hackman
Goto Top

Zugriff auf Server 2003 mit Administratorrechten legt Netz lahm

Hallo zusammen!

Ich bin einer von 4 Administratoren in einer Firma. Bisher konnte ich meine Probleme immer selber lösen. Jetzt sieht es aber so aus, als würde ich ohne Eure Hilfe nicht weiterkommen. Folgendes ist das Problem:

Server1: W2k3 DC, FSMO, Fileserver
Server2: W2k3 Member, Exchange2003, WebServer
Server3: W2k3 DC, SQL Server
IsaServer: ISA-Server face-smile

Wenn wir (die Administratoren) uns mit unseren "normalen" Benutzerkonten zu Mitgliedern der Administratorengruppe machen, wird der Zugriff aus Server1 grottenlahm.
Hier gibt es einen ähnlichen Thread - da ist aber nur der Zugriff des einzelnen Benutzers langsam. In unserem Fall, legen wir das gesamte Netz lahm. Der Zugriff von jedem Rechner auf dem Server ist langsam und wird später unmöglich.
Reagieren wir nicht, geht es so weit, dass sich das Problem nur durch einen Neustart des Server1 lösen lösst.
Witzig ist, dass wir das Problem vor ca. einem Jahr schon einmal hatten und uns Adminss dann die Admin-Rechte entzogen haben. Dann, nach diversen ServicePacks und Updates haben wir irgendwann, vor ein paar Monaten, wieder Admin-Rechte vergeben und bis vor einer Woche lief alles problemlos. Jetzt geht der Sch... wieder los.
Das Sicherheitsprotokoll wird, während das Problem besteht für jeden angemeldeten Admin 10x hintereinander mit folgenden 3 Ereignissen geflutet, und das alle paar Sekunden:

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 29.04.2008
Zeit: 12:08:29
Benutzer: XXXX\mmg
Computer: SERVER1
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: DC=XXXX,DC=local
Handlekennung: 107622776
Vorgangskennung: {0,1061157263}
Prozesskennung: 544
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: SERVER1$
Primäre Domäne: XXXX
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: mmg
Clientdomäne: XXXX
Clientanmeldekennung: (0x0,0x3F3A1FDF)
Zugriffe DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Kennwortparameter lesen
Andere Parameter lesen
Andere Parameter schreiben
Benutzer erstellen
Globale Gruppe erstellen
Lokale Gruppenmitgliedschaft erhalten
Konten auflisten
Berechtigungen -
Eigenschaften:
---
domain
DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Kennwortparameter lesen
Andere Parameter lesen
Andere Parameter schreiben
Benutzer erstellen
Globale Gruppe erstellen
Lokale Gruppenmitgliedschaft erhalten
Konten auflisten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 29.04.2008
Zeit: 12:08:29
Benutzer: XXXX\mmg
Computer: SERVER1
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=XXXX,DC=local
Handlekennung: 108064360
Vorgangskennung: {0,1061157277}
Prozesskennung: 544
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: SERVER1$
Primäre Domäne: XXXX
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: mmg
Clientdomäne: XXXX
Clientanmeldekennung: (0x0,0x3F3A1FDF)
Zugriffe DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Kennwortparameter lesen
Andere Parameter lesen
Andere Parameter schreiben
Benutzer erstellen
Globale Gruppe erstellen
Lokale Gruppenmitgliedschaft erhalten
Konten auflisten
Berechtigungen -
Eigenschaften:
---
domain
DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Kennwortparameter lesen
Andere Parameter lesen
Andere Parameter schreiben
Benutzer erstellen
Globale Gruppe erstellen
Lokale Gruppenmitgliedschaft erhalten
Konten auflisten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 29.04.2008
Zeit: 12:08:29
Benutzer: XXXX\mmg
Computer: SERVER1
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_USER
Objektname: S-1-5-21-444805231-3144893250-2464693036-1278
Handlekennung: 108064784
Vorgangskennung: {0,1061157295}
Prozesskennung: 544
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: SERVER1$
Primäre Domäne: XXXX
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: mmg
Clientdomäne: XXXX
Clientanmeldekennung: (0x0,0x3F3A1FDF)
Zugriffe DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Allgemeine Informationen lesen
Einstellungen lesen
Einstellungen schreiben
Anmeldung lesen
Konto lesen
Konto schreiben
Kennwort setzen (mit Kenntnis des alten Kennworts)
Gruppen auflisten
Berechtigungen -
Eigenschaften:
---
user
DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Allgemeine Informationen lesen
Einstellungen lesen
Einstellungen schreiben
Anmeldung lesen
Konto lesen
Konto schreiben
Kennwort setzen (mit Kenntnis des alten Kennworts)
Gruppen auflisten
General Information
codePage
countryCode
objectSid
primaryGroupID
sAMAccountName
comment
displayName
Account Restrictions
accountExpires
pwdLastSet
userAccountControl
userParameters
Logon Information
badPwdCount
homeDirectory
homeDrive
lastLogoff
lastLogon
logonCount
logonHours
logonWorkstation
profilePath
scriptPath
Public Information
description
Group Membership
memberOf
Change Password
Reset Password
%{7ed84960-ad10-11d0-8a92-00aa006e0529}
Zugriffsmaske: 0
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Melden wir (Admins) uns rechtzeitig ab, läuft der Zugriff wieder Problemlos.
Auffällig ist, dass in dieser Zeit die durchschnittliche Warteschlangenlänge dramatisch ansteigt. Von 1-3 auf 20-30. Wenn der Server dann kolabiert, steigt die Warteschlangenlänge auf bis zu 100.
Auch die Zahl der Kontextwechsel schnellt in die Höhe.
So langsam bin ich ratlos und hoffe, ihr könnt dazu was sagen.
Vielen Dank schonmal im Voraus

Marc

Content-Key: 86666

Url: https://administrator.de/contentid/86666

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: hackman
hackman 06.05.2008 um 12:18:44 Uhr
Goto Top
Hallo,
ich wollte den Thread nochmal nach oben holen, vielleicht kann doch jemand helfen. Bis jetzt habe ich immer noch keine Lösung gefunden und es ist sehr wichtig.
Viele Grüße
Marc
Mitglied: THinrichs
THinrichs 19.06.2008 um 10:07:14 Uhr
Goto Top
hi,

leider kann ich dir nicht wirklich helfen. Ich habe leider genau das selbe Problem.

Hast Du es in den griff bekommen???

Grüße
Tobias
Mitglied: hackman
hackman 19.06.2008 um 10:25:51 Uhr
Goto Top
Hallo Tobias,
nein, leider immer noch nicht.
Scheint nicht so häufig aufzutreten.
Wir behelfen uns halt damit, das wir Admins keine mehr sind face-smile

Grüße
Marc