Падает системная службаWindows LogonUI.exe

**yadimon91** · 2022-11-09 12:20:02

yadimon91
Посетитель
Неактивен

Падает системная службаWindows LogonUI.exe

Добрый день. Установили недавно терминальный сервер (win 2019 x64) с авторизацией по токену, сертификаты выпускали с домена, драйвер рутокена установлен версии 4.13.0.0. Стали часто появляться ошибки в системном журнале (Журнал Windows -> Приложение), хотя авторизация все же работает.

Имя сбойного приложения: LogonUI.exe, версия: 10.0.17763.1, метка времени: 0x5ab44f80
Имя сбойного модуля: rtCSP.dll, версия: 4.13.0.0, метка времени: 0x63245f16
Код исключения: 0xc0000409
Смещение ошибки: 0x0000000000030054
Идентификатор сбойного процесса: 0x650c
Время запуска сбойного приложения: 0x01d8f40041fe35a6
Путь сбойного приложения: C:\Windows\system32\LogonUI.exe
Путь сбойного модуля: C:\Windows\system32\rtCSP.dll
Идентификатор отчета: b4509e1f-56ce-434c-8d52-9baa417dc4c7
Полное имя сбойного пакета: 
Код приложения, связанного со сбойным пакетом:

В каталоге C:\Windows\System32\config\systemprofile\AppData\Local\CrashDumps нашел несколько файлов дампа данного процесса. Открыл один из них в WinDBG. При анализе (!analyze -v) такой вывод:

0:005> !analyze -v
*******************************************************************************
*                                                                             *
*                        Exception Analysis                                   *
*                                                                             *
*******************************************************************************


KEY_VALUES_STRING: 1

    Key  : Analysis.CPU.mSec
    Value: 4218

    Key  : Analysis.DebugAnalysisManager
    Value: Create

    Key  : Analysis.Elapsed.mSec
    Value: 4203

    Key  : Analysis.Init.CPU.mSec
    Value: 46890

    Key  : Analysis.Init.Elapsed.mSec
    Value: 3671811

    Key  : Analysis.Memory.CommitPeak.Mb
    Value: 370

    Key  : FailFast.Name
    Value: FATAL_APP_EXIT

    Key  : FailFast.Type
    Value: 7

    Key  : Timeline.Process.Start.DeltaSec
    Value: 8

    Key  : WER.OS.Branch
    Value: rs5_release

    Key  : WER.OS.Timestamp
    Value: 2018-09-14T14:34:00Z

    Key  : WER.OS.Version
    Value: 10.0.17763.1

    Key  : WER.Process.Version
    Value: 10.0.17763.1


FILE_IN_CAB:  LogonUI.exe.25868.dmp

NTGLOBALFLAG:  0

APPLICATION_VERIFIER_FLAGS:  0

CONTEXT:  (.ecxr)
rax=0000000000000001 rbx=000002886878dad0 rcx=0000000000000007
rdx=000000d02b0fe760 rsi=00000288687b9f10 rdi=000002886bc1cf70
rip=00007ffff2290054 rsp=000000d02b0fe750 rbp=000000d02b0fe8b0
 r8=000000d02b0fe750  r9=000000d02b0fe758 r10=000000d02b0fe680
r11=000000d02b0fe748 r12=000000d02b0febc0 r13=0000000000000000
r14=000000d02b0fe950 r15=0000000000000000
iopl=0         nv up ei pl nz na pe nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
rtCSP!CSP_Set_Certificate+0x2bfc4:
00007fff`f2290054 cd29            int     29h
Resetting default scope

EXCEPTION_RECORD:  (.exr -1)
ExceptionAddress: 00007ffff2290054 (rtCSP!CSP_Set_Certificate+0x000000000002bfc4)
   ExceptionCode: c0000409 (Security check failure or stack buffer overrun)
  ExceptionFlags: 00000001
NumberParameters: 1
   Parameter[0]: 0000000000000007
Subcode: 0x7 FAST_FAIL_FATAL_APP_EXIT 

PROCESS_NAME:  LogonUI.exe

ERROR_CODE: (NTSTATUS) 0xc0000409 -                                                             .                                                                                           .

