16
Domaincontroller und LSASS.EXE
Ich habe 2 Domaincontroller einmal DC-01 und einmal DC-02.
DC-02 hat aus unerklärlichen gründen seid gestern eine Systemauslastung von 100% die LSASS.EXE hat nen anteil von 70%, dies war früher nicht der fall, das seltsame ist DC-01 scheint wärenddessen nichts zu machen (siehe mrtg statistik bilder)
ich weiß nicht woran es liegt!!
mfg
Auron2k
DC-02 hat aus unerklärlichen gründen seid gestern eine Systemauslastung von 100% die LSASS.EXE hat nen anteil von 70%, dies war früher nicht der fall, das seltsame ist DC-01 scheint wärenddessen nichts zu machen (siehe mrtg statistik bilder)
ich weiß nicht woran es liegt!!
mfg
Auron2k
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23789
Url: https://administrator.de/contentid/23789
Ausgedruckt am: 26.11.2024 um 08:11 Uhr
16 Kommentare
Neuester Kommentar
Hi,
hast Du auf dem/den Server(n) eine Antivirenlösung laufen?
LSASS.EXE könnte ein Zeichen dafür sein, dass Du Dir einen
Sasser Virus eingefangen hast.
Würde ich mal mit eScan und McAffee Stinger durchscannen,
wenn die was finden solltest Du sofort den Server vom LAN trennen
und ihn eventuell mit einer Windows PE (BartPE) CD booten und reinigen.
Gruss
cykes
hast Du auf dem/den Server(n) eine Antivirenlösung laufen?
LSASS.EXE könnte ein Zeichen dafür sein, dass Du Dir einen
Sasser Virus eingefangen hast.
Würde ich mal mit eScan und McAffee Stinger durchscannen,
wenn die was finden solltest Du sofort den Server vom LAN trennen
und ihn eventuell mit einer Windows PE (BartPE) CD booten und reinigen.
Gruss
cykes
den scannt hat ich am laufen als ich hier geposted habe, leider hat er nichts gefunden. Scheint an was anderen zu liegen.
Hast Du mal in die Ereignisanzeige geschaut? Irgendwelche Fehler/Warnungen?
ja, aber glaube auch nicht, das es daran liegt.
fehler: ID 770 AlertManager
ID 257 AlertManager Event Interface
Warnungen: ID 1010 Winlogon
ID 770 AlertManager
ID 257 AlertManager Event Interface
Treten unregelmäßig auf.
fehler: ID 770 AlertManager
ID 257 AlertManager Event Interface
Warnungen: ID 1010 Winlogon
ID 770 AlertManager
ID 257 AlertManager Event Interface
Treten unregelmäßig auf.
Was steht denn in der Fehlermeldung als Meldungstext (ID 770) drin?
Und in der ID 1010 Winlogon Meldung?
Und in der ID 1010 Winlogon Meldung?
ID 770
Warnungs-Manager konnte Warnmeldung nicht senden.
Gerätetyp: "Network Message"
Gewünschter Empfänger: "\\LocalSystem"
Nachricht: "Der Scanvorgang wurde abgebrochen um 2006 1 17 16:35:18.(von MUE-ILP-DC-02 IP 192.168.10.247 Benutzer administrator Software VirusScan Enter 8.0 Scan Laufwerk C)"
ID 1010
Automatische Registrierung bei der Zertifizierungsstelle ilpcert für ein Zertifikat des Typs DomainController ist fehlgeschlagen. (0x800706ba) Der RPC-Server ist nicht verfügbar.
. Der Vorgang wird bei einer anderen Zertifizierungsstelle versucht.
Warnungs-Manager konnte Warnmeldung nicht senden.
Gerätetyp: "Network Message"
Gewünschter Empfänger: "\\LocalSystem"
Nachricht: "Der Scanvorgang wurde abgebrochen um 2006 1 17 16:35:18.(von MUE-ILP-DC-02 IP 192.168.10.247 Benutzer administrator Software VirusScan Enter 8.0 Scan Laufwerk C)"
ID 1010
Automatische Registrierung bei der Zertifizierungsstelle ilpcert für ein Zertifikat des Typs DomainController ist fehlgeschlagen. (0x800706ba) Der RPC-Server ist nicht verfügbar.
. Der Vorgang wird bei einer anderen Zertifizierungsstelle versucht.
Wenn Du die C'T 23/2005 irgendwo zur Hand hast, erstell' Dir mal auf einem garantiert
sauberen System mit Windows XP oder 2k3 mit dem auf der Heft CD befindlichen PEBuilde.
Starte von der erstellten BootCD mal den Server (ohne Netzwerkverbindung)
und scanne mal nach Viren.
Sieht fast so aus, als würde da irgendwas den Scnvorgang des vorhandenen Virenscanners
abbrechen.
Würde immer noch auf den Sasser oder eine Variante tippen.
sauberen System mit Windows XP oder 2k3 mit dem auf der Heft CD befindlichen PEBuilde.
Starte von der erstellten BootCD mal den Server (ohne Netzwerkverbindung)
und scanne mal nach Viren.
Sieht fast so aus, als würde da irgendwas den Scnvorgang des vorhandenen Virenscanners
abbrechen.
Würde immer noch auf den Sasser oder eine Variante tippen.
