[IT计算机]Windows服务启动排错

Windows服务启动排错 Windows疑难解答 来自微软中文新闻组的精彩疑难问题解答。 Thursday January 26 2006 10:50 AM Windows服务启动排错 在微软新闻组里有很多网友咨询有关Windows服务无法启动的问题例如无法启动“Logical Disk Manager”服务。这类服务出错的现象往往是五花八门判断起来比较麻烦而且有些问题还无法通过查看微软知识库文章得到解决。所以这里进行一个简单的小结帮助初学者解决常见的服务无法启动的问题。 特别提醒 在阅读本文的时候请严格按照故障现象进行比对排错 如果涉及到注册表操作请务必事先备份相关注册表项并新建还原点。 如果系统无法顺利启动请按Reset键重新开机然后按F8在Windows高级启动菜单上选择“恢复到最近一次的正确配置”菜单项这样就可以先前的HKLMSYSTEMControlSet00n覆盖错误配置的CurrentControlSetControlSet00n中的n由HKLMSYSTEMSelect的LastKnownGood键值指定。 错误2系统找不到指定的文件 1故障现象 尝试在“服务”管理单元窗口手动启动服务是系统提示“错误2系统找不到指定的文件”Error 2: The system cannot find the file specified.如图1所示。 2原因分析 两种可能 1 服务的可执行文件丢失或者被破坏。 2 服务相关注册表键值ImagePath的数值数据被篡改导致SCM无法加载服务的可执行文件。 在“服务”管理单元窗口里可以看到每个服务的可执行文件路径请仔细检查如图2所示的可执行文件所在路径如果和参照系统的正确配置不符合说明注册表键值ImagePath的数值数据有误。如果此处的配置没有问题则说明可执行文件丢失或者被破坏。 3解决办法 以“Task Scheduler”服务为例。 如果注册表键值ImagePath的数值数据被篡改可以定位以下注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule 在右侧定位到ImagePath键值将其数值数据修改为正确的值并重启系统。 或者借助sc命令 sc config Schedule binpath quotSystemRootSystem32svchost.exe -k netsvcsquot 如果是可执行文件丢失或者破坏请用正确的副本进行替换并重启系统。对于本例来说可执行文件是svchost如果该文件被破坏系统将无法正常运行。 错误1053服务没有及时相应启动或控制请求 1故障现象 尝试在“服务”管理单元窗口手动启动服务时系统提示“错误1053服务没有及时相应启动或控制请求”如图3所示。 2原因分析 如图2所示可执行文件的附加命令参数配置有误会导致问题。 3解决办法 参照上述的方法用sc命令或者注册表编辑器对附加的命令参数进行排错。 错误1083配置成在该可执行程序中运行的这个服务不能执行该服务 1故障现象 尝试在“服务”管理单元窗口手动启动服务时系统提示“错误1083配置成在该可执行程序中运行的这个服务不能执行该服务”如图4所示。 2原因分析 该故障通常在由svchost服务宿主进程所启动的服务上发生。大家知道Windows XP SP2最多可以启动七个svchost进程实例实际上启动六个进程实例分别负责启动一组服务。每个svchost实例所负责启动的服务由以下注册表项决定 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost 其下共有七个键值DcomLaunch、HTTPFilter、imgsvc、LocalService、netsvcs、NetworkService、rpcss和termsvcs。每个键值都定义了一个或者多个服务也就是对应每个svchost进程实例所能启动的一组服务。 本例中“Task Scheduler”服务的可执行程序参数是“svchost.exe -k netsvcs”对应的svchost进程在启动该服务之前会先到HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost下的netsvcs键值里查找是否有该服务的定义如果没有就会出现该故障现象。 3解决办法 很简单首先打开该服务的属性对话框查看其可执行程序的命令参数本例是netsvcs如图2所示。 然后进入以下注册表项 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost 在右侧定位到对应的键值本例是netsvcs在其数值数据里添加该服务名即可本例是Schedule如图5所示并重启系统。 提示 为什么通常只会启动六个svchost进程实例都是TermService服务惹的祸TermServiceTerminal Services这个服务非常另类不仅仅出现在DcomLaunch组里同时还独立出现在termsvcs组里然而在“服务”管理单元窗口里该服务的命令行为“svchost.exe -k DcomLaunch”也就是说实际上并没有一个svchost进程实例负责启动termsvcs服务组 错误126找不到指定的模块 1故障现象 尝试在“服务”管理单元窗口手动启动服务时系统提示“错误126找不到指定的模块”Error 126: The specified module could not be found.