류짱:Beyond MySelf

서버 서비스(server service)가 예상치 않게 종료 되었을 때는... 본문

Microsoft/Windows Platform

서버 서비스(server service)가 예상치 않게 종료 되었을 때는...

リュちゃん 2010. 8. 19. 14:02

Server service가 종료 되고 강제 재 시작을 할 경우 access denied 발생 할 경우 아래의 hotfix들의 적용 여부를 확인 하고... 모두 설치가 되어 있다면 ?? 아래 KB들의 적용 여부를 먼저 확인 하시기 바랍니다.

대부분의 경우 svchost.exe 프로세스가 얘기치 않게 종료 되면서 발생 합니다.

The Service Host process may stop unexpectedly in Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyID=0D8E8225-096D-49F8-879A-F75D53BE3A8F&displayLang=ko

Microsoft
보안 공지 MS09-001 – 긴급
http://www.microsoft.com/downloads/details.aspx?familyid=588CA8E8-38A9-47ED-9C41-09AAF1022E49&displaylang=ko

MS08-067: 서버 서비스의 취약성으로 인한 원격 코드 실행 문제
http://support.microsoft.com/kb/958644

위 hotfix들이 모두 설치 되어 있음에도 불구하고 서버 서비스가 종료 된다면..... 


강제 덤프 생성 그리고 mps reports 자료 수
집 후 서버 재 시작 하여 덤프를 분석 하는 수 밖에 없을 것 같습니다.
시스템 재 시작 전 lanmanserver가 포함 된 svchost.exe를 찾아서 사용자 덤프를 생성합니다.
혹은  문제가 있다고 생각 되는 svchost.exe를 분리 찾아서 프로세스를 분리 한 후 해당 프로세스만 user dump를 설정 합니다.

자세한 방법은 아래 블로그를 참조....

Getting Started with SVCHOST.EXE Troubleshooting

http://blogs.technet.com/b/askperf/archive/2008/01/11/getting-started-with-svchost-exe-troubleshooting.aspx

[문제가 발생할 때]

아래 와 같이 로그를 수집합니다.

1. 문제가 발생한 svchost.exe 에 대한 user dump 를 수집합니다.

 1-1. cmd 창을 설치하고, windbg가 설치된 폴더로 이동합니다.

 1-2. 아래 명령으로 server service 가 실행 중인 svchost.exe PID를 확인합니다.

           >tasklist /svc (enter)
           => lanmanserver
서비스가 실행 중인 svchost.exe PID를 확인합니다.

 1-3. 아래 명령으로 hang dump 수집합니다.

           >cscript adplus.vbs hang p [위에서 확인한 PID] (enter)

 1-4. 경고 창이 나타나면, 확인, 확인 합니다.

 

3. 커널 덤프 수집합니다. (bang.exe이나  키보드를 강제 덤프로)

 

4. 재 부팅이 되면 다음 로그들을 분석 해야죠..

 - hang dump (디버거 폴더 아래 Hang..으로 시작하는 폴더)

 - kernel dump (memory.dmp)

 

 감사합니다^^