ahstax
Goto Top

Netzwerk vorübergehend weg

Hallo,

folgendes Szenario stellt sich dar:

Im Netzwerk mit Win7-PCs wurden Switche ausgetauscht. Grundsätzlich funktioniert alles mindestens so gut wie vor dem Austausch, eher besser, performanter. (Tatsächlich weiß ich auch nicht mit Gewissheit, ob das im Folgenden geschilderte Problem wirklich mit den Switchen zu tun hat oder ob es nur zeitlich zufällig ist).

Ziemlich genau zwei mal am Tag um etwa 10:00Uhr und um etwa 15:00Uhr ist das Netzwerk im Prinzip tot. Gerade war es ziemlich genau zwischen 10:03Uhr und 10:08Uhr.
Die Symptome umfassen:

- Domänen-PCs reagieren nicht mehr auf Eingaben
- Netzwerklaufwerke sind nicht mehr verfügbar
- Outlook, das auf einen Exchange-Server zugreift, reagiert auf keine Eingabe

interessanterweise ist in der Windows-Protokollierung kein Hinweis auf irgegendwas zu finden.
Pings kann ich manuell während des Ausfalls leider nicht ausführen (zumindest habe ich noch nicht rechtzeitig dran gedacht, Pings auszuführen), da der PC ja nicht auf Eingaben reagiert. Ein Tool, das aber die ganze Zeit läuft und sozusagen dauerpingt hat aber keine Ausfälle gemonitort (alle vorgegebenen internen und externen Ziele werden ununterbrochen erreicht).

Wo könnte man denn noch ansetzen/etwas auslesen, um des Pudels Kerns zu ergründen?

Neugierige Grüße,
Andreas

Content-ID: 443543

Url: https://administrator.de/forum/netzwerk-voruebergehend-weg-443543.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 23.04.2019 aktualisiert um 12:39:29 Uhr
Goto Top
Zitat von @ahstax:

Wo könnte man denn noch ansetzen/etwas auslesen, um des Pudels Kerns zu ergründen?


Sind es managebare switche? Dann auf stp und loops prüfen.

ggf eine Sniffer mitlaufen lassen, der mitprotokolliert, was sich im Netz tut, z.B. einen Pi.

lks

Edit: Typo
SlainteMhath
Lösung SlainteMhath 23.04.2019 um 12:19:37 Uhr
Goto Top
Moin,

@Lochkartenstanzer
mabagebare switche .... mitorotokolliert ....
Also langsam nimmt das mit Dir überhand... face-smile

@ahstax
Hört sich für mich wie ein wildgewordener AV-Scanner an. Was habt ihr im Einsatz, und sind zu den Zeiten evtl, Scans eingeplant?
Zu den Ausfallzeiten: geht ein Ping von Server zu Server oder zu Client?

lg,
Slainte
aqui
aqui 23.04.2019 aktualisiert um 12:58:28 Uhr
Goto Top
Hört sich stark nach STP Problem an sofern es wirklich die Netzwerk Infrastruktur selber ist und nicht irgendwelche Winblows Probleme.
Spanning Tree aktiv auf den Switches ??
Wenn ja hast du das richtig eingestellt ?? Root Switch und Backup Root Switch. ?

Entweder hast du kein RSTP aktiv und du hat ein Netzwerk Loop. Kommt dann drauf an ob dein Netzwerk redundant designed ist oder nicht. Leider fehlt diese Info komplett von dir.
Oder ob du RSTP aktiv hast, das aber falsch customized ist.
Ist aber schwer oder nicht zu sagen, da du zur Netzwerk Infrastruktur selber so gut wie keinerlei Infos lieferst face-sad

So sähe z.B. ein redundantes Standard Netzwerk Design aus:
stackdesign
ahstax
ahstax 23.04.2019 um 14:45:42 Uhr
Goto Top
Hallo miteinander,

herzlichen Dank für Eure Infos!!

Der Spezialist für die Switche (Ihr habt schon gemerkt, dass ich das nicht bin...) ist erst morgen wieder verfügbar. Ich hoffe auf einen Hinweis wie den mit dem AV-Scanner, das ich selbst prüfen kann.

