Следующее событие довольно сильно заполняет журнал, вытесняя другие важные события из записи. Есть ли способ определить по данным, какая служба дает сбой?
Event Type: Error
Event Source: Srv
Event Category: None
Event ID: 2000
Date: 7/28/2010
Time: 4:17:43 PM
User: N/A
Computer: COMPUTERNAME
Description:
The server's call to a system service failed unexpectedly.
For more information, see Help and Support Center
at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00040000 00540001 00000000 c00007d0
0010: 00000000 c000010a 00000000 00000000
0020: 00000000 00000000 00bd0334
Серверная служба сообщает, что не может ответить на запрос приложения: строка 0010, байт 2 (в данном случае c000010a) - это первый код ошибки - в этом случае «STATUS_PROCESS_IS_TERMINATING» означает, что программа пыталась завершить процесс, но процесс уже завершался.
Это может быть любое количество вещей, включая атаку SMB. Убедитесь, что вы используете хотя бы SP1 для 2003
Обычно это признак исчерпание памяти ядра (эта ссылка взята из статьи поддержки, связанной с Exchange, но ошибка, на которую вы ссылаетесь и которая упоминается в статье, на самом деле не связана с Exchange).
Если сервер некоторое время работает после перезагрузки без возникновения этой ошибки, возможно, у вас произошла утечка памяти. Я бы подумал об использовании PoolMon.exe чтобы попытаться определить, куда идет память вашего ядра, если кажется, что она протекает.
У ваших пользователей исключительно большое количество членов групп? Если это так, вы можете исчерпать память ядра из-за больших токенов безопасности.