EXCEPTION_CODE_STR:  c0000409

EXCEPTION_PARAMETER1:  0000000000000007

FAULTING_THREAD:  000050f0

STACK_TEXT:  
000000d0`2b0fe750 00007fff`f228c169     : 000000d0`2b0fe7d0 000000d0`2b0fe8b0 ffffffff`fffffffe 00000000`000009c0 : rtCSP!CSP_Set_Certificate+0x2bfc4
000000d0`2b0fe780 00007fff`f226a578     : 000000d0`2b0fe830 000000d0`2b0fe8b0 000000d0`2b0fe960 000000d0`2b0febc0 : rtCSP!CSP_Set_Certificate+0x280d9
000000d0`2b0fe7b0 00007fff`f227618e     : 00000288`6bc1cf70 00000000`00000001 00000288`6878dad0 00000288`6878dad0 : rtCSP!CSP_Set_Certificate+0x64e8
000000d0`2b0fe920 00007fff`f22722bd     : 00000000`00000001 00000000`00000040 00000288`6ade8830 00000288`6878dad0 : rtCSP!CSP_Set_Certificate+0x120fe
000000d0`2b0fe9f0 00007fff`f226e3e6     : 00000288`6878dad0 00000000`00000001 000000d0`2b0fed40 000000d0`2b0fed40 : rtCSP!CSP_Set_Certificate+0xe22d
000000d0`2b0feab0 00007fff`f226170d     : 00000288`6b16a5a0 000000d0`2b0fec19 00000288`6b3c5b80 00000000`00000002 : rtCSP!CSP_Set_Certificate+0xa356
000000d0`2b0feb80 00007ff8`0fb12a37     : 00000288`6b1a6590 00007fff`f2260000 00000000`00000002 000000d0`2b0feed9 : rtCSP!CPAcquireContext+0x1dd
000000d0`2b0fec80 00007ff8`0fb121ec     : 000000d0`2b0fee10 00007fff`00000016 00000000`00000001 000000d0`00000016 : cryptsp!CryptAcquireContextA+0x527
000000d0`2b0fedd0 00007fff`da1c55c8     : 00000288`6b1a6590 00000000`0000001a 00000288`6b08a1a0 00000000`00000001 : cryptsp!CryptAcquireContextW+0x8c
000000d0`2b0fee50 00007fff`da1cacb7     : 00000288`6b1a6510 000000d0`2b0ff090 00000288`6b0c06d0 00000288`6b1a6510 : SmartcardCredentialProvider!I_CollectCertsUsingCapi+0x1bc
000000d0`2b0fef40 00007fff`da1c9516     : 00000000`00000000 00007fff`da20e008 00000000`00010000 00000288`6b2e7450 : SmartcardCredentialProvider!I_ReaderListReadCertsFromCard+0x133
000000d0`2b0fef90 00007fff`da1cd6bc     : 00000288`6b01abd0 000000d0`00000000 00000000`00000000 00000000`7ffe0386 : SmartcardCredentialProvider!I_ReaderListCollectCertificates+0x162
000000d0`2b0ff1f0 00007ff8`129bbb90     : 00000288`6b01abd0 00000000`00000000 00000288`6b01abd0 00000000`00000000 : SmartcardCredentialProvider!I_ReaderListReaderProcessingWorker+0x3ec
000000d0`2b0ff4a0 00007ff8`12966964     : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000010 : ntdll!TppWorkpExecuteCallback+0x130
000000d0`2b0ff4f0 00007ff8`11e57974     : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : ntdll!TppWorkerThread+0x644
000000d0`2b0ff7e0 00007ff8`129aa371     : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : kernel32!BaseThreadInitThunk+0x14
000000d0`2b0ff810 00000000`00000000     : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : ntdll!RtlUserThreadStart+0x21


STACK_COMMAND:  ~5s ; .cxr ; kb

SYMBOL_NAME:  rtcsp+2bfc4

MODULE_NAME: rtCSP

IMAGE_NAME:  rtCSP.dll

FAILURE_BUCKET_ID:  FAIL_FAST_FATAL_APP_EXIT_c0000409_rtCSP.dll!Unknown

OS_VERSION:  10.0.17763.1

BUILDLAB_STR:  rs5_release

OSPLATFORM_TYPE:  x64

OSNAME:  Windows 10

IMAGE_VERSION:  4.13.0.0

FAILURE_ID_HASH:  {c0668417-c162-1e14-27d6-2a968ed5acb2}

Followup:     MachineOwner
---------

В чём может быть проблема?

