ID d'événement Windows 7023 – Gestionnaire de contrôle des services : Service terminé avec erreur

Commencez par examiner les détails de l'ID d'événement 7023 pour identifier le service spécifique et le code d'erreur :

1. Ouvrez Observateur d'événements → Journaux Windows → Système
2. Filtrez pour l'ID d'événement 7023 en utilisant l'option de filtre
3. Double-cliquez sur l'événement 7023 le plus récent pour voir les détails
4. Notez le nom du service et le code d'erreur dans la description de l'événement
5. Utilisez PowerShell pour obtenir des informations détaillées sur le service :

   Get-Service -Name "ServiceName" | Format-List *
   Get-WmiObject -Class Win32_Service -Filter "Name='ServiceName'" | Select-Object *

6. Vérifiez l'état actuel du service et le type de démarrage :

   sc query "ServiceName"
   sc qc "ServiceName"

7. Examinez le journal des applications pour les erreurs connexes survenues à peu près au même moment

Enquêter sur les dépendances de service qui pourraient causer l'échec :

1. Vérifiez les dépendances de service en utilisant PowerShell :

   Get-Service -Name "ServiceName" -DependentServices
   Get-Service -Name "ServiceName" -RequiredServices

2. Vérifiez que tous les services requis sont en cours d'exécution :

   $service = Get-Service -Name "ServiceName"
   $service.ServicesDependedOn | ForEach-Object { Get-Service $_.Name }

3. Ouvrez Services.msc et localisez le service défaillant
4. Cliquez avec le bouton droit sur le service → Propriétés → onglet Dépendances
5. Assurez-vous que tous les services listés sous "Ce service dépend de" sont démarrés
6. Vérifiez si des services dépendent du service défaillant et peuvent être affectés
7. Examinez les paramètres de compte de connexion du service dans l'onglet Connexion
8. Vérifiez que le compte dispose des autorisations nécessaires et n'a pas été désactivé

Vérifiez les fichiers corrompus et les problèmes de registre affectant le service :

1. Localisez le chemin exécutable du service dans le registre :

   Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\ServiceName" -Name ImagePath

2. Vérifiez que l'exécutable du service existe et n'est pas corrompu :

   $servicePath = (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\ServiceName").ImagePath
   Test-Path $servicePath
   Get-AuthenticodeSignature $servicePath

3. Exécutez le Vérificateur de fichiers système pour réparer les fichiers système corrompus :

   sfc /scannow

4. Vérifiez l'intégrité de la clé de registre du service :

   Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\ServiceName" -Recurse

5. Examinez les journaux d'événements Windows pour les erreurs du système de fichiers :

   Get-WinEvent -FilterHashtable @{LogName='System'; Id=7,11,15} -MaxEvents 50

6. Si le service est tiers, envisagez de réinstaller l'application
7. Pour les services Windows, exécutez DISM pour réparer l'image Windows :

   DISM /Online /Cleanup-Image /RestoreHealth

Effectuez un débogage avancé pour identifier la cause principale des échecs de service :

1. Activez les actions de défaillance de service pour générer des vidages sur incident :

   sc failure "ServiceName" reset= 86400 actions= restart/5000/restart/5000/run/5000
   sc failureflag "ServiceName" 1

2. Configurez le rapport d'erreurs Windows pour collecter les vidages sur incident :

   New-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\ServiceName.exe" -Force
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\ServiceName.exe" -Name DumpType -Value 2

3. Vérifiez les vidages sur incident existants dans %LOCALAPPDATA%\CrashDumps
4. Utilisez Process Monitor pour capturer l'accès aux fichiers et au registre lors du démarrage du service
5. Activez la journalisation spécifique au service si disponible dans la configuration du service
6. Examinez les journaux Application et Système pour les événements liés :

   Get-WinEvent -FilterHashtable @{LogName='Application','System'; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.LevelDisplayName -eq 'Error'}

7. Si les plantages persistent, contactez le fournisseur du service avec les fichiers de vidage sur incident et les détails des événements

Établir une surveillance de service robuste et des mécanismes de récupération automatique :

1. Configurer les actions de récupération de service pour un redémarrage automatique :

   sc failure "ServiceName" reset= 86400 actions= restart/30000/restart/60000/restart/120000

2. Mettre en place un script de surveillance PowerShell pour une détection proactive :

   $service = Get-Service -Name "ServiceName"
   if ($service.Status -ne 'Running') {
       Write-EventLog -LogName Application -Source "ServiceMonitor" -EventId 1001 -EntryType Warning -Message "Service $($service.Name) is not running"
       Start-Service -Name $service.Name
   }

3. Créer une tâche planifiée pour exécuter le script de surveillance toutes les 5 minutes
4. Mettre en œuvre une journalisation centralisée en utilisant Windows Event Forwarding :

   wecutil qc /q
   winrm quickconfig

5. Configurer SCOM ou des outils de surveillance tiers pour alerter sur l'ID d'événement 7023
6. Documenter les dépendances de service et créer des runbooks pour les scénarios de défaillance courants
7. Établir des procédures de gestion des changements pour prévenir la dérive de configuration
8. Vérifications régulières de l'état de santé à l'aide de PowerShell DSC ou des préférences de stratégie de groupe