Процесс Lsass.exe аварийно завершает работу и из-за объекта параметров CNF NTDS в Active Directory в Windows регистрируется код ошибки 255

Не уверены, если это нужное исправление? Этой проблемы мы добавили в наш которой можно подтвердить.

В данной статье описывается проблема, возникающая в Active Directory в Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Пакет обновления 2 (SP2) для Windows Vista или Windows Server 2008 SP2. Исправления и обновления доступны для решения этой проблемы, за исключением Windows Server 2012 и Windows 8. Исправление имеет необходимых компонентов.

Симптомы

При NTDS Settings конфликтующие (CNF) объекта, созданного в Active Directory, процесс Lsass.exe может аварийно завершить работу и неожиданно перезагрузите контроллер домена. Кроме того в журнале системы регистрируются следующие события:

Имя журнала: приложения
Источник: Ошибка приложения
Дата: DateTime
Код события: 1000
Категории задач: Сбой события приложения
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя_компьютера
описание
Виновный имя приложения: lsass.exe, версия: 6.1.7601.17725, штамп времени: 0x4ec483fc
Виновный имя модуля: ntdll.dll, версия: 6.1.7601.18229, штамп времени: 0x51fb164a
Код исключения: 0xc0000374
Смещение: 0x00000000000c4102
Этот идентификатор процесса: 0x1f4
Сбойное приложение время начала: 0x01ceb94c671de3dd
Этот путь приложения: C:\Windows\system32\lsass.exe
Этот путь модуля: C:\Windows\SYSTEM32\ntdll.dll
Номер отчета: 80a2cd04-2540-11e3-99e2-441ea1d316a4
Этот пакет полное имя: % 14
Ошибка код приложения относительно пакета: % 15

Имя журнала: приложения
Источник: Microsoft-Windows-Wininit
Дата: DateTime
Код события: 1015
Категории задач: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя_компьютера
описание
Критический системный процесс, C:\Windows\system32\lsass.exe, ошибка с кодом состояния 255. Необходимо перезагрузить компьютер.

Примечание. Параметры NTDS представляет контроллер домена в системе репликации. Объект параметров NTDS сохраняет объекты соединения, что способствует репликации между двумя или несколькими контроллерами домена.

Решение

Для решения этой проблемы, корпорация Майкрософт выпустила накопительный пакет обновления для Windows 8.1 и Windows Server 2012 R2. И корпорация Майкрософт выпустила исправление для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008. Имеется также обходной путь для Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008 SP2.

Сведения об обновлении для Windows 8.1 и Windows Server 2012 R2

Для решения этой проблемы в Windows Server 2012 R2 или Windows 8.1 установки накопительного пакета обновления 2955164. Дополнительные сведения о том, как получить этот накопительный пакет обновления щелкните следующий номер статьи базы знаний Майкрософт:

Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 накопительный пакет обновления: мая 2014

Временное решение для Windows 8 и Windows Server 2012

Чтобы обойти эту проблему, удалите объекты конфликтов вручную в соответствии с разделом временное решение .

Сведения об исправлении для Windows 7 и Windows Server 2008 R2

Чтобы устранить эту проблему в Windows 7 или Windows Server 2008 R2, установите исправление 2862304. Дополнительные сведения о получении исправлений щелкните следующий номер статьи базы знаний Майкрософт:

AD DS или AD LDS медленно реагирует на сложный запрос LDAP с глубоким фильтр на Windows server

Сведения об исправлении для Windows Vista и Windows Server 2008

Для решения этой проблемы в Windows Vista и Windows Server 2008, установите исправление, описанное в данной статье.

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:

Примечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

Предварительные условия

Это исправление необходимо использовать Пакет обновления 2 (SP2) для Windows Vista или Пакет обновления 2 (SP2) для Windows Server 2008.

Чтобы получить дополнительные сведения о получении пакета обновления для Windows Vista, щелкните следующий номер статьи базы знаний Майкрософт:

как получить последний пакет обновления для Windows VistaДополнительные сведения о том, как получить пакет обновления для Windows Server 2008, щелкните следующий номер статьи базы знаний Майкрософт:

Как получить последний пакет обновления для Windows Server 2008

Сведения о реестре

Для установки этого исправления нет необходимости вносить изменения в реестр.

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенные исправления.

Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.

Примечания к сведениям о файле Windows Vista и Windows Server 2008

Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SP n) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.

Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе «сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008». MUM, МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.

Статус

Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе «Относится к».

Временное решение

Чтобы обойти эту проблему, удалите все повторяющиеся объекты параметров NTDS, содержащие «CNF:» в имени.

Примечание. Объекты параметров NTDS, находятся в разделе конфигурации, в группе узлов -> имя_узла -> серверы -> имя сервера. Каждый сервер должен иметь только один объект NTDS Settings, который является «Параметры NTDS».

Выполните следующие действия, чтобы найти объект параметров NTDS конфликта (CNF).

Откройте ldp.exe или оснастки ADSIEDIT.

