Tous mes serveurs du domaine (DC) se sont fermés avant hier en même temps... !!!

Le
Glenn Gagné
Salut,

Il s'est produit quelque chose d'assez étrange en fin de semaine. Tous mes
serveurs DC se sont éteints en fin de semaine à peu près à la même heure
et évidemment cematin au retour au bureau rien ne marchait !!! Par contre
tous les autres équipements et serveurs dédiés sont resté allumés ???!!!!???

J'ai analysé les événements du journal pour voir ce qui s'était produit,
voir si c'était un crash ou une panne électrique qui aurait arrêté les
serveurs (via le contrôle des UPS) mais non !

Le tout s'est produit vers 8:14 samedi matin ! Tous les messages dans
l'observateur me renseigne de l'arrêt des services normallement, comme si
quelqu'un aurait fermé les serveurs par la méthode normal sauf le message
indiquant la raison de la fermeture.

Et de plus, ce que je trouve très irritant et malheureux, tous les
événements qui se sont produit et que j'ai tenté de consulter la BDD
d'information à propos d'eux (depuis le lien vers le site de Microsoft dans
l'événement) arrive à : "We're sorr, There is no additional information"
Donc je ne sais rien de plus sur la raison du problème !!!

Voici quelques événements:

Type: Informations
Source: ESENT
Catégorie: Général
ID : 101
Utilisateur: N/A
Description:
lsass (444) Le moteur de la base de données s'est arrêté.

Type: Audit des succès
Source: SECURITY
Catégorie: Événements système
ID: 513
Utilisateur: N/A
Description
Windows s'arrête. Toutes les sessions vont être fermées par cet arrêt.

Type: Informations
source: EventLog
Catégorie: Aucun
ID: 6006
Utilisateur: N/A
Description:
Le service d'Enregistrement d'événement a été arrêté.

Type: Informations
Source: USER32
Catégorie: Aucun
ID: 1074
Utilisateur: AUTORITE NTSYSTEM
Description:
Le processus winlogon.exe a lancé le se mettre hors tension. de l'ordinateur
MONSERVEUR pour l'utilisateur AUTORITE NTSYSTEM pour la raison suivante:
Arrêt d'une interface API héritée
. Code : 0x80070000
. Type d'extinction : se mettre hors tension.
. Commentaire : .

*** Et ne croyez pas que j'ai fais des fautes de frappe sur ce dernier
c'est vraiment écrit tel quel !

Mais c'est quand même le dernier événement qui est le plus descriptif de ce
qui s'est produit. Qu'est-ce qui peut être considéré comme une interface API
héritée ?

NOTE: Cet événement n'est rapporté que dans un seul journal des mes
serveurs, j'ai 2 serveurs DC et l'autre n'a pas ce message.



Ça me fait peur ce plantage sans raison apparente, surtout sur 2 serveurs
neufs de l'année dernière (un HP Proliant DL320 G3 et un ML350 G4). Les 2
sont branchés sur des batteries Tripp-Lite 3000 VA individuelles et sur
lesquelles d'autres serveurs sont branchés (et ces autres serveurs non-DC
n'ont subit aucun problème).

Merci de votre aide

Glenn
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
bigstyle [MVP]
Le #532495
Salut,

Il s'est produit quelque chose d'assez étrange en fin de semaine. Tous mes
serveurs DC se sont éteints en fin de semaine à peu près à la même heure...
et évidemment cematin au retour au bureau rien ne marchait !!! Par contre
tous les autres équipements et serveurs dédiés sont resté allumés ???!!!!???

J'ai analysé les événements du journal pour voir ce qui s'était produit,
voir si c'était un crash ou une panne électrique qui aurait arrêté les
serveurs (via le contrôle des UPS) mais non !

Le tout s'est produit vers 8:14 samedi matin ! Tous les messages dans
l'observateur me renseigne de l'arrêt des services normallement, comme si
quelqu'un aurait fermé les serveurs par la méthode normal... sauf le message
indiquant la raison de la fermeture.

Et de plus, ce que je trouve très irritant et malheureux, tous les
événements qui se sont produit et que j'ai tenté de consulter la BDD
d'information à propos d'eux (depuis le lien vers le site de Microsoft dans
l'événement) arrive à : "We're sorr, There is no additional information..."
Donc je ne sais rien de plus sur la raison du problème !!!

Voici quelques événements:

Type: Informations
Source: ESENT
Catégorie: Général
ID : 101
Utilisateur: N/A
Description:
lsass (444) Le moteur de la base de données s'est arrêté.

Type: Audit des succès
Source: SECURITY
Catégorie: Événements système
ID: 513
Utilisateur: N/A
Description
Windows s'arrête. Toutes les sessions vont être fermées par cet arrêt.

Type: Informations
source: EventLog
Catégorie: Aucun
ID: 6006
Utilisateur: N/A
Description:
Le service d'Enregistrement d'événement a été arrêté.

Type: Informations
Source: USER32
Catégorie: Aucun
ID: 1074
Utilisateur: AUTORITE NTSYSTEM
Description:
Le processus winlogon.exe a lancé le se mettre hors tension. de l'ordinateur
MONSERVEUR pour l'utilisateur AUTORITE NTSYSTEM pour la raison suivante:
Arrêt d'une interface API héritée
. Code : 0x80070000
. Type d'extinction : se mettre hors tension.
. Commentaire : .

*** Et ne croyez pas que j'ai fais des fautes de frappe sur ce dernier...
c'est vraiment écrit tel quel !

Mais c'est quand même le dernier événement qui est le plus descriptif de ce
qui s'est produit. Qu'est-ce qui peut être considéré comme une interface API
héritée ?