如图6所示。 2原因分析 该故障通常在由svchost服务宿主进程所启动的服务上发生。这一类的Windows服务其实是以dll模块的形式插入某个svchost进程。如果该dll文件被破坏或者注册表的相关键值被篡改都可能导致问题。 这类服务所对应的Dll文件是由HKLMSYSTEMCurrentControlSetServicesServiceNameParameters注册表项下的ServiceDll键值所定义的此处的ServiceName是指服务名如果该注册表键值出错或者对应的Dll文件被破坏就会导致这个问题。 在微软新闻组里有不少网友抱怨无法打开“磁盘管理”窗口寻根溯源发现是“Logical Disk Manager”服务无法启动所导致。其中有一个case是系统被木马PCShare所感染木马修改了“Logical Disk Manager”服务的注册表键值把HKLMSYSTEMCurrentControlSetServicesdmserverParameters注册表项下的键值ServiceDll的数值数据指向木马的文件“SystemRootSystem32driversYbfbqufe.sys”尽管后来利用杀毒软件杀除木马但是杀毒软件未能处理被木马篡改注册表键值导致无法打开“磁盘管理”。 注意 不要将该故障和“错误2系统找不到指定的文件”相混淆 3解决办法 对于“Logical Disk Manager”服务的问题在以下的注册表项 HKLMSYSTEMCurrentControlSetServicesdmserverParameters 确保将其下ServiceDll键值的数值数据修改为“SystemRootSystem32dmserver.dll”。 如果注册表键值没有问题请确保用正确的文件副本替换原来的dll文件并重启系统。 错误1079此服务的帐户不同于运行于同一进程上的其他服务的帐户 1故障现象 尝试在“服务”管理单元窗口手动启动服务时系统提示“错误1079此服务的帐户不同于运行于同一进程上的其他服务的帐户”如图7所示。 2原因分析 该故障通常在由svchost服务宿主进程所启动的服务上发生。前面说过Windows XP SP2最多可以启动七个svchost进程实例分别负责启动一组服务。一组服务中的每个服务必须和对应的svchost进程实例运行在同一个启动帐户下。 例如Alert服务属于LocalService组的服务其对应的svchost进程实例运行在Local Service帐户下如果错误地将Alert服务的启动帐户修改为别的帐户例如Local System帐户就会报错。 3解决办法 首先根据该服务的可执行文件路径属性找到其所属的服务组例如Alert服务属于LocalService的服务组然后确定同一组的其他服务的启动帐户将其修改为相同的启动帐户即可。 错误1068依存服务或组无法启动 1故障现象 尝试在“服务”管理单元窗口手动启动服务时系统提示“错误1068依存服务或组无法启动”如图8所示。 2原因分析 某些服务依赖于其他服务或者驱动只有这些依赖的服务或者驱动都启动成功该服务才能顺利启动否则就会报1068的错误。 3解决办法 首先我们要对这些不能启动的依赖服务或驱动进行排错通常来说可能有以下的一些原因 1 由第三方应用程序向系统服务添加额外的依赖服务一旦这些额外的依赖服务出错、或者被删除而注册表中的相关键值并没有做相应的改动则会导致问题。 2 这些依赖的服务或者驱动被标志为禁用。 对于第1种情况这里有一个实例来自于微软中文新闻组 问题打印机是Legend LX11 1201i-2401i现在无法正常使用在事件查看器里的错误日志如下 事件来源: Service Control Manager 事件种类: 无 事件 ID: 7003 日期: 2006-3-22 事件: 17:57:45 用户: N/A 描述: Print Spooler 服务和下列不存在的服务存在相依的关系: LexBceS 回答联想应该是OEM利盟的打印机所以系统会安装利盟的驱动程序该第三方的驱动程序会给系统的Print Spooler服务添加一个新的依赖服务LexBceS由于某种原因该依赖服务LexBceS破坏连累Print Spooler服务启动失败。 可以在命令提示符窗口运行以下命令恢复Windows默认的依赖关系Print Spooler服务默认依赖RPCSS服务 sc config spooler depend RPCSS 当然也可以打开注册表编辑器进入以下注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSpooler 在右侧的详细窗格里找到DependOnService键值确保其数值数据为RPCSS删除其他任何的依赖服务。 错误1747未知的验证服务 1故障现象 尝试在“服务”管理单元窗口手动启动服务时系统提示“错误1747未知的验证服务”如图9所示。 2原因分析 未安装Microsoft网络客户端就会导致某些服务无法启动这些服务可能是WWW、FTP、IPSec Service等和网络有关的服务。 3解决方法 安装或者重新安装Microsoft网络客户端重新启动即可解决问题。 注意本文部分内容参考自微软知识库。 发布于 由 ahpeng 有 3 篇评论 Thursday December 15 2005 2:15 PM 鉴证实录系列之一为什么“系统信息正在运行任务”中的进程信息不可用 引子 首先我得承认用这个Title确实有点哗众取宠不过这也是Blog的魅力所在在ITECN上我们可以任意发表自己对微软技术的心得体会甚至可以发某些悬而未决、半成品的东西只要是值得和大家分享的都可以放上来扯远了打住 为何取名“鉴证实录”其实该系列的文章都取材于微软中文新闻组所遴选的帖子大多有笔者的参与。“鉴证实录”系列文章将尽可能忠实地记载帖子的原文当然会根据实际情况加以适当的调整同时笔者将会对其中的每个问题尽可能地提供背景知识的解析同时尽可能加以相应的实验论证既保证“原汁原味”又确保“营养丰富” 微软中文新闻组的web地址如下大家有任何有关微软产品的相关问题都可以到那里交流 /China/community/dgbrowser/zh-cn/default.mspx 领衔主演 参与这次问答的一共有三位朋友都是领衔主演呵呵。其中一名是提问的网友他提出一个非常棒的技术问题其他两位是回答者其中一位是网友Youyang另一位就是笔者盆盆。在这里非常感谢提问网友和Youyang对笔者的启发。 鉴证实录 网友在Windows XP中启动“系统信息”程序窗口在左侧控制台树中展开软件环境正在运行任务无意中发现有9个任务的路径、最小最大工作设置、版本、大小、开始时间、文件日期等项均显示为不可用如图1所示。这些进程包括alg.exe、csrss.exe、wdfmgr.exe、wmiprvse.exe、system、system idle process、svchost.exe共有5个同名进程其中有3个进程显示“不可用”。因不清楚是究竟是怎么回事特此请教大家希望能够详细说明原因谢谢 Youyang正常的我们的系统也是相同现象关于Svchost.exe进程你可以看看这里 /default.aspxscidkbzh-cn314056 网友感谢Youyang的回复我亦感觉应该没有什么问题并且排除了系统及病毒等方面的可能因素。不过还想请教一下为何会这样某些进程显示为不可用谢谢 盆盆system和system idle process并没有真正的进程映象所以找不到是正常的。至于其他五个进程信息为什么找不到可能涉及到“系统信息”这个组件的工作机理推荐你到开发新闻组去提问以了解更详细的信息。 我目前仅发现除了system和system idle process和csrss.exe之外其他几个进程都有以下的共性 1都是服务的宿主进程 2进程的启动帐户是network service或者local service笔者注这些进程将会处于各自不同的Logon Session从而具有不同的Logon SID Youyang呵呵我也准备找问题的答案。我现在脑子里面的一个想法就是Msinfo32的所使用的线程的访问令牌没有访问某些Svchost.exe背后进程信息的权限因此会显示出来无信息。不知道大家理解没就像注册表中的SAM数据库我们使用的帐户如果没有对他的Read权限的时候是看不到内容的。 笔者注释 System和System Idle Process都不是真正意义上的用户模式进程它们并没有对应的映象文件例如System进程并不存在一个对应的system.exe进程映象文件。所以“系统信息”程序无法找到它们的进程信息这是正常的。 System进程实际上是代表内核模式线程的总和而System Idle Process只是用来统计空闲的CPU时间。 csrss.exe进程是Windows子系统的用户模式部分它工作在LocalSystem帐户下。 三个“不可用”的svchost进程工作在network service或者local service帐户下Youyang网友在前面提到可以参考知识库文章KB31456了解svchost进程的详细信息。 network service和local service帐户是Windows XPWindows Server 2003新引入的帐户和LocalSystem帐户一样它们都不是Interactive组的成员也就是说不能在用户登录界面使用这些帐户进行“交互”登录。由Windows自动为这些帐户分配和管理密码有关这些帐户的详细信息可以参考以下微软官方网页 /technet/security/topics/serversecurity/serviceaccount/sspgch02.mspx 实验论证 本文认为Youyang朋友在最后所提到的解释应该就是问题的真正原因。接下来笔者将用实验进行论证和扩展。为了方便讲述这里假设测试计算机上的管理员帐户为Admin同时假设Windows XP安装在C盘。 1准备知识 首先需要理解进程是一个很奇妙的东东它既可以像文件夹和打印机那样可以对进程指定访问权限例如谁可以query进程的信息、谁可以Terminate这个进程等等也就是说每一个进程都可以关联一个ACL访问控制列表。 然而和文件夹和打印机不一样的是进程不但可以有ACL同时还具有一个访问令牌Access Token访问令牌里定义一个帐户SID的列表和该进程所具有的一组特权Priviledge。 可以把进程想像成具有“双重性格”或者高中物理所学的“光的波粒二相性”这样就不会忘记进程的这种双重特性。 当进程或者线程需要访问某个共享资源包括其他进程时就需要出示它访问令牌。然后安全子系统就会根据共享资源的ACL中的帐户和组来逐个比对进程访问令牌中的帐户和组以确认是否允许进程访问该共享资源。 要了解关于访问令牌的详细信息请参考以下微软官方网页 /library/default.aspurl/library/en-us/secauthz/security/access_tokens.asp 2实验工具 1Process Explorer可以利用该工具来查看进程的ACL和访问令牌可以到以下站点下载该工具 /Utilities/ProcessExplorer.html 2PsExec可以利用该工具来以其他帐户身份启动某个进程可以到以下站点下载该工具 /Utilities/PsExec.html 3实验步骤 由于没有官方的内部文档我们无法知道“系统信息”进程中的“正在运行任务”这个线程到底获得什么访问令牌。所以这里我们只能假设“正在运行任务”这个线程继承“系统信息”进程的访问令牌。 首先我们可以查看“系统信息”进程的访问令牌 1以Admin帐户登录系统启动“系统信息”程序窗口然后打开Process Explorer双击“系统信息”的对应进程HelpCtr.exe切换到“Security”标签页这就是“系统信息”进程所获得的访问令牌如图2所示。我们可以假设“正在运行任务”这个线程自动继承“系统信息”进程的访问令牌。 提示 尽管“系统信息”程序的对应Image文件应该是msinfo32.exe但是通过Process Explorer监控发现其对应的进程应该是HelpCtr.exe。 2接下来可以查看这些“不可用”进程的访问控制列表首先查看一下csrss.exe进程。在Process Explorer中双击该csrss.exe进程切换到“Security”标签页然后单击其右下角的“Permission”按钮即可查看csrss进程的访问权限设置。可以看到该进程只允许LocalSystem帐户访问单击打开对话框上的“高级”按钮还可以查看LocalSystem帐户的详细权限分配如图3所示。 这样就可以解释为什么无法查看csrss进程信息原来只有LocalSystem帐户才可以有权限访问csrss进程而“系统信息”进程的访问令牌里并不包含LocalSystem帐户 3接下来查看“不可用”的svchost进程的访问控制列表在“系统信息”窗口里记下“不可用”svchost进程的PID然后在Process Explorer窗口里打开该进程的权限查看窗口如图4所示。 和csrss进程相比除了LocalSystem帐户外svchost进程的访问控制列表中还包含了一个未知帐户SID本例是S-1-5-5-0-35860。实际上这是该svchost进程的Logon SID也就是该svchost进程所在登录会话的SID。也就是说只要是在同一个登录会话里运行的进程都能访问该svchost进程的信息。 对比一下图2发现“系统信息”进程的访问令牌中的Logon SID是S-1-5-5-0-40881和svchost进程ACL中的Logon SID不同这就是为什么该svchost进程的信息不可用的原因 用同样的方法可以找到alg和wdfmgr.exe的进程信息不可用的原因。 提示 关于Logon SID和其他内置SID的详细信息可以参考以下的微软官方网页 /resources/documentation/Windows/XP/all/reskit/en-us/Default.aspurl/resources/documentation/Windows/XP/all/reskit/en-us/prnc_sid_cids.asp 4提升系统信息的启动身份 为了证明以上的结论还需要进行逆向验证。 由于以上“不可用”进程都允许LocalSystem帐户访问其进程信息所以这里我们尝试用LocalSystem帐户的身份启动“系统信息”进程然后查看是否可以正常显示进程的信息。 1要以LocalSystem帐户身份启动进程可以借助PsExec可以在CMD窗口运行以下命令以LocalSystem帐户的身份启动“系统信息”进程 PsExec -d -i -s quotC:Program FilesCommon FilesMicrosoft SharedMSInfomsinfo32.exequot 2现在可以看到能够访问几乎所有进程的信息除system和system idle process之外如图5所示。 而如果以普通用户的身份启动“系统信