系统版本:Windows Server 2008 R2 Standard
故障现象:近段时间,我们核心网络DHCP服务器,总是发现有掉线重起现象,大约每10分钟至30分钟不定时会重起。
故障代码:关键系统进程 C:Windowssystem32lsass.exe 失败,状态代码是 255。现在必须重新启动计算机。
处理思路:1、怀疑服务器中毒,马上安装了360杀毒对服务器进行扫描,结果显示没有中毒。
2、怀疑服务器中木马,也用360做了相应的扫描检查,结果显示也没有中木马。
3、因lsass.exe是windows的核心进程,这个进程故障,就会导致系统在1分钟时间内重起,在百度上查了相关的资料,但是,也有网友反馈这个处理办法无法解决这个问题。
微软的网址:
https://support.microsoft.com/zh-cn/help/2913087/lsass-exe-process-crashes-and-error-code-255-is-logged-because-of-a-cn
4、正当我不知道怎么处理这个故障时,我的一位朋友告诉我试试他的办法,一是使用内存扫描工具测试内存的稳定性,测试结果正常。二是屏蔽服务器不用端口如: 135、139、445等。
5、启用windows 2008 自带服务器防火墙,关闭相关 135、139、445端口。
故障总结:之前朋友说要关闭重要端口的做法,是否能解决问题我还是持保留意见的,我的想法是微软都设计有这样的端口,既使有网络攻击服务器也未必故障重起吧?
我当时想的是微软说的lsass.exe程序崩溃问题就应该是打补丁,要不就是系统本身出现故障了?当然没有测试过是否有效。
但是到目前为止已过去3天,我分析服务器日志再也没有发现服务器无故重起,这很说明问题,应该是有攻击引起的服务器故障,这病毒还蛮厉害的!!!但是我的朋友更厉害!!!感谢你们的细心教导。