14
Restart Befehl vom Server
Hallo zusammen,
Ich habe bei einem Kunden ein kleines Problem, das mir völlig unbekannt ist.
Völlig unvermittelt sendet der Server einen Restart übers Netzwerk und einige Clients (nicht immer dieselben) starten dann neu und als Username im Login steht dann nicht mehr der vorher angemeldete User sondern der Administrator. Nach erneutem Anmelden mit dem eigentlichen User funktioniert der Client wieder völlig normal. Dieser Restart ist nicht zyklisch und auch nicht reproduzierbar. Der Spuk tritt 3-5 mal in der Woche auf. In den Eventlogs ist weder beim Client, noch beim Server eine Auffälligkeit. Die USV am Server arbeitet fehlerfrei und die Software APC Powerchute ist auch für den Fehler auszuschließen. Der Virenschutz hat keinerlei Funde gemeldet. (G-Data ClientSecurity Business).
Server: Domaincontroller (W2K3 SBS)
Clients: XP prof. SP3 (5 User)
Ich habe bei einem Kunden ein kleines Problem, das mir völlig unbekannt ist.
Völlig unvermittelt sendet der Server einen Restart übers Netzwerk und einige Clients (nicht immer dieselben) starten dann neu und als Username im Login steht dann nicht mehr der vorher angemeldete User sondern der Administrator. Nach erneutem Anmelden mit dem eigentlichen User funktioniert der Client wieder völlig normal. Dieser Restart ist nicht zyklisch und auch nicht reproduzierbar. Der Spuk tritt 3-5 mal in der Woche auf. In den Eventlogs ist weder beim Client, noch beim Server eine Auffälligkeit. Die USV am Server arbeitet fehlerfrei und die Software APC Powerchute ist auch für den Fehler auszuschließen. Der Virenschutz hat keinerlei Funde gemeldet. (G-Data ClientSecurity Business).
Server: Domaincontroller (W2K3 SBS)
Clients: XP prof. SP3 (5 User)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181462
Url: https://administrator.de/contentid/181462
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo Ragna,
konntest du mal feststellen, ob es immer die selben "USER" trifft? Oder sind alle User betroffen?
Steht denn in der Ereignisanzeige der Client´s ein Eintrag für den Reboot? Wenn ja, was ist dort Dokumentiert?
Hast du wenn der Reboot gesendet wird noch Zeit den Reboot über die CMD abzubrechen
CMD öffnen und "shutdown -a" eintragen und enter. Oder aber in einer Batch auf den Desktop legen und per Doppelklick ausführen.
Lg Grapper
konntest du mal feststellen, ob es immer die selben "USER" trifft? Oder sind alle User betroffen?
Steht denn in der Ereignisanzeige der Client´s ein Eintrag für den Reboot? Wenn ja, was ist dort Dokumentiert?
Hast du wenn der Reboot gesendet wird noch Zeit den Reboot über die CMD abzubrechen
CMD öffnen und "shutdown -a" eintragen und enter. Oder aber in einer Batch auf den Desktop legen und per Doppelklick ausführen.
Lg Grapper
Hallo Grappa,
in Eventlog ist nicht zu finden und es trifft verschiedene User. Ist wie Lotto.
Es beteht keine Zeit den Reboot zu stoppen. Es wird automatisch abgemeldet und neu gestartet.
Die CMD kann ich den Usern nicht zumuten. Sie sind reine Anwender. Ich selbst war beim Restart nie anwesend.
in Eventlog ist nicht zu finden und es trifft verschiedene User. Ist wie Lotto.
Es beteht keine Zeit den Reboot zu stoppen. Es wird automatisch abgemeldet und neu gestartet.
Die CMD kann ich den Usern nicht zumuten. Sie sind reine Anwender. Ich selbst war beim Restart nie anwesend.
Moin.
Was ist denn das schon wieder ;)
Was passiert und was daran deutet darauf hin, dass der Server daran (in welcher Form?) Anteil hat?
Ich glaube zudem nicht, dass nichts im Eventlog steht. Wenn dort bei einem normalen, von Dir ausgelösten Shutdown reingeschrieben wird, dann auch bei jedem anderen. Wenn doch nicht, dann musst Du mal die Ghostbusters rufen oder wenigstens im Netzwerk Pakete mitsniffen. Auch könntest Du lokale Anmeldungen überwachen lassen und weitere Maßnahmen ergreifen wie den Admin umbenennen.
PS: Was hat die USV am Server mit den Clients zu tun?
Was ist denn das schon wieder ;)
Völlig unvermittelt sendet der Server einen Restart übers Netzwerk
Wär es denn zuviel verlangt, das zu erläutern? Darunter kann sich doch niemand etwas vorstellen.Was passiert und was daran deutet darauf hin, dass der Server daran (in welcher Form?) Anteil hat?
Ich glaube zudem nicht, dass nichts im Eventlog steht. Wenn dort bei einem normalen, von Dir ausgelösten Shutdown reingeschrieben wird, dann auch bei jedem anderen. Wenn doch nicht, dann musst Du mal die Ghostbusters rufen oder wenigstens im Netzwerk Pakete mitsniffen. Auch könntest Du lokale Anmeldungen überwachen lassen und weitere Maßnahmen ergreifen wie den Admin umbenennen.
PS: Was hat die USV am Server mit den Clients zu tun?
Wurde denn in letzter Zeit irgend eine Software neu Installiert oder irgend etwas an der Konfiguration geändert?
Du kannst ja mal bei einem User z.B. mit "auto screen recorder 2.0" oder ähnlichen Programmen den Screen mitschneiden,
ich weis, es werden einige Daten werden, wenn du aber keine anderen anhaltspunkte hast, wäre das mal eine Idee,
um evt. weitere Informationen zu bekommen ;)
Lg Grapper
Du kannst ja mal bei einem User z.B. mit "auto screen recorder 2.0" oder ähnlichen Programmen den Screen mitschneiden,
ich weis, es werden einige Daten werden, wenn du aber keine anderen anhaltspunkte hast, wäre das mal eine Idee,
um evt. weitere Informationen zu bekommen ;)
Lg Grapper
Hallo DerWoWusste:
Das sich niemand etwas unter " Völlig unvermittelt sendet der Server einen Restart übers Netzwerk " etwas vorstellen kann halte ich für völlig daneben, aber egal.
Der Befehl muß von Server kommen, da sehr häufig nicht nur ein Rechner neu startet, sonder mehrere absolut zeitgleich. (Vielleicht sprechen die Geräte sich ja vor Arbeitsbeginn ab.)
Im Event ist absolut nichts zu sehen. Der Tip mit den Ghostbusters ist natürlich sehr hilfreich und zeugt auch überhaupt nicht von Arroganz.
Zur Info:
USV Anlagen sind, falls konfiguriert durchaus in der Lage einen Netshutdown oder Reebot zu senden.
"
Das sich niemand etwas unter " Völlig unvermittelt sendet der Server einen Restart übers Netzwerk " etwas vorstellen kann halte ich für völlig daneben, aber egal.
Der Befehl muß von Server kommen, da sehr häufig nicht nur ein Rechner neu startet, sonder mehrere absolut zeitgleich. (Vielleicht sprechen die Geräte sich ja vor Arbeitsbeginn ab.)
Im Event ist absolut nichts zu sehen. Der Tip mit den Ghostbusters ist natürlich sehr hilfreich und zeugt auch überhaupt nicht von Arroganz.
Zur Info:
USV Anlagen sind, falls konfiguriert durchaus in der Lage einen Netshutdown oder Reebot zu senden.
"
Hallo Grappa,
die Idee mit der Software "autoscreen recorder" finde ich klasse.
Es ist weder die Konfiguration des Servers geändert oder irgend eine Software instal. worden.
Mein Verdaht geht langsam in Richtung Trojaner. Der Virenschutz sagt zwar was anderes aber dafür ist G-Data ja bekannt.
Danke
Ragna
die Idee mit der Software "autoscreen recorder" finde ich klasse.
Es ist weder die Konfiguration des Servers geändert oder irgend eine Software instal. worden.
Mein Verdaht geht langsam in Richtung Trojaner. Der Virenschutz sagt zwar was anderes aber dafür ist G-Data ja bekannt.