- Die Switche sind managable.
- Einen Loop sollte es eigentlich (wie das immer so ist...) nicht geben (nur aus Neugier, würde ein Loop sich so regelmäßig äußern?).
- Spanninig Tree sollte eigentlich auch nicht aktiv/nötig sein. Es gibt einen "Haupt-Sternpunkt-Switch", an den drei weitere Switche (zwei via LWL, einer via Kupfer) angeschlossen sind. Die drei weiteren Switche bilden sozusagen Sternpunkte in den Bauteilen. Am Haupt-Sternpunkt sind die virtuellen Server angeschlossen, die auf zwei ESX laufen, wobei diese via 4x1GBit-Kupfer mit dem Haupt-Sternpunkt verbunden sind.
- AV-Scanner gibt es (Avira), es gibt auch geplante Tasks für diese. Auf den Clients läuft zwei Mal täglich ein Komplett-Scan, auf den Servern einer. Zusätzlich bietet Avira diesen Echtzeitschutz, der ebenfalls aktiv ist. Die geplanten Tasks sind aber nicht zu sen Zeiten, zu denen das beschriebene Phänomen auftritt.
- Die Frage nach den Pings muss ich aktuell noch offen lassen. Auf meinem Client habe ich gerade drei "Dauer-Pings" auf die Domänen-Controler bzw einen 1.1.1.1-Server laufen. Vorn Server zu Server starte ich jetzt gleich noch, wobei diese Pings die ESX-Umgebung eigentlich nicht verlassen müssten...
Lochkartenstanzer
Lochkartenstanzer 23.04.2019 um 15:22:11 Uhr
Goto Top
Zitat von @ahstax:

- Einen Loop sollte es eigentlich (wie das immer so ist...) nicht geben (nur aus Neugier, würde ein Loop sich so regelmäßig äußern?).

Normalerweise nicht, es sei denn Du (oder jemamand anders) hast an der STP-Konfiguration gefummelt.

- Spanninig Tree sollte eigentlich auch nicht aktiv/nötig sein

Auch wenn es nciht nötig ist, wenn da irgendjemand daran rumgeschraubt hat, kann das unerwünschte folgen haben. Insbesodnere wenn die switche verschiedene STP-protokolle sprechen.

lks
aqui
aqui 23.04.2019 um 16:59:09 Uhr
Goto Top
nur aus Neugier, würde ein Loop sich so regelmäßig äußern?
Ja, kommt aber etwas auf die Leistungsfähigkeit der Switches an. Bei Billig Hardware kann das ein intermittierendes Verhalten sein. Oder auch bei bestimmten Situationen im Netz wie Broadcast Stürmen usw. Da du kein Spezl bist muss man das jetzt nicht vertiefen.
Es gibt einen "Haupt-Sternpunkt-Switch", an den drei weitere Switche
Nicht redundantes "Bastelnetz" also. Besser wir fragen dann auch nicht nach der verwendeten HW.
bzw einen 1.1.1.1-Server laufen.
Was soll das sein ?? Etwa einer der kein RFC 1918 konformes IP Netzwerk hat ?!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Hoffentlich nicht ?!
Lochkartenstanzer
Lochkartenstanzer 23.04.2019 aktualisiert um 17:04:09 Uhr
Goto Top
Zitat von @aqui:

bzw einen 1.1.1.1-Server laufen.
Was soll das sein ?? Etwa einer der kein RFC 1918 konformes IP Netzwerk hat ?!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Hoffentlich nicht ?!

Moin,

Wahrscheinlich meint er "one.one.one.one" von cloudfare:
$ host one.one.one.one
one.one.one.one has address 1.0.0.1
one.one.one.one has address 1.1.1.1
one.one.one.one has IPv6 address 2606:4700:4700::1001
one.one.one.one has IPv6 address 2606:4700:4700::1111

lks
Pjordorf
Pjordorf 23.04.2019 um 21:25:30 Uhr
Goto Top
Hallo,

Zitat von @ahstax:
Pings kann ich manuell während des Ausfalls leider nicht ausführen (zumindest habe ich noch nicht rechtzeitig dran gedacht, Pings auszuführen), da der PC ja nicht auf Eingaben reagiert.
Reagiert der PC tatsächlich nicht oder ist dein Netzwerk down? Schreibfehler oder wiklichkeit?

