Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблемы с Windows Server 2008 R2

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

antivan

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сервер терминалов + контроллер домена.
Eset NOD Антивирус еще 4й версии, Crypto PRO, OpenOffice, Бэст, сейчас разворачиваем 1С, Firefox\Thunderbird, несколько других мелких программ
~15 пользователей сервера терминалов

Знаю, что неправильно, но бюджет не позволяет сделать по-другому. Работал несколько лет, тем не менее. Пережил замену дисков в рейд0. Одну "атаку" шифровальщика. Диски - чуть меньше года, шифровальщик - чуть меньше полугода.

Месяц назад появилась проблема:
зависает процесс и лочится какой-нибудь временный файл, что первично - я не знаю.
Наблюдалось с 1С и Firefox.
Процесс не закрывается с выходом пользователя из системы, процесс не может убить администратор (Диспетчер задач, taskkill.exe, пробовал еще какие-то утилиты от MS\Sysinternals). Лечится только ребутом сервера, что сильно не удобно, когда работают пользователи.

Даже идей нет, куда копать. А у вас?
Всего записей: 11 | Зарегистр. 14-11-2011 | Отправлено: 12:50 18-06-2019
anton04



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А у вас?

 
См. в сторону Eset NOD Антивирус. Если нельзя убить процесс, то скорее всего его держит антивирус, а него своя система защиты и приоритетов. Ведать где-то нужно что-то добавить в исключения или (временно) отключить какой-то компонент у него.
Всего записей: 2805 | Зарегистр. 14-06-2006 | Отправлено: 13:23 18-06-2019
antivan

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да, фф и 1С могут генерировать сетевую активность, которую можно принять за вирусную, но антивирус (программную часть) не обновлял давно, так что откуда бы взяться проблеме именно месяц назад?
Всего записей: 11 | Зарегистр. 14-11-2011 | Отправлено: 13:34 18-06-2019
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
antivan Попробуй запустить cmd от пользователя SYSTEM (СИСТЕМА) и уже в этом cmd  делай taskkill процесса. cmd от system запускай утилитой Русиновича psexec.
psexec -s cmd  
чтобы убедиться, что  cmd запущен от SYSTEM, выдай команду whoami, увидишь ответ
C:\Windows\system32>whoami
nt authority\система
выход - команда exit
 


----------
В сортире лучше быть юзером, чем админом...
Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 15:33 18-06-2019
antivan

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо. Непременно попробую, когда сбой повториться.
Тем не менее, это борьба с последствиями, а не с причиной
Всего записей: 11 | Зарегистр. 14-11-2011 | Отправлено: 09:45 19-06-2019
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
antivan Сделай полную проверку диска антивирусом свежим drweb cureit, обязательно надо грузить винду в SAFE MODE и там проверять.  
https://free.drweb.ru/download+cureit+free/?lng=ru

----------
В сортире лучше быть юзером, чем админом...
Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 10:08 19-06-2019
antivan

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уже попробовал:
C:\Windows\system32>whoami
nt authority\система
 
C:\Windows\system32>taskkill /pid 26584
Ошибка: Не удается завершить процесс с идентификатором 26584.
Причина: Данный процесс может быть прерван только насильственно ( с  параметром
/f ).
 
C:\Windows\system32>taskkill /pid 26584 /f
Ошибка: Не удается завершить процесс с идентификатором 26584.
Причина: Ни один из экземпляров этого задания не запущен.
 
Добавлено:

Цитата:
antivan Сделай полную проверку диска антивирусом свежим drweb cureit, обязательно надо грузить винду в SAFE MODE и там проверять.  
https://free.drweb.ru/download+cureit+free/?lng=ru
 

 
Не думаю. Админских прав у пользователей нет. Любое заражение в пользовательской среде даже старый антивирус сможет детектировать и вылечить. Ну или предупредить о нем.
 
Windows Updates работает регулярно и на нас подействует, разве что, какая-нибудь атака адресная с использованием зиро-дэй уязвимости, но мы не того размера, чтоб так заморачиваться, имхо.
 
Тем не менее оставлю как вариант и проделаю при случае
Всего записей: 11 | Зарегистр. 14-11-2011 | Отправлено: 10:41 19-06-2019
antivan

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вылечилось, кстати, увеличением объема оперативной памяти
Всего записей: 11 | Зарегистр. 14-11-2011 | Отправлено: 22:09 09-03-2020
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблемы с Windows Server 2008 R2


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru