ottscho
Goto Top

Überlastung Windows 2003 R2 Server

Guten Morgen,

wir haben einen Windows 2003 R2 Server, welcher der DC Master ist.
Außerdem ist es ein Fileserver welcher noch Exchange 2007 betreibt.
Der Server verfügt über ein paar interne Platten und ein iSCSI Speicher Array.

Mein Problem:
Ich melde mich des öfteren per RDP an (aber auch ab und zu direkt am Sever),
der Anmeldeprozess dauert sehr lange und in dieser Zeit ist das System voll ausgelasstet.
Es spielt keine Rolle, ob ich den Admin abmelde, oder die Sitzung offen lasse!

D.H. Exchange reagiert nicht mehr und die Netzlaufwerke (AD) sind auch kaum oder nur schlecht verfügbar.
Nach ca. 5 Minuten hat alles ein Ende. Der Admin ist angemeldet und das System läuft wieder.

In den Ereignislogs kann ich keinerlei Informationen finden?

Jmd eine Idee woran dies liegen könnte?

Danke

Gruß
ottscho

Content-Key: 150272

Url: https://administrator.de/contentid/150272

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 03.09.2010 um 10:53:09 Uhr
Goto Top
Du könntest procmon nutzen, um das genau aufzuzeichnen, denn procmon kennt die Option bootlogging, so dass er schon vor der Anmeldung mit der Aufzeichnung beginnt.
Eine Vermutung, mal ins Blaue geraten - Du nutzt Kaspersky AV.
Mitglied: ottscho
ottscho 03.09.2010 um 11:12:05 Uhr
Goto Top
Nein, Avira Antivir.
Aber ich glaube das macht es nicht besser... ;)

Muss ich das Tool starten und dann den Haken setzen bei "Enable Bootlogging" und nun das Programm offen lassen?
Schreibt er die Logdatei irgendwo hin?
Mitglied: DerWoWusste
DerWoWusste 03.09.2010 um 11:18:53 Uhr
Goto Top
Den Dienst des Scanners einmal deaktivieren, soviel Test muss sein. Das Log schreibt er nach %windir%\temp, wenn ich mich nicht irre und ja, so geht es.
Mitglied: ottscho
ottscho 03.09.2010 um 11:28:23 Uhr
Goto Top
Den Dienst hatte ich heute Morgen deaktiviert.

Jetzt habe ich diesen wieder aktiviert und die Logs aktiviert... Dann mal schauen beim nächsten Aussetzer wer oder was der Verursacher ist.
Mitglied: ottscho
ottscho 03.09.2010 um 11:35:44 Uhr
Goto Top
mhhh, das Problem welches ich jetzt noch habe.
Mein Fehler lässt sich nicht einfach provozieren.
Ich melde mich jeden Tag mehrmals per RDP oder direkt an, und 10 mal geht es gut.
Das 11 Mal ist dann die Überlastung da...

Wenn ich den PROCMON jetzt so lange laufen lasse, wird die LOG File einfach zu groß.
Mitglied: DerWoWusste
DerWoWusste 03.09.2010 um 11:40:44 Uhr
Goto Top
Man kann die History depth einstellen (wie viele Events sollen geloggt werden, bis überschrieben wird) oder aber auch mit psexec per Kommandozeile von remote aus einen Start hervorrufen, bevor Du Dich anmeldest.
Mitglied: ottscho
ottscho 03.09.2010 um 11:58:33 Uhr
Goto Top
okay danke. Mit depth kann ich leider nur bis 1 Millionen Einträge runter, das ist noch zu viel.

Nun habe ich es mit psexec versucht. Die Verbindung klappt, aber das Programm startet nicht. Ich hab es einfach mal mit calc versucht:

C:\PsTools>psexec \\srv01 -i -u tw-elektric\administrator calc

PsExec v1.98 - Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals - www.sysinternals.com

Password:

PsExec could not start calc on srv01:
Falscher Parameter.

EDIT:

Bin jetzt weiter gekommen.

C:\PsTools>PsExec.exe \\srv01 -u tw-elektric\administrator c:\procmon.exe

PsExec v1.98 - Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals - www.sysinternals.com

Password:


Wenn ich danach auf den Server wechsle, sehe ich im Taskmanager dass das Programm läuft. Aber ich habe kein Fenster?
Mitglied: DerWoWusste
DerWoWusste 03.09.2010 um 12:10:39 Uhr
Goto Top
Starte zunächst mal was lokal bei Dir über \\DeinRechner. Keine Ahnung, woran das liegt, wohl nicht an einem falschen Parameter, wie angegeben.
Aber zu dem Log: 1 Mio ist zuviel? Warum das denn? Wird sicher nicht größer als ein paar MB werden.
Mitglied: ottscho
ottscho 03.09.2010 um 14:05:45 Uhr
Goto Top
Okay, ich hatte eben procmon am laufen. nun wollte ich mich per RDP anmeldet. Es kam eine Fehlermeldung, dass kein virtuellre Speicher mehr verfügbar ist. Alles blieb hängen und der Server ist neugestartet bzw. abgestürzt und neugestartet...

Die Logs sind nun leider auch weg, da ich nicht dazu kam zu speichern.

Was ich gesehen habe ist kruz vor dem Absturtz zwei Warnungen im Ereignislog von avgntfl. Beschreibung gibts leider keine.
Dies gehört auf jeden Fall zu Avira.
Mitglied: DerWoWusste
DerWoWusste 03.09.2010 um 14:18:08 Uhr
Goto Top
Benutze wieder -i bei procmon, dann ist er sichtbar.
Mitglied: ottscho
ottscho 03.09.2010 um 14:43:33 Uhr
Goto Top
So, habe mich nun mit dem Support von AVIRA beraten.
Diese haben mir geraten auf die aktulle 10er Version upzudaten und dann gibt es noch einen Hotfix.

Ich hoffe das bringt was.