Samoth 32 Geschrieben 23. September 2023 Melden Teilen Geschrieben 23. September 2023 Hallo zusammen, bitte dabei bleiben - es ist letztlich eine Windows-Frage! Habe wg. der Masse an Text mal die wichtigen Passagen fett markiert. Ich habe gestern bei einem Kunden ein SAP-Update des produktiven Systems durchführen wollen und während des Prozesses wird das ganz einfache SAP-Tool "sapcpe.exe" aufgerufen. Leider kommt es dabei zu einem Absturz des Tools mit entsprechendem Eintrag ins Eventlog: Name der fehlerhaften Anwendung: sapcpe.exe, Version: 7540.200.33.39521, Zeitstempel: 0x6491d4e9 Name des fehlerhaften Moduls: ucrtbase.dll, Version: 10.0.14393.0, Zeitstempel: 0x578997b5 Ausnahmecode: 0xc0000409 Fehleroffset: 0x000000000006d5b8 ID des fehlerhaften Prozesses: 0xedc Startzeit der fehlerhaften Anwendung: 0x01d9ee4b47764807 Pfad der fehlerhaften Anwendung: E:\usr\sap\SID\SYS\exe\uc\NTAMD64\sapcpe.exe Pfad des fehlerhaften Moduls: C:\Windows\System32\ucrtbase.dll Hier wird auf die ucrtbase.dll verwiesen. Ich komme da nicht weiter. Das Update habe ich vorher schon ohne Probleme auf einem Testsystem durchgeführt. Gestern recherchierte ich dann mal zu dieser dll. Auf dem Testsystem (da war alles OK) hat die Datei einen Datumsstempel von 2020 auf dem Prod ist sie von 2016. Beide Systeme laufen unter Server 2016 Datacenter. Das Testsystem zeigt bei winver.exe Version 1607 Build 14393.6252 und beim Prod Version 1607 Build 14393.206, also schon niedriger, oder? Meine Vermutung ist, dass die dll zu alt ist und daher der Programmabsturz erfolgt. Nun weiß ich aber nicht, wie ich an eine aktuelle Version der ucrtbase.dll komme. Ich habe es so verstanden, dass man per Windows Update eine Chance haben könnte. Vermutlich muss das komplette Windows auch mal aktualisiert werden. Da kommen wir dann auch schon zum nächsten Problem für das Board hier: Die Windows Updates Funktion funktioniert nicht. Soweit ich verstanden habe, werden die per Kaspersky verteilt, aber der ist deinstalliert. Ich kann auch nicht sagen, ob das jemals funktioniert hat. Bei den Windows Updates wird die Option "Online Suchen" gar nicht angezeigt. Ich hatte die Hoffnung, das ich mir für den Server die Updates manuell laden und installieren kann, aber wenn ich mir da durchnavigiere und die heruntergeladene msu-Datei starte, erhalte ich nur "Das Update ist nicht für Ihren Computer geeignet". Ausgewählt habe ich immer "Windows Server 2016 und x64", was auch zum OS passt. https://www.catalog.update.microsoft.com/ScopedViewInline.aspx?updateid=7e2b50fd-db19-4784-b966-e3a9d3995b69 https://www.catalog.update.microsoft.com/ScopedViewInline.aspx?updateid=95335a9a-923a-47b2-abb1-7584d685de6a Meine große Hoffnung war, dass ich per Windows Update die Kiste so aktuell bekomme, als dass die dll dann auch ein neueres Datum hat und ich so as SAP-Update fortsetzen kann. Habt ihr noch Ideen? Grüße und Danke Samoth Zitieren Link zu diesem Kommentar
