洛胭 2026-02-26 14:10 采纳率: 98.7%
浏览 0
已采纳

0x0000011b错误:Windows打印服务无法启动,如何修复?

**问题描述(198字):** Windows 更新后(尤其是2021年KB5005039、KB5006670等补丁),部分设备出现“打印服务无法启动”,事件查看器报错0x0000011b,提示“驱动程序未通过签名验证”或“RPC服务器不可用”。该错误本质是微软为修复PrintNightmare漏洞而强化了打印机驱动签名强制策略,导致未签名、过期或第三方(如HP、Epson旧版)驱动被系统拒绝加载。服务依赖项(RPC、DCOM Server Process Launcher)可能异常,注册表中`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers`下残留损坏项亦会触发此错误。常见现象包括:添加打印机失败、已安装打印机变灰、远程打印中断、Spooler服务反复停止。该问题高频发生于Windows 10 20H2/21H1及Windows 11 21H2+版本,企业环境中影响批量部署与共享打印。需结合签名策略调整、驱动更新与服务修复协同处理,而非单一重启服务即可解决。
  • 写回答

1条回答 默认 最新

  • The Smurf 2026-02-26 14:11
    关注
    ```html

    一、现象层:典型故障表征与日志诊断

    • Spooler服务启动失败,状态持续显示“已停止”,手动启动报错0x0000011b;
    • 事件查看器【Windows 日志 → 系统】中高频出现ID 7000/7009/7023,提示“Print Spooler服务依赖的RPC服务不可用”;
    • 【应用程序和服务日志 → Microsoft → Windows → PrintService → Admin】记录关键错误:“驱动程序未通过签名验证(Error 0x800B010A)”;
    • 设备管理器中打印机驱动显示黄色感叹号,属性→详细信息→签名状态为“未签名”或“已过期”;
    • 企业环境中,域控下发的GPO策略(如“启用驱动程序强制签名”)加剧该问题扩散。

    二、机制层:PrintNightmare补丁引发的策略级变更

    自2021年8月起,微软通过KB5005039(Win10)、KB5006670(Win10/11)等更新,将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers下的DriverIsolation默认值由0强制设为1(隔离模式),并启用RequireSignedDrivers注册表项(DWORD=1)。该变更本质是关闭内核模式驱动加载白名单通道,使所有非WHQL签名、非Microsoft Catalog签名、或签名时间戳早于2021-07-01的驱动被ci.dll(Code Integrity)模块拦截——这正是0x0000011b的根本成因。

    三、依赖链分析:服务拓扑与启动时序依赖

    graph LR A[Print Spooler] --> B[RPC Endpoint Mapper] A --> C[DCOM Server Process Launcher] A --> D[Remote Procedure Call RPC] B --> E[LSASS] C --> F[svchost.exe -DcomLaunch] D --> G[winlogon.exe] style A fill:#ff9999,stroke:#333 style B fill:#99ccff,stroke:#333 style C fill:#99ccff,stroke:#333

    四、根因矩阵:多维触发因素交叉验证表

    维度具体表现验证命令修复优先级
    驱动签名HP Universal Print Driver v6.7.0(2020年发布)被拒绝signtool verify /v /pa "C:\Windows\System32\spool\drivers\x64\3\PCL6UI.DLL"★★★★★
    注册表残留HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\HP_LaserJet_M605下存在空Port或损坏PrinterDriverDatareg query "HKLM\SYSTEM\CurrentControlSet\Control\Print\Printers" /s★★★★☆
    服务依赖状态sc query RpcSs返回STATE: 1 WIN32_EXIT_CODE 1053sc qc spooler 显示DEPENDENCIES: RpcSs/ DcomLaunch★★★☆☆

    五、企业级解决方案栈(分阶段实施)

    1. 紧急止血:执行Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Print" -Name "RequireSignedDrivers" -Value 0 -Type DWord -Force(需重启Spooler);
    2. 驱动治理:使用pnputil /enum-drivers | findstr /i "printer"枚举所有驱动包,卸载oem*.inf中无有效WHQL签名的旧包;
    3. 注册表清理:导出HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers后,用PowerShell脚本递归删除Port=""DefaultPort=""键值项;
    4. 长期加固:部署Intune策略禁用Computer Configuration\Administrative Templates\Printers\Point and Print Restrictions中的“仅允许服务器上的驱动程序”;
    5. 自动化检测:在SCCM/Endpoint Analytics中部署自定义检测脚本,监控Get-Service Spooler | % Status + Get-WinEvent -FilterHashtable @{LogName='System';ID=7000;StartTime=(Get-Date).AddHours(-24)}

    六、避坑指南:高危操作警示

    • ❌ 禁止直接删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler\DependOnService——将导致系统无法启动;
    • ❌ 禁止全局禁用驱动签名(bcdedit /set testsigning off)——违反FIPS 140-2合规要求;
    • ✅ 推荐采用“签名豁免清单”机制:通过Set-PrinterDriver -Name "HP Universal V7" -EnableOptionalExtensions $true启用现代驱动扩展模型;
    • ✅ 对于遗留设备,应构建本地WHQL签名代理服务(基于Azure SignTool + Hardware Dev Center证书链)。
    ```
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 已采纳回答 2月27日
  • 创建了问题 2月26日