**Аверченко Кирилл** · 2022-11-09 12:44:38

Аверченко Кирилл
Администратор
Неактивен

Re: Падает системная службаWindows LogonUI.exe

Добрый день.
Какой Рутокен вы используете?

**yadimon91** · 2022-11-09 12:46:21

yadimon91
Посетитель
Неактивен

Re: Падает системная службаWindows LogonUI.exe

В основном Rutoken S, Есть немного Rutoken Lite

**yadimon91** · 2022-11-09 13:19:22

yadimon91
Посетитель
Неактивен

Re: Падает системная службаWindows LogonUI.exe

Ещё добавлю: на старом терминальном сервере (Win 2012R2) тоже такая ошибка в журнале:

Имя сбойного приложения: LogonUI.exe, версия: 6.3.9600.17415, метка времени: 0x5450541b
Имя сбойного модуля: rtCSP.dll, версия: 4.12.0.0, метка времени: 0x6298bbac
Код исключения: 0xc0000409
Смещение ошибки: 0x0000000000030054
Идентификатор сбойного процесса: 0x3ab0
Время запуска сбойного приложения: 0x01d8e8656bb9e7e9
Путь сбойного приложения: C:\Windows\system32\LogonUI.exe
Путь сбойного модуля: C:\Windows\system32\rtCSP.dll
Идентификатор отчета: aee06948-5458-11ed-8197-8360ae1f6500
Полное имя сбойного пакета: 
Код приложения, связанного со сбойным пакетом:

**Аверченко Кирилл** · 2022-11-09 14:17:27

Аверченко Кирилл
Администратор
Неактивен

Re: Падает системная службаWindows LogonUI.exe

NLA у вас используется?
На клиенте какая ОС используется?
ОС клиента в домене?

**yadimon91** · 2022-11-09 14:34:19

yadimon91
Посетитель
Неактивен

Re: Падает системная службаWindows LogonUI.exe

Клиенты нет, в домене нет ни одного. Часть из них через OpenVPN подключаются.
ОС на клиентах преимущественно Windows 10. Рабочие и домашние компьютеры.
Насчёт NLA: я правильно понял, что это проверка на уровне сети при пдключении к RDP?

**Аверченко Кирилл** · 2022-11-11 10:37:29

Аверченко Кирилл
Администратор
Неактивен

Re: Падает системная службаWindows LogonUI.exe

yadimon91, Добрый день.
Повторить подобное поведение у нас не удалось.
Можете подсказать следующее:
1. На сервере установлено какое-либо ПО, работающее со смарткартами? КриптоПровайдеры, драйвера для токеном других производителей и тд.
2. Воспроизводится ли эта ошибка, если клиент находится в той же сети что и сервер? Нет ли зависимостей появления ошибки от скорости интернета клиента или ping до сервера.
3. Эта ошибка начала воспроизводиться только с новыми версиями драйверов Рутокен или была всегда? Можете попробовать версию 4.9.1 https://www.rutoken.ru/support/download/stable/#xp ?

**yadimon91** · 2022-11-18 15:18:00

yadimon91
Посетитель
Неактивен

Re: Падает системная службаWindows LogonUI.exe

Хорошо. Сейчас пока нет возможности проверить. Как появится - отпишусь

Падает системная службаWindows LogonUI.exe

Сообщений 8

#1 Тема от yadimon91 2022-11-09 12:20:02

Падает системная службаWindows LogonUI.exe

#2 Ответ от Аверченко Кирилл 2022-11-09 12:44:38

Re: Падает системная службаWindows LogonUI.exe

#3 Ответ от yadimon91 2022-11-09 12:46:21

Re: Падает системная службаWindows LogonUI.exe

#4 Ответ от yadimon91 2022-11-09 13:19:22

Re: Падает системная службаWindows LogonUI.exe

#5 Ответ от Аверченко Кирилл 2022-11-09 14:17:27

Re: Падает системная службаWindows LogonUI.exe

#6 Ответ от yadimon91 2022-11-09 14:34:19 (2022-11-09 14:48:36 отредактировано yadimon91)

Re: Падает системная службаWindows LogonUI.exe

#7 Ответ от Аверченко Кирилл 2022-11-11 10:37:29

Re: Падает системная службаWindows LogonUI.exe

#8 Ответ от yadimon91 2022-11-18 15:18:00

Re: Падает системная службаWindows LogonUI.exe

Сообщений 8