NOTE: Cet événement n'est rapporté que dans un seul journal des mes
serveurs, j'ai 2 serveurs DC et l'autre n'a pas ce message.

------------------------------------

Ça me fait peur ce plantage sans raison apparente, surtout sur 2 serveurs
neufs de l'année dernière (un HP Proliant DL320 G3 et un ML350 G4). Les 2
sont branchés sur des batteries Tripp-Lite 3000 VA individuelles et sur
lesquelles d'autres serveurs sont branchés (et ces autres serveurs non-DC
n'ont subit aucun problème).

Merci de votre aide

Glenn


SAlut,

aurais-tu WSUS installé sur ton réseau et le déploiement des patchs de
facon automatique ? (regardes ton windows update.log pour t'en assurer)

Autrement, as-tu fais un scan antivirus afin de voir si ce n'était pas
un vers. Un exploit récent permet d'exploiter une faille du service DNS
sur les DC, par exemple.

@bientot

--

bigstyle
MVP Windows Server - Directory Services
MCSE 2000/2003 Security

Glenn Gagné
Le #532289
Salut BigStyle,

Oui j'ai mis en place WSUS, mais ce n'est pas le problème, j'ai trouvé le
pourquoi ce matin... après un 2e événement identique qui s'est produit en
fin de semaine.

Très étrangement, c'est mon application de TrippLite qui a réellement envoyé
un signal d'arrêt à mes 2 serveurs. La configuration dans le logiciel de
TrippLite disait de mettre en arrêt la machine lorsque le UPS passait en
mode batterie... (au-lieu d'attendre que le niveau des batteries soit rendu
faible). C'est très étrange car personne d'autre que moi à accès aux
serveurs et je n'ai rien touché depuis son installation l'année dernière.

Je ne veux pas mettre en cause Microsoft, mais la seule chose qui a changé
avant ces événements étranges c'est l'installation du Service Pack 2, mais
je vois mal comment celui-ci aurait pu modifier les options de l'application
de TrippLite. En tout cas c'est réglé.

Merci quand même.

Glenn




"bigstyle [MVP]" de news:
Salut,

Il s'est produit quelque chose d'assez étrange en fin de semaine. Tous
mes


serveurs DC se sont éteints en fin de semaine à peu près à la même
heure...


et évidemment cematin au retour au bureau rien ne marchait !!! Par
contre


tous les autres équipements et serveurs dédiés sont resté allumés
???!!!!???



J'ai analysé les événements du journal pour voir ce qui s'était produit,
voir si c'était un crash ou une panne électrique qui aurait arrêté les
serveurs (via le contrôle des UPS) mais non !

Le tout s'est produit vers 8:14 samedi matin ! Tous les messages dans
l'observateur me renseigne de l'arrêt des services normallement, comme
si


quelqu'un aurait fermé les serveurs par la méthode normal... sauf le
message


indiquant la raison de la fermeture.

Et de plus, ce que je trouve très irritant et malheureux, tous les
événements qui se sont produit et que j'ai tenté de consulter la BDD
d'information à propos d'eux (depuis le lien vers le site de Microsoft
dans


l'événement) arrive à : "We're sorr, There is no additional
information..."


Donc je ne sais rien de plus sur la raison du problème !!!

Voici quelques événements:

Type: Informations
Source: ESENT
Catégorie: Général
ID : 101
Utilisateur: N/A
Description:
lsass (444) Le moteur de la base de données s'est arrêté.

Type: Audit des succès
Source: SECURITY
Catégorie: Événements système
ID: 513
Utilisateur: N/A
Description
Windows s'arrête. Toutes les sessions vont être fermées par cet arrêt.

Type: Informations
source: EventLog
Catégorie: Aucun
ID: 6006
Utilisateur: N/A
Description:
Le service d'Enregistrement d'événement a été arrêté.

Type: Informations
Source: USER32
Catégorie: Aucun
ID: 1074
Utilisateur: AUTORITE NTSYSTEM
Description:
Le processus winlogon.exe a lancé le se mettre hors tension. de
l'ordinateur


MONSERVEUR pour l'utilisateur AUTORITE NTSYSTEM pour la raison
suivante:


Arrêt d'une interface API héritée
. Code : 0x80070000
. Type d'extinction : se mettre hors tension.
. Commentaire : .

*** Et ne croyez pas que j'ai fais des fautes de frappe sur ce
dernier...


c'est vraiment écrit tel quel !

Mais c'est quand même le dernier événement qui est le plus descriptif de
ce


qui s'est produit. Qu'est-ce qui peut être considéré comme une interface
API


héritée ?

NOTE: Cet événement n'est rapporté que dans un seul journal des mes
serveurs, j'ai 2 serveurs DC et l'autre n'a pas ce message.

------------------------------------

Ça me fait peur ce plantage sans raison apparente, surtout sur 2
serveurs


neufs de l'année dernière (un HP Proliant DL320 G3 et un ML350 G4). Les
2


sont branchés sur des batteries Tripp-Lite 3000 VA individuelles et sur
lesquelles d'autres serveurs sont branchés (et ces autres serveurs
non-DC


n'ont subit aucun problème).

Merci de votre aide

Glenn


SAlut,

aurais-tu WSUS installé sur ton réseau et le déploiement des patchs de
facon automatique ? (regardes ton windows update.log pour t'en assurer)

Autrement, as-tu fais un scan antivirus afin de voir si ce n'était pas
un vers. Un exploit récent permet d'exploiter une faille du service DNS
sur les DC, par exemple.

@bientot

--

bigstyle
MVP Windows Server - Directory Services
MCSE 2000/2003 Security





Publicité
Poster une réponse
Anonyme