Danke
Ragna
Du könntest dir auch mal einen Client schnappen und diesen mit entsprechenden Live CD´s Scannen und schauen,
ob du da etwas feststellen kannst.
ob du da etwas feststellen kannst.
Hallo,
Mir z.B. würden Schwankungen in der Stromversorgung einfallen, die können auch dazu führen, dass einige Clients plötzlich neu starten.
Gruß
Filipp
Das sich niemand etwas unter " Völlig unvermittelt sendet der Server einen Restart übers Netzwerk " etwas
vorstellen kann halte ich für völlig daneben, aber egal.
Nee, stimmt: da kann sich bestimmt jeder etwas drunter vorstellen - nur halt jeder etwas anderes. Auch nicht hilfreich.vorstellen kann halte ich für völlig daneben, aber egal.
Der Befehl muß von Server kommen, da sehr häufig nicht nur ein Rechner neu startet, sonder mehrere absolut zeitgleich.
(Vielleicht sprechen die Geräte sich ja vor Arbeitsbeginn ab.)
Also ist die Aussage, dass es vom Server kommt eine Vermutung, weil dir nichts besseres einfällt.(Vielleicht sprechen die Geräte sich ja vor Arbeitsbeginn ab.)
Mir z.B. würden Schwankungen in der Stromversorgung einfallen, die können auch dazu führen, dass einige Clients plötzlich neu starten.
Im Event ist absolut nichts zu sehen.
Wenn ein Befehl vom Server kommt müsste dieser eigentlich im Eventlog verzeichnet sein (initiated Shutdown...). Was mindestens da sein muss ist eine Authentifizierung des Servers im Security-Log des Clients - der nimmt Befehle ja nicht von jedem an.zeugt auch überhaupt nicht von Arroganz.
Ach Gott, jetzt stell dich nicht so an. Da waren mehrere sinnvolle Hinweise, und das sogar im gleichen Satz. Deine Fehlerbeschreibung dagegen ist ziemlich bescheiden - wobei man von jemand, der geholfen bekommen will nun eigentlich schon erwarten können sollte, dass er das den anderen wengistens möglichst einfach macht.Zur Info:
USV Anlagen sind, falls konfiguriert durchaus in der Lage einen Netshutdown oder Reebot zu senden.
Sicha. Aber an ein paar zufällig ausgewählte Clients? Nicht sehr wahrscheinlich. Und auch dann gilt: Du müsstest etwas im Eventlog sehen und notfalls auch mit einem Sniffer.USV Anlagen sind, falls konfiguriert durchaus in der Lage einen Netshutdown oder Reebot zu senden.
Gruß
Filipp
Hallo Ragna.
Arroganz unterstelle mir bitte nicht. Es ist wohl zu erkennen, dass ich Dir Tipps zu geben versuche und Fragen stelle - bitte beantworte diese.
Und zu den Ghostbusters: Ich wollte Dir damit bildlich vor Augen führen, dass Sachen immer Spuren hinterlassen, welche Du suchen musst (z.B. durch sniffen). Bislang vermutest Du nur munter und das wirkt dann wie Geister jagen - nimm mir das nicht übel.
Arroganz unterstelle mir bitte nicht. Es ist wohl zu erkennen, dass ich Dir Tipps zu geben versuche und Fragen stelle - bitte beantworte diese.
Was passiert und was daran deutet darauf hin, dass der Server daran (in welcher Form?) Anteil hat?