Also ich weiß 100% das es kein Virus, Wurm bzw. Trojaner ist. Den heute morgen seid hat das problem der DC-01. Die Wechseln sich irgendwie ab. Und wieder ist die LSASS.EXE mit über 70% dabei.
Das sieht also nicht nach virus an.
Nochmal MRTG Bilder von heute morgen (zwischen 22uhr und 3uhr haben die beiden nen abgleich gemacht wie es aussieht)
DC-01
DC-02
Das sieht also nicht nach virus an.
Nochmal MRTG Bilder von heute morgen (zwischen 22uhr und 3uhr haben die beiden nen abgleich gemacht wie es aussieht)
DC-01
DC-02
Hi,
was mich noch ein bischen stutzig macht, ist die Winlogon Warnung mit ID 1010.
Lies Dir vielleicht mal diesen Thread auf einem anderen Board durch.
Es könnte sein, dass (und daran ist auch der LSASS Prozess beteiligt) die beiden
Domain Controller irgendwie ihre Vertrauensstellung nicht mehr haben bzw.
die Vetrauensstellung auf einem (inzwischen) ungültigen Zertifikat beruht.
-->http://www.experts-exchange.com/Operating_Systems/Win2000/Q_21617027.html
Gruss
cykes
was mich noch ein bischen stutzig macht, ist die Winlogon Warnung mit ID 1010.
Lies Dir vielleicht mal diesen Thread auf einem anderen Board durch.
Es könnte sein, dass (und daran ist auch der LSASS Prozess beteiligt) die beiden
Domain Controller irgendwie ihre Vertrauensstellung nicht mehr haben bzw.
die Vetrauensstellung auf einem (inzwischen) ungültigen Zertifikat beruht.
-->http://www.experts-exchange.com/Operating_Systems/Win2000/Q_21617027.html
Gruss
cykes
Kann es sonst noch was außer der Zertifikate sein?
EDIT: Das mit den Zertifikaten passt auch alles!! Muss also was anderes sein.
EDIT: Das mit den Zertifikaten passt auch alles!! Muss also was anderes sein.
Das beschriebene Phänomen stelle ich seit etwa fünf Tagen auch auf einem meiner Rechner fest. Es ist ein nicht vernetzter PC, XP Prof, Zone Alarm etc. pp., der nur zum Surfen und Testen genutzt wird. Nach dem Booten läuft alles normal, auch während einer Internetsitzung ist alles problemlos, die Prozessor-Auslastung entspricht den Erwartungen. Erst direkt nach Beendigung der jeweiligen Internet-Sitzung geht die Prozessorauslastung auf 100 Prozent, wobei die Lsass.exe daran je nach dem zwischen 80 und 90 Prozent Anteil hat. Nach einem Neustart ist alles wieder völlig normal.
Die üblichen Massnahmen (Viren und Trojanercheck mit aktuellsten Signaturen, Suche nach Malware jeglicher Art) hat kein Ergebnis gebracht.
Ich vermute mittlerweile dass möglicherweise die auf diesem Rechner installierte Software
T-online 6.0 daran nicht ganz unbeteiligt sein könnte. Es sieht so aus als dort wieder mal eine "Programm-Aktualisierung" vorgenommen wurde, die in diesem Fall automatisch im Hintergrund abläuft. Ein zweiter, baugleicher Rechner mit gleicher Software, abr T-online 5.0 ist davon nicht betroffen, hier läuft alles wie gewohnt.
Ist auf Ihrem System zufällig auch T-Online 6.0 am Werk?
Die üblichen Massnahmen (Viren und Trojanercheck mit aktuellsten Signaturen, Suche nach Malware jeglicher Art) hat kein Ergebnis gebracht.
Ich vermute mittlerweile dass möglicherweise die auf diesem Rechner installierte Software
T-online 6.0 daran nicht ganz unbeteiligt sein könnte. Es sieht so aus als dort wieder mal eine "Programm-Aktualisierung" vorgenommen wurde, die in diesem Fall automatisch im Hintergrund abläuft. Ein zweiter, baugleicher Rechner mit gleicher Software, abr T-online 5.0 ist davon nicht betroffen, hier läuft alles wie gewohnt.
Ist auf Ihrem System zufällig auch T-Online 6.0 am Werk?
Kann es sonst noch was außer der
Zertifikate sein?
EDIT: Das mit den Zertifikaten passt auch
alles!! Muss also was anderes sein.
Zertifikate sein?
EDIT: Das mit den Zertifikaten passt auch
alles!! Muss also was anderes sein.
Laut der Fehlermeldung oben (ID 1010) erreicht er aber Euren lokalen Zertifikatserver nicht,
ich vermute mal, dass ilpcert der lokale Zert-Server ist...
ich meine, der fehler wurde beseitigt ;)
jetzt schmeißt er keinen event 1010
@Sarastro
nein diese software ist nicht am werk
jetzt schmeißt er keinen event 1010
@Sarastro
nein diese software ist nicht am werk
Freut mich zu hören dass bei Euch das Problem gelöst ist. Darf ich fragen was Ihr als Ursache/Abhilfe unternommen habt? Vielen Dank für die Mühe!
das problem ist nicht gelöst, ich hab nur gesagt, dass es nichts mit den zertifikaen zu tun hat
hast du eine lösung gefunden?
haben bei uns jetzt das gleiche problem.
haben bei uns jetzt das gleiche problem.