Установите подключение и привязку к контроллеру домена.

Поиск раздела конфигурации для любого объекта, где содержится общее имя «CNF:» и класс объекта nTDSDSA. Например фильтр поиска LDAP может выглядеть следующим образом:
BaseDN =, CN = Конфигурация, DC = contoso, DC = com (& (ObjectClass=nTDSDSA)(CN=*CNF*))

Дополнительные сведения

Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:

Описание Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

The system process windows system32 lsass exe terminated unexpectedly

Профиль | Отправить PM | Цитировать

Всех приветствую! Очень нужен Ваш совет для решения проблемы(

Код (ID) 1015
Критический системный процесс С\Windows\system32\lsass.exe завершился ошибкой с кодом состояния с0000005. Необходимо перезагрузить этот компьютер.

Код (ID) 1000
Ошибка приложения lsass.exe, версия 5.2.3790.0, модуль secur32.dll, версия 5.2.3790.4530, адрес 0х00002785

Источник: User32
Пользователь: NT AUTHORITY\SYSTEM
Код (ID) 1074
Процесс winlogon.exe инициировал действие «Перезапустить» для компьютера SERVER от имени пользователя по причине:
Код причины: 0х50006
Тип выключения: Перезапустить

Комментарий: Неожиданно завершен системный процесс «C:\WINDOWS\system32\lsass.exe» с кодом состояния — 1073741819
Будет произведена перезагрузка системы.
==================================

Вирусов в системе 100% нет, приложение lsaa.exe в порядке в плане размера и изменения (сравнивал на других серверах 2003)

Сервер 2003 сп2 x86, все возможные заплатки вроде бы установил, 16Гб памяти. Из основных программ только 1С 7.7 (более 3-х лет назад) и 1С 8.3 (прошлой весной установлена) +SQL 2008(установлен в начале января), 4 базы всего (одна под 7.7).
Через rdp (по локалке предприятия и удаленке) с сервером может работать до 20 человек, большинство в основном с 7.7 работает.

Роли сервера с 2013 года и не менялись с тех пор:
-Файловый сервер
-Сервер печати
-Сервер приложений
-Сервер терминалов
-Контроллер домена
-dhcp-сервер
-dns-сервер

Есть еще второй сервер 2003, на него реплицируется AD. Он также выступает в роли маршрутизатора, установлен Kerio, по удаленке через rdp попадают на первый сервер.

Впервые проблема появилась где-то летом 2 раза за 2,5 месяцев, за всю осень уже раза 4, а вот за январь уже 5 раза. За день 2 раза с разницей в пару часов.
Перезагрузка происходит в рабочее время, вечером и ночью нет. В одном из последних разов перезагрузка произошла когда работало не более 5-человек на сервере — связи от кол-ва пользователей на сервере значит нету.

The system process windows system32 lsass exe terminated unexpectedly

We have a server 2008 R2 HyperV server and during the last few months it started to reboot randomly.

Initially we thought its related to the issue fixed by the following hotfix so we applied it but even with the hotfix it still keeps rebooting.

Unlike what’s mentioned in the hotfix , the faulting module is not «ntdll.dll» but «msvcrt.dll».Also came up with the following indication the reboots could be related to KB 2871997 but that update is not installed on this system.

Following are the events from system log.

Log Name: System
Source: LsaSrv
Date: 2/9/2015 11:58:12 PM
Event ID: 5000
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: HV2008-Host
Description:
The security package Kerberos generated an exception. The exception information is the data.
Event Xml:

5000
0
2
0
0
0x8000000000000000

8091130

System
HV2008-Host

Kerberos
050000C00000000000000000000000001111F6FEFE070000020000000000000000000000000000008EEB1802000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

Log Name: System
Source: USER32
Date: 2/9/2015 11:58:24 PM
Event ID: 1074
Task Category: None
Level: Information
Keywords: Classic
User: SYSTEM
Computer: HV2008-Host
Description:
The process wininit.exe has initiated the restart of computer HV2008-HOST on behalf of user for the following reason: No title for this reason could be found
Reason Code: 0x50006
Shutdown Type: restart
Comment: The system process ‘C:\Windows\system32\lsass.exe’ terminated unexpectedly with status code 255. The system will now shut down and restart.
Event Xml:

1074
4
0
0x80000000000000

8091132
System
HV2008-Host

wininit.exe
HV2008-HOST
No title for this reason could be found
0x50006
restart
The system process ‘C:\Windows\system32\lsass.exe’ terminated unexpectedly with status code 255. The system will now shut down and restart.

06000500000000000000000000000000000000000000000000000000000000000000000000000000

Following are the events from Application logs.

