------------------
KL Russia
Go to the top of the page
 
+Quote Post
katbert
post 27.12.2016 14:59
Post #14


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




QUOTE(Oleg Bykov @ 27.12.2016 00:41) *
А почему патч-то передумали запрашивать? Может, он всё это и решает как раз.

На этом сервере стабильность важнее. Да и общих папок там почти нет, стоит MS SQL и 1С. Так что защита от шифровальщиком там не особо актуальна.
Патч позже потестирую, на чем не жалко.

А среди уже исправленных бета-версиями патчей KSWS10 есть ли подобная бага, которая мешает форматированию дисков?
Go to the top of the page
 
+Quote Post
Oleg Bykov
post 27.12.2016 17:58
Post #15


Product Developer
******

Group: KL Russia
Posts: 913
Joined: 7.04.2005
From: Moscow, Russia




QUOTE(katbert @ 27.12.2016 13:59) *
А среди уже исправленных бета-версиями патчей KSWS10 есть ли подобная бага, которая мешает форматированию дисков?

С проблемами при форматировании никогда не сталкивался - если что и было, до команды такая проблема не доходила.

В Core10 обновлённый файловый драйвер, поэтому есть вероятность, что он помог бы.


--------------------
KL Russia
Go to the top of the page
 
+Quote Post
Oleg Bykov
post 18.01.2017 19:20
Post #16


Product Developer
******

Group: KL Russia
Posts: 913
Joined: 7.04.2005
From: Moscow, Russia




QUOTE(katbert @ 27.12.2016 13:59) *
А среди уже исправленных бета-версиями патчей KSWS10 есть ли подобная бага, которая мешает форматированию дисков?

И снова здравствуйте.

Сегодня разбирались с похожей проблемой у клиента - тормоза сервера при попытке отформатировать NTFS-раздел. Как выяснилось, виноват драйвер Акрониса snapman.sys, который при обработке нотификации от PnP-менеджера открывает файлы прямо в потоке обработчика.

У вас, случайно, на том сервере с проблемой ничего от Акрониса не установлено?

В KSWS10 SP1 мы перейдём на другую схему обработки томов и такой проблемы не будет.


--------------------
KL Russia
Go to the top of the page
 
+Quote Post
katbert
post 19.01.2017 10:33
Post #17


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




QUOTE(Oleg Bykov @ 18.01.2017 20:20) *
И снова здравствуйте.

Сегодня разбирались с похожей проблемой у клиента - тормоза сервера при попытке отформатировать NTFS-раздел. Как выяснилось, виноват драйвер Акрониса snapman.sys, который при обработке нотификации от PnP-менеджера открывает файлы прямо в потоке обработчика.

У вас, случайно, на том сервере с проблемой ничего от Акрониса не установлено?

В KSWS10 SP1 мы перейдём на другую схему обработки томов и такой проблемы не будет.


Да, установлен Acronis Backup 11.7.44421 для Windows Server.
Go to the top of the page
 
+Quote Post
katbert
post 22.02.2017 17:11
Post #18


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




Еще на одном сервере с Windows Server 2012 и KSWS10 с релизными патчами (Critical Fix AntiCryptor 4 и Critical Fix ProductCore 3) есть странная проблема, и тоже с журналами событий. По сети с другого сервера раз в день делается выборка журнала событий с помощью утилиты psloglist.
Но с этого сервера время от времени события собираться перестают, лечится только перезагрузкой ОС.
Есть ли среди уже исправленных багов KSWS10 нечто подобное?

QUOTE
C:\Scripts>psloglist \\server -d 1 -s sys

PsLoglist v2.70 - local and remote event log viewer
Copyright © 2000-2009 Mark Russinovich
Sysinternals - www.sysinternals.com

System log on \\server:
Could not open System event log on fileserv:
Сервер RPC занят и не может завершить операцию.
Go to the top of the page
 
+Quote Post
Oleg Bykov
post 22.02.2017 17:33
Post #19


Product Developer
******

Group: KL Russia
Posts: 913
Joined: 7.04.2005
From: Moscow, Russia




QUOTE(katbert @ 22.02.2017 16:11) *
Еще на одном сервере с Windows Server 2012 и KSWS10 с релизными патчами (Critical Fix AntiCryptor 4 и Critical Fix ProductCore 3) есть странная проблема, и тоже с журналами событий. По сети с другого сервера раз в день делается выборка журнала событий с помощью утилиты psloglist.
Но с этого сервера время от времени события собираться перестают, лечится только перезагрузкой ОС.
Есть ли среди уже исправленных багов KSWS10 нечто подобное?

Здравствуйте,

А на этом сервере в журнале Windows Security Event Log много событий? И часто ли туда новые добавляются?


--------------------
KL Russia
Go to the top of the page
 
+Quote Post
katbert
post 20.03.2017 13:02
Post #20


Kaspersky Fan I
********

Group: Members
Posts: 1517
Joined: 2.11.2005
From: Уфа




Посмотрел в разгар рабочего дня - действительно, журнала Security размером 5 МБ хватало на 2 мин, после чего самые старые события перезаписывались
Отключил аудит успеха для категорий "Подключение платформы фильтрации" и "Сведения об общем файловом ресурсе" - журнал перестал заполняться так быстро. Однако удаленный сбор событий через psloglist не заработал. Установка Core13 тоже не изменила положения.
Go to the top of the page
 
+Quote Post

2 Pages V   1 2 >
Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 29.06.2017 06:18