System Event Notification Service 준비 중

Window server 2008 sp1 환경의 머신에서 간혹 아래와 같은 오류가 발생 합니다. 터미널로 연결 된 사용자 세션을 로그오프 하려고 하면 아래와 같이 "System Event Notification Service 준비 중....." 메시지와 함께 로그오프가 Pending되는 현상......

시스템을 재 시작 하면 문제가 없겠지만 운영 중인 서버에서는 좀......

아래 같은 문제 발생 시 우회적으로 해결 할 수 있는 방법을 정리 해봅니다.

[환 경]

Windows server 2008 EE x64 + SP1

[증 상]

터미널 사용자 로그 오프 시도 시 아래와 같은 메시지와 함께 로그 오프가 진행 되지 않음

"system event notification service 준비 중......."

[서버 확인 사항]
1. 이미 로그온 되어 있는 다른 Domain admin 사용자 계정으로 로그 온 후 다른 사용자 계정 로그 오프 시도시 강제 로그오프가 진행 되지 않음

Application Event log에 아래와 같은 메시지 발생하며 명령 프롬프트에서 로그 오프 명령어 실행 시 엑세스거부 오류 발생

로그 이름:         Application 원본:            Microsoft-Windows-Winlogon 날짜:            2011-01-07 오전 10:04:24 이벤트 ID:        6005 작업 범주:         없음 수준:            경고 키워드:           클래식 사용자:           해당 없음 컴퓨터:           xxxx.ryuchan.kr 설명: Winlogon 알림 구독자  <Sens>이(가) 알림 이벤트(Logoff)를 처리하는 데 시간이 오래 걸리고 있습니다.

[임시 해결방법]

해당 서버에 정상적으로 로그온 된 사용자(관리자 권한이 있는 사용자)가 있다면 터미널 서비스 관리자 실행 후 각 세션에서 사용하고 있는 winlogon.exe 프로세스를 종료 하면 다시 해당 계정으로 로그 온 할 수 있습니다.
그러나 다시 해당 계정으로 재 로그 온 이나 로그 오프 시 동일 증상이 발생 합니다.

Winlogon.exe 프로세스가 정상적으로 종료 되지 않는 부분과 관련해서는 사용자 계정의 winlogon.exe 프로세스에 대한 덤프를 수집 후 분석을 진행 해야 합니다^^

2008에서 프로세스 덤프 수집은 매우 간단 합니다. 작업 관리자 실행 후 덤프 생성을 원하는 프로세스를 오른쪽 마우스로 클릭 후 덤프 생성 하면 됩니다.

 

[관련 Hotfix]
아래 hotfix를 적용 후 문제가 해결 된 사례도 있다고 하니 참고 하시기 바랍니다. IPv6를 disable 한 후에도 문제가 해결 되었다는 것이 조금 흥미롭네요......

 MS08-047: Event System의 취약성으로 인한 원격 코드 실행 문제

http://support.microsoft.com/kb/950974

 

How to disable certain Internet Protocol version 6 (IPv6) components in Windows Vista, Windows 7 and Windows Server 2008

http://support.microsoft.com/kb/929852/en-us

 

 

감사합니다.^^