chrismue 96 Geschrieben 23. September 2023 Melden Teilen Geschrieben 23. September 2023 Hi, ich würde einmal die Update Einstellungen in der Registry löschen. https://www.ajtek.ca/wsus/reset-windows-update-gpo-settings/ Gruß chrismue Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 23. September 2023 Autor Melden Teilen Geschrieben 23. September 2023 vor 45 Minuten schrieb chrismue: ich würde einmal die Update Einstellungen in der Registry löschen. Danke dir! Leider keine Veränderung. Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 24. September 2023 Melden Teilen Geschrieben 24. September 2023 Wenn eine VM ist, könntest Du einen Snapshot machen und es mit einer inplace Installation versuchen. Ist oftmals mein letzter Rettungsversuch. Ich gehe mal davon aus, dass Du es schon mit sfc /scannow probiert hast? 1 Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 24. September 2023 Melden Teilen Geschrieben 24. September 2023 Hi, zu vor 11 Stunden schrieb Samoth: Ausnahmecode: 0xc0000409 findet sich Err_6.4.5.exe 0xc0000409 # for hex 0xc0000409 / decimal -1073740791 STATUS_STACK_BUFFER_OVERRUN ntstatus.h # The system detected an overrun of a stack-based buffer in # this application. This overrun could potentially allow a # malicious user to gain control of this application. # 1 matches found for "0xc0000409" Ist da evtl. ein Virenschutz, der hinter der Aktion den "malicious user" vermutet? Generell ist die Build irgendwo aus September 2016. Da würde ich überlegen, die Anwendung direkt in eine neue, durchgepatchte VM zu migrieren (und ggfs. schon auf Windows Server 2022 zu wechseln). Gruß Jan 2 1 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 24. September 2023 Melden Teilen Geschrieben 24. September 2023 (bearbeitet) Die angegebene Build ist fast RTM, nur das erste Update wurde installiert, ganz schon alt. ;) Du kannst das in einer Admin Command laufen lassen: Dism /online /cleanup-image /restorehealth Sfc /Scannow Wenn das auch nichts bringt und Du noch weiter diese Maschine aktualisieren möchtest, dann kannst Du dir eine blanke VM mit 2016 aufsetzen, Stand 2016. http://care.dlservice.microsoft.com/dl/download/A/0/6/A0696267-C005-4E35-8336-2CB1105D3F07/14393.0.160715-1616.RS1_RELEASE_SERVER_EVAL_X64FRE_DE-DE.ISO Die dann auf Windows Update loslassen und schauen welche Updates gezogen werden, AFAIR wird irgendwas aus 2021 geholt und erst dann geht es mit CUs weiter, war zumindest bei unseren Servern so. Dieses Update http://download.windowsupdate.com/d/msdownload/update/software/crup/2016/09/windows10.0-kb3192366-x64_af96b0015c04f5dcb186b879f07a31c32cf2e494.msu hebt die Installation auf die Build 206, nur zur Info. Ob das Inplace von 2016 (fast RTM) auf 2019/2022 funktioniert, wage ich zu bezweifeln, dafür ist die Installation IMHO zu alt. EDIT: Gibt es dort einen WSUS? Falls ja, kann der Server dort nicht die aktuellsten Updates holen? bearbeitet 24. September 2023 von Sunny61 1 Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 24. September 2023 Autor Melden Teilen Geschrieben 24. September 2023 (bearbeitet) Moin zusammen, ein Dankeschön in die Runde! Ich habe heute morgen mit dem Kunden telefoniert und der wollte dann auch irgendwann wissen, wie es um eine Neuinstallation steht. Ja, das geht schon, aber derzeit befindet sich das SAP-System mitten im Update und wenn ich den Snapshot zurücksetze direkt vor der Downtime. Mann müsste bei der "Neue-VM-Lösung" dann mit dem SAP-Update neu beginnen. Aber diese Lösung rückt tatsächlich immer näher :-( vor 1 Stunde schrieb teletubbieland: Wenn eine VM ist, könntest Du einen Snapshot machen und es mit einer inplace Installation versuchen. Ist oftmals mein letzter Rettungsversuch. Ich gehe mal davon aus, dass Du es schon mit sfc /scannow probiert hast? Ja, sfc habe ich direkt am Anfang laufen lassen - es wurden keine Integritätsverletzungen gefunden. Die Reparatur des Windows/Updates hat gestern einer meiner Kollegen aus der Infra