ID d'événement Windows 7023 – Gestionnaire de contrôle des services : Service terminé avec erreur

Commencez par examiner les détails de l'ID d'événement 7023 pour identifier le service spécifique et le code d'erreur :

1. Ouvrez Observateur d'événements → Journaux Windows → Système
2. Filtrez pour l'ID d'événement 7023 en utilisant l'option de filtre
3. Double-cliquez sur l'événement 7023 le plus récent pour voir les détails
4. Notez le nom du service, le nom d'affichage et le code d'erreur à partir de la description de l'événement
5. Utilisez PowerShell pour obtenir des informations supplémentaires sur le service :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=7023} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

# Obtenez le statut du service pour le service échoué
Get-Service -Name "ServiceName" | Format-List *

# Vérifiez la configuration du service
sc.exe qc "ServiceName"

Documentez le code d'erreur et le nom du service pour une enquête plus approfondie. Les codes d'erreur courants incluent 5 (Accès refusé), 2 (Fichier introuvable) et 1067 (Processus terminé de manière inattendue).

Enquêter sur les dépendances de service et l'état actuel pour identifier les échecs de chaîne de dépendance :

1. Ouvrez Services.msc et localisez le service en échec
2. Cliquez avec le bouton droit sur le service → Propriétés → onglet Dépendances
3. Vérifiez que toutes les dépendances fonctionnent et sont correctement configurées
4. Utilisez PowerShell pour vérifier l'état des dépendances de manière programmatique :

# Vérifier les dépendances de service
Get-Service -Name "ServiceName" -DependentServices
Get-Service -Name "ServiceName" -RequiredServices

# Obtenir des informations détaillées sur le service, y compris les dépendances
Get-WmiObject -Class Win32_Service -Filter "Name='ServiceName'" | Select-Object Name, State, StartMode, ServiceType, PathName

# Vérifier si les dépendances fonctionnent
$service = Get-Service -Name "ServiceName"
$service.ServicesDependedOn | ForEach-Object { Get-Service $_.Name }

5. Démarrez manuellement tous les services de dépendance arrêtés
6. Essayez de redémarrer le service en échec après que les dépendances fonctionnent
7. Surveillez le Visualiseur d'événements pour des événements 7023 supplémentaires lors des tentatives de redémarrage

Vérifiez les autorisations du compte de service et les paramètres de configuration qui pourraient causer des échecs d'authentification ou d'accès :

1. Ouvrez Services.msc et localisez le service en échec
2. Cliquez droit → Propriétés → onglet Connexion
3. Notez le compte de service (Système local, Service réseau ou compte personnalisé)
4. Pour les comptes personnalisés, vérifiez que le compte existe et dispose des autorisations appropriées :

# Vérifiez si le compte de service existe (pour les comptes personnalisés)
Get-LocalUser -Name "ServiceAccountName" -ErrorAction SilentlyContinue

# Vérifiez les droits de connexion du service
secedit /export /cfg C:\temp\secpol.cfg
Select-String "SeServiceLogonRight" C:\temp\secpol.cfg

# Vérifiez la configuration du registre du service
Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\ServiceName" | Format-List

# Vérifiez les autorisations de l'exécutable du service
$servicePath = (Get-WmiObject -Class Win32_Service -Filter "Name='ServiceName'").PathName
Get-Acl $servicePath.Split('"')[1] | Format-List

5. Si vous utilisez un compte de service personnalisé, réinitialisez le mot de passe et mettez à jour la configuration du service
6. Accordez les autorisations nécessaires au compte de service pour les répertoires et clés de registre requis
7. Testez le démarrage du service après les modifications d'autorisation

Enquêter sur l'intégrité du fichier exécutable du service et la corruption des fichiers système qui pourraient causer des échecs de service :

1. Identifier le chemin du fichier exécutable du service à partir du registre ou de Services.msc
2. Exécuter des vérifications de l'intégrité des fichiers système pour détecter la corruption :

# Obtenir le chemin du fichier exécutable du service
$servicePath = (Get-WmiObject -Class Win32_Service -Filter "Name='ServiceName'").PathName
Write-Host "Chemin du service : $servicePath"

# Vérifier si le fichier exécutable du service existe et est accessible
Test-Path $servicePath.Split('"')[1]
Get-ItemProperty $servicePath.Split('"')[1] | Select-Object Name, Length, LastWriteTime

# Exécuter le vérificateur de fichiers système
sfc /scannow

# Vérifier l'intégrité du magasin de composants Windows
Dism /Online /Cleanup-Image /CheckHealth
Dism /Online /Cleanup-Image /ScanHealth

3. Si SFC trouve une corruption, exécuter sfc /scannow à nouveau après les réparations DISM
4. Pour les services tiers, réinstaller l'application ou le service
5. Vérifier les journaux antivirus pour les fichiers mis en quarantaine liés au service
6. Désactiver temporairement la protection en temps réel et tester le démarrage du service

# Vérifier le journal des événements Windows pour les résultats SFC
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Microsoft-Windows-SFC'} -MaxEvents 5

Mettre en œuvre des techniques de dépannage avancées, y compris la configuration de la récupération de service et la journalisation détaillée :

1. Configurer les options de récupération de service pour redémarrer automatiquement les services défaillants :

# Configurer la récupération de service en utilisant sc.exe
sc.exe failure "ServiceName" reset= 86400 actions= restart/5000/restart/5000/restart/5000

# Activer l'audit des échecs de service
auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable

# Créer un journal d'événements personnalisé pour la surveillance des services
New-EventLog -LogName "ServiceMonitoring" -Source "CustomServiceMonitor" -ErrorAction SilentlyContinue

2. Activer la journalisation détaillée des services en modifiant les paramètres du registre :

# Activer la journalisation du gestionnaire de contrôle des services
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control" -Name "ServiceControlManagerDebugLevel" -Value 1

# Activer la journalisation de démarrage pour l'analyse du démarrage des services
bcdedit /set bootlog yes

# Surveiller le démarrage des services avec un minutage détaillé
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7036,7040} -MaxEvents 20 | Sort-Object TimeCreated

3. Utiliser Windows Performance Toolkit pour une analyse avancée des services :
4. Créer un script de surveillance PowerShell pour vérifier en continu la santé des services :

# Script de surveillance de la santé des services
$serviceName = "YourServiceName"
while ($true) {
    $service = Get-Service -Name $serviceName -ErrorAction SilentlyContinue
    if ($service.Status -ne "Running") {
        Write-EventLog -LogName "ServiceMonitoring" -Source "CustomServiceMonitor" -EventId 1001 -EntryType Warning -Message "Service $serviceName is not running. Status: $($service.Status)"
        Start-Service -Name $serviceName -ErrorAction SilentlyContinue
    }
    Start-Sleep -Seconds 30
}