系统事件日志 srv 事件 ID 的原因:2012 - 在传输或接收数据时,服务器遇到网络错误

  • 项目

本文讨论系统事件日志 srv 事件 ID 2012。

适用于: Windows Server 2008 R2 Service Pack 1
原始 KB 编号: 2885205

摘要

请考虑以下情况:

  • 你有一个基于Windows Server 2012的文件服务器
  • 基于 Windows Server 2003、Windows Server 2003 R2 或 Microsoft Windows XP Professional 的客户端计算机使用 SMB v1 协议访问文件服务器
  • 或任何其他具有第三方 CIFS 实现的基于 SMB v1 协议的计算机正在访问文件服务器

在此方案中,系统事件日志中会显示多个源 Srv ID 为 2012 的事件:

日志名称:系统
源:srv
日期: <DateTime>
事件 ID:2012
任务类别:无
级别:警告
关键字:经典
用户:不适用
计算机:FILEsrv.fqdn
说明:
在传输或接收数据时,服务器遇到网络错误。 偶尔会出现错误,但大量错误表示网络配置中可能存在错误。 错误状态代码包含在返回的数据中, (格式为“单词) ”,可能会指出问题所在。

<EventData>
<Data>\Device\LanmanServer</Data>
<Binary>00000400001002C000000000DC07000000000840100C0000000000000000000000000000000000000000</Binary>
</EventData>

用词
0000:00040000 002C0001 00000000 800007DC
0008:00000000 C0000184 00000000 000000000
0010: 00000000 00000000 00000634

此事件中记录的这些“Words”的说明:
800007DC = EVENT_SRV_NETWORK_ERROR,
C0000184 = STATUS_INVALID_DEVICE_STATE,则设备未处于执行此请求的有效状态。 00000634十六进制 = 1588 十进制,则指向下层客户端Windows Server 2012代码中的第 1588 行。
此数字取决于操作系统、Service Pack,并且可能 SRV.SYS 修补程序级别。

常见问题 (常见问题解答) :
----------------------------------
这样的 Srv 2012 是否是严重错误的指标?
否,这是类型为 WARNING 的事件,通常可以忽略它。 有关一些典型的方案,请参阅下文,其中需要此类事件。
管理员应忽略警告。

正常的 SMB 通信应该是什么样子的?
根据 CIFS 协议规范 ([MS-CIFS]:通用 Internet 文件系统 (CIFS) 协议)
NEGOTIATE 方言 - 会话设置 - 树连接 - 树断开连接 - 注销

将文件服务器升级到 Windows Server 2012之后,我们经常遇到此事件,为什么?

  • 你的环境包含许多下层 SMB1 客户端,例如 Windows XP 或 Windows Server 2003。
    失败的登录尝试 (会话安装程序响应,错误状态) 后跟 TCP FIN 导致事件 2012。
    这些客户端倾向于使用 LOGOFF 和 TREE DISCONNEcT SMB 命令结束其最后一个 SMB 会话,然后使用 TCP FIN 正常终止传输会话。
    此 SMB 命令序列不完全符合 CIFS,请参阅上文,导致事件 2012。

  • 你有一个环境,其中包含一些基于 SAMBA/UNIX/MAC 的下层 SMB1 客户端。
    这些客户端通常会终止不符合 CIFS 的 SMB 会话, (省略 LOGOFF 命令) ,从而导致事件 2012。

  • 在基于 Windows Server 2012 的文件服务器上具有重定向文件夹的下层客户端在未正确关闭的情况下断开与网络的连接。
    在这种情况下,文件服务器会将 TCP KeepAlive 数据包发送到非活动客户端,并在客户端没有其他响应时重置 TCP 传输连接。

  • SMB1 客户端遇到一些网络问题, (文件服务器未在一分钟内 (SessTimeout =) 60 秒内应答其未完成的 SMB 命令,因此客户端不会发送 LOGOFF,而是使用 RESET 终止 TCP 会话,然后使用新的虚拟线路建立新的 TCP/SMB 会话 (VcNumber: 0) 。
    文件服务器不知道客户端网络问题,一旦检测到与 SESSION SETUP (VcNumber: 0) 传入的同一 SMB1 客户端 IP,就会清理以前的客户端会话。 (不同客户端的 NAT 方案中可能会发生这种情况,导致文件服务器子网中的 IP 地址相同,)

更多信息

有关本主题的详细信息,请单击下面的文章编号以查看 Microsoft Web 上的文章:

[MS-CIFS]:通用 Internet 文件系统 (CIFS) 协议