versucht - erfolglos. Ich habe den Kunden dann noch gebeten alle 2016 ISOs bereitzustellen, die er hat. Leider kam dabei auch nichts rum. Entweder wollte das Inplace keine Daten übernehmen oder es war einfach nicht die passende ISO. vor 46 Minuten schrieb testperson: Ist da evtl. ein Virenschutz, der hinter der Aktion den "malicious user" vermutet? Auf dem Server lief ursprünglich Kaspersky und unter "Berichte" gab es tatsächlich eine endlos lange Liste mit div. Objekten auf die der Zugriff blockiert wurde. Den Kaspersky hat die Kunden-IT dann aber vom Server geputzt, doch der Fehler bleibt uns. Auf der VM selbst sind mWn keine weiteren Schutz-Tools. Habt ihr noch eine Idee was die Meldung "malicious user" verursachen könnte? Nachträglic noch ein Extra-Dankeschön für den Tip mit dem Fehlercode Hatte ich noch nicht auf dem Schirm. vor 16 Minuten schrieb Sunny61: EDIT: Gibt es dort einen WSUS? Falls ja, kann der Server dort nicht die aktuellsten Updates holen? Glaube nicht, dafür wird ja der Kaspersky genutzt. Ich habe mir gestern mal den Offline Installer von Heise geladen und damit Updates geladen und eingespielt. Aber das brachte letztlich für die Build auch nichts. Ich weiß nicht, warum das mit den manuellen Updates nicht geht. Kann mir das einer erklären? Wieso kann ich für die Version anscheinend kein Update finden, mit dem ich manuell auf einen höheren Build-Stand komme? Viele sonntagliche Grüße an euch! Samoth bearbeitet 24. September 2023 von Samoth Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 24. September 2023 Autor Melden Teilen Geschrieben 24. September 2023 Wow - der Kollege hat es hinbekommen Er konnte letztlich über div. Reparaturen das Inplace-Upgrade durchführen. Es lag tatsächlich an der veralteten Windows-Version! Ich mache nun heute das Update fertig, dann wirds sicher noch ein Gespräch mit dem Kunden geben. Danke an euch! 3 Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 24. September 2023 Melden Teilen Geschrieben 24. September 2023 Danke für die Rückmeldung und schön, dass es funktioniert hat 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 24. September 2023 Melden Teilen Geschrieben 24. September 2023 Auch von mir danke und Glückwunsch Trotzdem würde ich mit dem Kunden zu einer Migration Server 2022 reden, sofern seitens SAP schon supportet, sonst 2019 1 Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 24. September 2023 Autor Melden Teilen Geschrieben 24. September 2023 Ja, für morgen ist schon eine Nachbesprechung terminiert. Da gibt es noch einiges zu tun 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. September 2023 Melden Teilen Geschrieben 25. September 2023 Die DLL gehört zur Visual C Runtime, die in Windows 10 wohl enthalten ist. In Windows 2016 wohl noch nicht. https://learn.microsoft.com/en-us/cpp/porting/upgrade-your-code-to-the-universal-crt?view=msvc-170 Die Frage ist: Welche Visual C Runtime hat SAP installiert? Das sollte man in den Installationsquellen herausfinden. Oft installieren Applikationen nicht das neuste Build einer Visual C Runtime. Damit meine ich nicht das Release von Visual sondern ein internes Build der Runtime. 