Log Name: Application
Source: Application Error
Date: 2/9/2015 11:58:14 PM
Event ID: 1000
Task Category: (100)
Level: Error
Keywords: Classic
User: N/A
Computer: HV2008-Host
Description:
Faulting application name: lsass.exe, version: 6.1.7601.22653, time stamp: 0x534893ed
Faulting module name: msvcrt.dll, version: 7.0.7601.17744, time stamp: 0x4eeb033f
Exception code: 0xc0000005
Fault offset: 0x0000000000001111
Faulting process id: 0x2e0
Faulting application start time: 0x01d03c91dbe5854f
Faulting application path: C:\Windows\system32\lsass.exe
Faulting module path: C:\Windows\system32\msvcrt.dll
Report Id: 6af0ff3d-b0e1-11e4-83ca-0026b9340d61
Event Xml:

1000
2
100
0x80000000000000

267648
Application
HV2008-Host

lsass.exe
6.1.7601.22653
534893ed
msvcrt.dll
7.0.7601.17744
4eeb033f
c0000005
0000000000001111
2e0
01d03c91dbe5854f
C:\Windows\system32\lsass.exe
C:\Windows\system32\msvcrt.dll
6af0ff3d-b0e1-11e4-83ca-0026b9340d61

Log Name: Application
Source: Windows Error Reporting
Date: 2/9/2015 11:58:23 PM
Event ID: 1001
Task Category: None
Level: Information
Keywords: Classic
User: N/A
Computer: HV2008-Host
Description:
Fault bucket , type 0
Event Name: APPCRASH
Response: Not available
Cab Id: 0

Problem signature:
P1: lsass.exe
P2: 6.1.7601.22653
P3: 534893ed
P4: msvcrt.dll
P5: 7.0.7601.17744
P6: 4eeb033f
P7: c0000005
P8: 0000000000001111
P9:
P10:

Attached files:
C:\Windows\Temp\WER5001.tmp.appcompat.txt
C:\Windows\Temp\WER535C.tmp.WERInternalMetadata.xml
C:\Windows\Temp\WER53DA.tmp.hdmp
C:\Windows\Temp\WER6690.tmp.mdmp

These files may be available here:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_lsass.exe_3c1aa5eeba75bf26fcebc4f54e714efe7b5162a2_cab_20a56871

Analysis symbol:
Rechecking for solution: 0
Report Id: 6af0ff3d-b0e1-11e4-83ca-0026b9340d61
Report Status: 0
Event Xml:

1001
4
0
0x80000000000000

267650
Application
HV2008-Host

0
APPCRASH
Not available
0
lsass.exe
6.1.7601.22653
534893ed
msvcrt.dll
7.0.7601.17744
4eeb033f
c0000005
0000000000001111

C:\Windows\Temp\WER5001.tmp.appcompat.txt
C:\Windows\Temp\WER535C.tmp.WERInternalMetadata.xml
C:\Windows\Temp\WER53DA.tmp.hdmp
C:\Windows\Temp\WER6690.tmp.mdmp
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_lsass.exe_3c1aa5eeba75bf26fcebc4f54e714efe7b5162a2_cab_20a56871

0
6af0ff3d-b0e1-11e4-83ca-0026b9340d61
0

Log Name: Application
Source: Windows Error Reporting
Date: 2/9/2015 11:58:22 PM
Event ID: 1001
Task Category: None
Level: Information
Keywords: Classic
User: N/A
Computer: HV2008-Host
Description:
Fault bucket , type 0
Event Name: APPCRASH
Response: Not available
Cab Id: 0

Problem signature:
P1: lsass.exe
P2: 6.1.7601.22653
P3: 534893ed
P4: msvcrt.dll
P5: 7.0.7601.17744
P6: 4eeb033f
P7: c0000005
P8: 0000000000001111
P9:
P10:

Attached files:
C:\Windows\Temp\WER5001.tmp.appcompat.txt
C:\Windows\Temp\WER535C.tmp.WERInternalMetadata.xml
C:\Windows\Temp\WER53DA.tmp.hdmp
C:\Windows\Temp\WER6690.tmp.mdmp

These files may be available here:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_lsass.exe_3c1aa5eeba75bf26fcebc4f54e714efe7b5162a2_cab_20a56871

Analysis symbol:
Rechecking for solution: 0
Report Id: 6af0ff3d-b0e1-11e4-83ca-0026b9340d61
Report Status: 4
Event Xml:

1001
4
0
0x80000000000000

267649
Application
HV2008-Host

0
APPCRASH
Not available
0
lsass.exe
6.1.7601.22653
534893ed
msvcrt.dll
7.0.7601.17744
4eeb033f
c0000005
0000000000001111

C:\Windows\Temp\WER5001.tmp.appcompat.txt
C:\Windows\Temp\WER535C.tmp.WERInternalMetadata.xml
C:\Windows\Temp\WER53DA.tmp.hdmp
C:\Windows\Temp\WER6690.tmp.mdmp
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_lsass.exe_3c1aa5eeba75bf26fcebc4f54e714efe7b5162a2_cab_20a56871

0
6af0ff3d-b0e1-11e4-83ca-0026b9340d61
4

Would really appreciate if someone can point us to the correct direction on how to get this issue sorted.