システム イベント ログ srv イベント ID の理由: 2012 - データの送受信中に、サーバーでネットワーク エラーが発生しました

この記事では、システム イベント ログ srv イベント ID 2012 について説明します。

適用対象: Windows Server 2008 R2 Service Pack 1
元の KB 番号: 2885205

概要

次のような状況で問題が発生します。

• Windows Server 2012 ベースのファイル サーバーがある
• Windows Server 2003、Windows Server 2003 R2、または Microsoft Windows XP Professional ベースのクライアント コンピューターが SMB v1 プロトコルを使用してファイル サーバーにアクセスしている
• またはサードパーティの CIFS 実装を持つ他の SMB v1 プロトコル ベースのコンピューターがファイル サーバーにアクセスしている

このシナリオでは、ソース Srv ID 2012 を持つ複数のイベントがシステム イベント ログに表示されます。

ログ名: システム
ソース: srv
Date: <DateTime>
イベント ID: 2012
タスク カテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピューター: FILEsrv.fqdn
説明:
データの送受信中に、サーバーでネットワーク エラーが発生しました。 場合によってはエラーが予想されますが、大量のエラーはネットワーク構成で発生する可能性のあるエラーを示しています。 エラー状態コードは、返されたデータ (Words として書式設定) 内に含まれており、問題を示している可能性があります。

<EventData>
<Data>\Device\LanmanServer</Data>
<Binary>000040001002C0000000000000000DC070080000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000<>
</EventData>

単語で
0000: 00040000 002C0001 000000000 800007DC
0008: 0000000000 C0000184 000000000 00000000
0010: 00000000 00000000 00000634

このイベントでログに記録されるこれらの 'Words' の説明:
800007DC = EVENT_SRV_NETWORK_ERROR、
C0000184 = STATUS_INVALID_DEVICE_STATE、この要求を実行するためにデバイスが有効な状態ではありません。 16 進 = 10 進数 1588 00000634、これはダウンレベル クライアントのコードWindows Server 2012 1588 行目を指します。
この数は、オペレーティング システム、Service Pack、場合によっては修正プログラム レベル SRV.SYS によって異なります。

よく寄せられる質問 (FAQ):
----------------------------------
このようなSrv 2012は重大なエラーの指標ですか?
これは WARNING 型のイベントではなく、通常は無視できます。 このようなイベントが予想される一般的なシナリオについては、以下を参照してください。
管理者は警告を無視する必要があります。

通常の SMB 通信の外観
CIFS プロトコル仕様 ([MS-CIFS]: Common Internet File System (CIFS) Protocol) に従います
NEGOTIATE DIALECT - セッションセットアップ - ツリー接続 - ツリーの切断 - ログオフ

ファイルサーバーをWindows Server 2012にアップグレードした後、このイベントがより頻繁に発生する理由は?

• Windows XP や Windows Server 2003 などの多くのダウンレベル SMB1 クライアントを持つ環境があります。
  失敗したログオン試行 (エラー状態の SESSION SETUP 応答) の後に TCP FIN が発生すると、イベント 2012 が発生します。
  これらのクライアントは、LOGOFF および TREE DISCONNEcT SMB コマンドを使用して最後の SMB セッションを終了し、TCP FIN を使用してトランスポート セッションを正常に終了する傾向があります。
  この一連の SMB コマンドは、完全に CIFS に準拠していません。上記を参照すると、イベント 2012 が発生します。

• いくつかの SAMBA/UNIX/MAC ベースのダウンレベル SMB1 クライアントを持つ環境があります。
  多くの場合、これらのクライアントは CIFS 準拠ではない SMB セッションを終了し (LOGOFF コマンドを省略)、イベント 2012 になります。

• Windows Server 2012 ベースのファイル サーバー上のリダイレクトされたフォルダーを持つダウンレベル クライアントは、適切なシャットダウンなしでネットワークから切断されます。
  ファイル サーバーはこのような状況で TCP KeepAlive パケットを非アクティブなクライアントに送信し、クライアントからの応答がなくなった場合は TCP トランスポート接続をリセットします。

• SMB1 クライアントでネットワークの問題が発生します (ファイル サーバーが未処理の SMB コマンドに 1 分以内に応答していない (SessTimeout = 60 秒) ため、クライアントは LOGOFF を送信しませんが、RESET で TCP セッションを終了し、新しい仮想回線 (VcNumber: 0) で新しい TCP/SMB セッションを確立します。
  ファイル サーバーは、クライアント ネットワークの問題を認識せず、SESSION SETUP (VcNumber: 0) が入ってくる同じ SMB1 クライアント IP を検出するとすぐに、以前のクライアント セッションを清掃します。 (これは、異なるクライアントの NAT シナリオでも発生する可能性があります。その結果、ファイル サーバー サブネットにも同じ IP アドレスが生成されます)

詳細

このトピックの詳細については、次の記事番号をクリックして、Microsoft Web の記事を表示します。

[MS-CIFS]: 一般的なインターネット ファイル システム (CIFS) プロトコル