Ein Tool, das aber die ganze Zeit läuft und sozusagen dauerpingt hat aber keine Ausfälle gemonitort (alle vorgegebenen internen und externen Ziele werden ununterbrochen erreicht).
Also hast du kein Netzwerkproblem, sondern ein Clientproblem. Alle Clients? Immer nur dieser eine?

Wo könnte man denn noch ansetzen/etwas auslesen, um des Pudels Kerns zu ergründen?
Ereignissprotokolle?

Gruß,
Peter
Kraemer
Kraemer 23.04.2019 um 21:41:53 Uhr
Goto Top
Moin,

Exakt den selben Mist habe ich mit Lancom-Switchen gehabt. Was das Problem war habe ich nie rausgefunden. Habe Switche und Router auf Werkseinstellungen zurückgesetzt und bin neu angefangen. Lief auf Anhieb.

Gruß
nEmEsIs
nEmEsIs 23.04.2019 um 23:11:12 Uhr
Goto Top
Hi

Hast du Folderredirection an oder aber euer Fileserver hängt zb weil in dem Moment eure Datensicherung anspringt ? Oder Mitarbeiter kommt um 10 läd Riesen Profil und geht um 15 Uhr wieder ?
Oder aber die Netzteile deiner unbekannten Switche hängen am selben Netz wie Gerät X Y und das wird um 10 und 15 Uhr verwendet und verursacht „Probleme“ in Euerm Stromnetz und einer / die Switch(e) steigen kurz aus / reagieren empfindlich.

Mit freundlichen Grüßen Nemesis
goscho
goscho 24.04.2019 um 09:45:55 Uhr
Goto Top
Moin
Zitat von @ahstax:
- AV-Scanner gibt es (Avira), es gibt auch geplante Tasks für diese. Auf den Clients läuft zwei Mal täglich ein Komplett-Scan, auf den Servern einer. Zusätzlich bietet Avira diesen Echtzeitschutz, der ebenfalls aktiv ist. Die geplanten Tasks sind aber nicht zu sen Zeiten, zu denen das beschriebene Phänomen auftritt.
2x täglich Komplettscan aller Clients? Wer macht sowas heutzutage noch, Patentamt oder Regierungsbehörde vielleicht? face-big-smile
Avira habe ich früher auch viel eingesetzt (Business und nicht die Free-Version). Halte ich aber nicht mehr viel von.
Die Umgebungen, die ich betreue, haben einen Echtzeitschutz auf den Windows-Clients und einen monatlichen Scan der PCs, bei sehr sensiblen Mitmenschen auch mal wöchentlich.
Werden da vielleicht auch die Netzlaufwerke gescannt?
Wenn der Scan der PCs um 9:30 Uhr startet und dann gegen 10:00 Uhr die Netzlaufwerke dran sind, dann würde das zeitlich passen.
Ebenso nachmittags.
aqui
aqui 24.04.2019 um 15:05:09 Uhr
Goto Top
Was das Problem war habe ich nie rausgefunden.
Das Problem ist der Hersteller...oder wenigstens der der sein Namensbäppel draufgeklebt hat ! face-monkey
Spaß beiseite... In der Regel sind sowas zu 80% Spanning Tree Fehldesigns bzw. Fehlkonfigurationen oder Spanning Tree Inkompatibilitäten. Besonders wenn man in einem heterogenen Umfeld ist mit Switches die im Standard PVSTP oder PVSTP+ machen.
ahstax
ahstax 24.04.2019 um 15:42:41 Uhr
Goto Top
Hallo miteinander,

herzlichen Dank für Eure Bemühungen und die investierte Zeit.

Wie sich herausgestellt hat, war es wohl eine Kombination aus AV-Scanner und einem Audit-Tool, das Schreibvorgänge auf einer Festplatten überwacht, die einen Server an den Rand des Untergangs belasteten.

Es war kein Problem mit den HP-Switchen, auch wenn all Eure Hinweise wertvoll waren und allen nachgegangen wurde.

Herzliche Grüße,
Andreas