Darauf antwortest Du "Der Befehl muß von Server kommen, da sehr häufig nicht nur ein Rechner neu startet, sonder mehrere absolut zeitgleich". Nun, für mich ist da keine Verbindung zum Server zu sehen. Es könnte genau so gut ein Client sein, der sich selbst und andere runterfährt oder auch jeder für sich zur selben Uhrzeit - dafür braucht es keine Absprache, sondern nur Taskplaner und die selbe Uhrzeit. Das prüf doch bitte, um es auszuschließen.USV Anlagen sind, falls konfiguriert durchaus in der Lage einen Netshutdown oder Reebot zu senden
Nein. USV-Anlagen können keinen "Netshutdown" senden. Eine USV meldet einem Windows-System mit geeigneter Software ein Signal und darauf hin löst Windows selbst den Shutdown aus - und das kommt unweigerlich ins Ereignisprotokoll. Ja, bei Euch nicht, ich will Dir glauben. Dennoch die Frage erneut: Was hat die USV am Server mit den Clients zu tun? Sind die Clients denn in Kommunikation mit der USV? Ist der Server denn angewiesen, weitere Clients bei Stromausfall runterzufahren? Diese Antworten brauchen wir, um weiterzukommen.Und zu den Ghostbusters: Ich wollte Dir damit bildlich vor Augen führen, dass Sachen immer Spuren hinterlassen, welche Du suchen musst (z.B. durch sniffen). Bislang vermutest Du nur munter und das wirkt dann wie Geister jagen - nimm mir das nicht übel.
Hi DerWoWusste,
sorry hab vielleicht etwas überreagiert.
Wir lassen die USV mal komplett aussen vor. Deswegen habe ich auch geschrieben, diese ist ok. Die war auch zu keiner Zeit unter Verdacht.
Bei der Aussage, es komme vom Server handelt es sich nur um eine Vermutung. Ich selbst habe auch nur wenige Infos. Mir wird gesagt, die Geräte fahren runter und kommen unterm Administrator-Konto wieder zurück. Mal 2, mal 1 mal 3 Geräte. Daraufhin habe ich die Logs am Server und an den Clients geprüft und wirklich nichts gefunden. Auch nach mehrmaligen durchsehen war dort nicht auffällig. Mir wurde auch glaubhaft versichert, das die Spannungsversorgung in den Räumen stabiel ist und nicht schwankt. Die User sind nicht in der Lage einen Task zu erstellen und eine Aktion eines Dritten schliesse ich auch aus. Zur selben Uhrzeit passiert der Reboot auch nicht. Es ist kein Muster zu erkennen.
Bin in der Sache mittlerweile absolut ratlos. Es gibt keinen Ansatz wegen weniger brauchbare Hinweise von den Usern. Ich lasse im Moment die Zeiten genau dokumentieren.
Gruß
Ragna
sorry hab vielleicht etwas überreagiert.
Wir lassen die USV mal komplett aussen vor. Deswegen habe ich auch geschrieben, diese ist ok. Die war auch zu keiner Zeit unter Verdacht.
Bei der Aussage, es komme vom Server handelt es sich nur um eine Vermutung. Ich selbst habe auch nur wenige Infos. Mir wird gesagt, die Geräte fahren runter und kommen unterm Administrator-Konto wieder zurück. Mal 2, mal 1 mal 3 Geräte. Daraufhin habe ich die Logs am Server und an den Clients geprüft und wirklich nichts gefunden. Auch nach mehrmaligen durchsehen war dort nicht auffällig. Mir wurde auch glaubhaft versichert, das die Spannungsversorgung in den Räumen stabiel ist und nicht schwankt. Die User sind nicht in der Lage einen Task zu erstellen und eine Aktion eines Dritten schliesse ich auch aus. Zur selben Uhrzeit passiert der Reboot auch nicht. Es ist kein Muster zu erkennen.
Bin in der Sache mittlerweile absolut ratlos. Es gibt keinen Ansatz wegen weniger brauchbare Hinweise von den Usern. Ich lasse im Moment die Zeiten genau dokumentieren.
Gruß
Ragna
Hi.
Du hast noch weitaus mehr Tipps bekommen, setz die nun um. Der Hinweis mit dem zuletzt angezeigten Nutzernamen "Administrator" ist doch der dickste Fisch. Benenne nun also den Admin um. Das geht per lokaler GPO. Überwache die Anmeldeereignisse - dito. Und gib zu guter letzt auch wieder, was denn die letzten Ereignisse im Systemprotokoll vor der Uhrzeit des Neustarts sind.
Du hast noch weitaus mehr Tipps bekommen, setz die nun um. Der Hinweis mit dem zuletzt angezeigten Nutzernamen "Administrator" ist doch der dickste Fisch. Benenne nun also den Admin um. Das geht per lokaler GPO. Überwache die Anmeldeereignisse - dito. Und gib zu guter letzt auch wieder, was denn die letzten Ereignisse im Systemprotokoll vor der Uhrzeit des Neustarts sind.
Moin,
watt iss datt denn?
Nö - du vielleicht so eine USV hat ein Log und dort screibt die alles rein (wenn es eine gute ist - zumindestens hab ivch was von APC hier gelesen)
Und "wenn" Clients und Server an der gleichen Stromquelle angeschlossen sind, dann taugen die Logs der USV zumindestens dafür um Spannungschwankungen vom Einspeisenden Netz zu erkennen.
Erst wenn das ausber ist - dann kann man das abknicken.
Was der Admin nun damit zu tun hat?
Tja ist es der lokale, oder der Domainadmin?
Sorry, aber wirklich du läßt verdammt viel Spielraum und "behauptetst" es würde nix in den Logs stehen?
watt iss datt denn?
Wir lassen die USV mal komplett aussen vor
Nö - du vielleicht so eine USV hat ein Log und dort screibt die alles rein (wenn es eine gute ist - zumindestens hab ivch was von APC hier gelesen)
Und "wenn" Clients und Server an der gleichen Stromquelle angeschlossen sind, dann taugen die Logs der USV zumindestens dafür um Spannungschwankungen vom Einspeisenden Netz zu erkennen.
Erst wenn das ausber ist - dann kann man das abknicken.
Was der Admin nun damit zu tun hat?
Tja ist es der lokale, oder der Domainadmin?
Sorry, aber wirklich du läßt verdammt viel Spielraum und "behauptetst" es würde nix in den Logs stehen?
edit
PvdS
/edit
PvdS
/edit
So, für einen selbst ausgelösten Reboot oder Shutdown müsste folgendes im Eventlog eingetragen sein:
http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Win ...
Folgede Event ID ist bei einem geplanten Reboot/Shutdown zu finden:
http://www.eventid.net/display.asp?eventid=1074&eventno=1783&so ...
Desweiteren wäre die Frage, sind evt. zu dem Reboot Zeitpunkt Updates installiert worden, welche einen Reboot vorraussetzen?
Schau dir bitte auch mal folgende Seite an:
http://www.eventid.net/
http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Win ...
Folgede Event ID ist bei einem geplanten Reboot/Shutdown zu finden:
http://www.eventid.net/display.asp?eventid=1074&eventno=1783&so ...
Desweiteren wäre die Frage, sind evt. zu dem Reboot Zeitpunkt Updates installiert worden, welche einen Reboot vorraussetzen?
Schau dir bitte auch mal folgende Seite an:
http://www.eventid.net/
Hallo zusammen,
nachdem die Zeiten festgehalten worden sind, konnte ich zu den Zeiten in den Log unter System jeweils 12x die gleichen Einträge finden, danach starteten die betroffenen Clients neu :
Server:
Das Konto von Administrator in der SAM-Datenbank konnte nicht gesperrt werden, da ein Ressourcenfehler, z.B. ein Schreibfehler auf der Festplatte, aufgetreten ist. Der Fehlercode steht in den Fehlerdaten. Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses Konto zurück.
Client:
Die Remotesitzung von Client a hat die maximal zulässigen Anmeldeversuche überschritten. Die Sitzung wird abgebrochen.
Habe nun erstmal das Administrator- Konto umbenannt und an den Clients den Remote gesperrt.
nachdem die Zeiten festgehalten worden sind, konnte ich zu den Zeiten in den Log unter System jeweils 12x die gleichen Einträge finden, danach starteten die betroffenen Clients neu :
Server:
Das Konto von Administrator in der SAM-Datenbank konnte nicht gesperrt werden, da ein Ressourcenfehler, z.B. ein Schreibfehler auf der Festplatte, aufgetreten ist. Der Fehlercode steht in den Fehlerdaten. Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses Konto zurück.
Client:
Die Remotesitzung von Client a hat die maximal zulässigen Anmeldeversuche überschritten. Die Sitzung wird abgebrochen.
Habe nun erstmal das Administrator- Konto umbenannt und an den Clients den Remote gesperrt.
