9
+100.000 NTUSER.DAT files müllen Temp Folder im Minutentakt zu
Guten Tag zusammen,
seit einigen Wochen haben wir das Problem, dass NTUSER.DAT Files im Minutentakt unseren C:\Temp folder auf dem Adminserver in unserer Testumgebung zumüllen und es hört nicht auf. Das läuft dann immer so weit, bis die Files 100% des Speichers eingenommen haben, der Server keine Updates mehr ziehen kann und all unsere Systeme Alarm schlagen.
Aktuell mache ich mir die Mühe und lösche die Dateien mehr oder weniger täglich, damit dies nicht vorkommt. Über Nacht sind es nun schon wieder an die 8GB an Dateien, die erstellt wurden.
Weiß hier irgendjemand Abhilfe? Ich muss dazu sagen, das ist unser Testserver, wo wir nicht wie in der Produktiv einen eigenen Fileserver für die Homelaufwerke etc. angebunden haben. Könnte es womöglich damit zusammenhängen? Allerdings hat es die letzten Jahre so auch immer problemlos funktioniert.
Betriebssystem ist ein Windows Server 2016
Für Tipps, Anregungen wäre ich sehr dankbar!
seit einigen Wochen haben wir das Problem, dass NTUSER.DAT Files im Minutentakt unseren C:\Temp folder auf dem Adminserver in unserer Testumgebung zumüllen und es hört nicht auf. Das läuft dann immer so weit, bis die Files 100% des Speichers eingenommen haben, der Server keine Updates mehr ziehen kann und all unsere Systeme Alarm schlagen.
Aktuell mache ich mir die Mühe und lösche die Dateien mehr oder weniger täglich, damit dies nicht vorkommt. Über Nacht sind es nun schon wieder an die 8GB an Dateien, die erstellt wurden.
Weiß hier irgendjemand Abhilfe? Ich muss dazu sagen, das ist unser Testserver, wo wir nicht wie in der Produktiv einen eigenen Fileserver für die Homelaufwerke etc. angebunden haben. Könnte es womöglich damit zusammenhängen? Allerdings hat es die letzten Jahre so auch immer problemlos funktioniert.
Betriebssystem ist ein Windows Server 2016
Für Tipps, Anregungen wäre ich sehr dankbar!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670094
Url: https://administrator.de/forum/100-000-ntuser-dat-files-muellen-temp-folder-im-minutentakt-zu-670094.html
Ausgedruckt am: 18.01.2025 um 13:01 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Lass mal den ProcMon aus den Sysinternals laufen und filtere auf o.g. Verzeichnis. Dann sollte man zumindest fest schon mal den verursachenden Prozess identifizieren können…
Lass mal den ProcMon aus den Sysinternals laufen und filtere auf o.g. Verzeichnis. Dann sollte man zumindest fest schon mal den verursachenden Prozess identifizieren können…
Gute Idee, werde ich gleich mal machen, danke Dir!
Moin,
hört sich nach einem defekten Profil an. Schon mal ins Eventlog geguckt?
lg,
Slainte
hört sich nach einem defekten Profil an. Schon mal ins Eventlog geguckt?
lg,
Slainte
Also wenn ich mit dem Filter "Path is" auf "C:\temp" verweise, werden mir viele IRP_MJ Operationen bestehend aus "Create", "Cleanup" und "Close" angezeigt.
Kannst Du damit etwas anfangen? Ich habe diesen Process Monitor bisher noch nicht benutzt.
Kannst Du damit etwas anfangen? Ich habe diesen Process Monitor bisher noch nicht benutzt.
Hi, ja, allerdings nichts finden können. Hab irgendwie das Gefühl, dass das Eventlog dies nicht als Fehler erkennt und daher nichts dazu abspeichert.
Moin,
meine erste Maßnahme wäre es, diesen Server einmal durchzustarten.
meine erste Maßnahme wäre es, diesen Server einmal durchzustarten.
3
Kann auch Wunder bewirken :D Mache ich auch gleich mal.
Seit dem Neustart, keine NTUSER.DAT Files mehr. Allerdings bin ich noch etwas vorsichtig und beobachte das mal die nächsten Tage. Aktuell bin nur ich auf dem Server angemeldet. Werde mich ggf. nochmal melden, wenn sich etwas ändern sollte. Danke schon mal an alle!
Die Frage mit procmon war doch nach dem Prozessnamen, der die Schreib-/Create-Operation durchführt - welcher ist das?
Wenn's nochmal kommt, teile das.
Das darf nicht passieren. Am wahrscheinlichsten ist mir ein Skript, dass dir nicht bewusst ist, das nicht korrekt arbeitet. Oder eine Malware, aber Malwareautoren können meist besser coden, als Admins
Oder eben die immer währende Möglichkeit eines Bugs in Windows.
Gesehen habe ich das noch nie.
Ist c:\temp denn der Pfad, auf den irgendeine Variable weist?
Wenn's nochmal kommt, teile das.
Das darf nicht passieren. Am wahrscheinlichsten ist mir ein Skript, dass dir nicht bewusst ist, das nicht korrekt arbeitet. Oder eine Malware, aber Malwareautoren können meist besser coden, als Admins
Oder eben die immer währende Möglichkeit eines Bugs in Windows.
Gesehen habe ich das noch nie.
Ist c:\temp denn der Pfad, auf den irgendeine Variable weist?