1 Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 28. September 2023 Autor Melden Teilen Geschrieben 28. September 2023 (bearbeitet) Hi zusammen, Am 25.9.2023 um 09:29 schrieb zahni: Die Frage ist: Welche Visual C Runtime hat SAP installiert? Das sollte man in den Installationsquellen herausfinden. Oft installieren Applikationen nicht das neuste Build einer Visual C Runtime. Habe ich auch geprüft. SAP liefert mit den Kernel-Dateien im gleichen Verzeichnis auch immer die passende vcredist.exe mit aus. Die habe ich für den alten und neuen Kernel jeweils repariert, de- und installiert mit dem gleichen Problem. Scheinbar wurde die dll davon nicht angefasst. Bisschen mehr zum Thema und dem Nachspiel: Soweit ich sagen kann, ist mit dem SAP alles OK, das lief auch alles wie erwartet. Wir haben dann auch noch einen Termin zur Nachbesprechung angesetzt und der lief... anders als erwartet. Ich habe geschildert, dass es letztlich die fehlenden Windows Updates waren, die uns die Suppe eingebrockt haben. Jetzt muss ich aufpassen, wie ich es schreibe, evtl. liest der Kunde das ja mal Da es sich bei den SAP-Systemen um Systeme handelt, die wir administrieren, installieren wir beim Kunden regelmäßig die Windows Updates inkl. Restart der VM, usw. Eigentlich unspektakulär. Konkret drücken wir in der Windows Update Funktion auf Suchen, dann Installieren und dann Restart. Das ganze machen wir so lange bis keine weiteren Updates mehr angezeigt werden. Mehr machen wir nicht, also keine weiteren Prüfungen. Uns viel vor Längerem schon auf, dass das Problemsystem bei dieser Suche keine bis sehr wenig Updates fand. Das haben wir so berichtet. Nun wurden wir im Gespräch komplett dafür verantwortlich gemacht, dass diese Aktion so gelaufen ist. Wir hätten damals "Patch-Management verkauft" und da gehört doch "natürlich auch dazu, dass man sich nach den Updates mal die Versionen anschaut." Ich warf dann ein, dass es mal hieß, die Server werden von Kaspersky mit Windows Updates versorgt. Darauf kam dann, dass das noch nie der Fall gewesen sei. Eine von mir zitierte Mail aus 2021 in der stand, dass die VMs ab da aus der Kaspersky-Richtlinie entfernt wurden, fand keine Beachtung. Viel mehr ist es ja dramatisch, dass seit 2016 (auf dem Release war der Server ja irgendwie) ein so riesen Sicherheitsloch bestand, von dem niemand etwas merkte. Interessanterweise fand ich noch eine Mail von meinem Kollegen, die einen Screenshot beinhaltet, auf dem zu sehen ist, dass 2020 vom System gemeldet wurde "Ihr System ist auf dem neuesten Stand." So richtig ergibt das alles für mich keinen Sinn. Ich empfand das Gespräch sehr unsportlich. Aber es wurde noch erwähnt, dass es vll. gut war diesen Schuß vor den Bug bekommen zu haben. So sehen wir nun, dass es hier Verbesserungspotential gibt bearbeitet 28. September 2023 von Samoth Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 28. September 2023 Melden Teilen Geschrieben 28. September 2023 Ich habe, wegen der installierten Anwendungen, auf 2 Servern ein Inplace-Upgrade gemacht. Irgendwann ist mir aufgefallen, dass das Build vom 2019 uralt war, WU meinte aber: nix da. Das Problem: Wir hatten auch den WSUS neu gemacht und irgendwer hat dieses Update abgelehnt: https://support.microsoft.com/de-de/topic/ssu-servicing-stack-update-für-windows-10-version-1809-10-august-2021-kb5005112-df6a9e0d-8012-41f4-ae74-b79f1c1940b2 . Danach ging es dann. 1 Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 28. September 2023 Autor Melden Teilen Geschrieben 28. September 2023 Habe auch versucht verschiedene SSUs manuell einzuspielen, aber da kam immer "Nicht für diese Version geeignet." Komsiche Sache bzw. für mich nicht erklärbar. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.