Terminalserver starten willkürlich neu
Hallo zusammen
ich hoffe, ihr könnt mir ein paar Denkanstösse geben, in welche Richtung ich ermitteln soll.
Umgebung: Citrix Xenapp 6.5 Farm mit 9 Terminalservern, alle Win 2k8R2, identischer Patchstand.
Problem: aus irgend einem Grund starten die Terminalserver (jeweils nur einer) willkürlich neu, die User welche
per Receiver darauf verbunden waren fliegen logischerweise raus.
Die Ereignisanzeige gibt m.E. nicht viel brauchbare her.
Die zwei letzten Fehler im Systemlog vor dem Neustart (Daten anonymisiert):
Und dann noch Schannel-Fehler, Ereignis-ID 36887
im Anwendungslog findet sich absolut gar nichts, was damit im Zusammenhang stehen könnte.
Habt ihr Ideeen, wie ich das Problem eingrenzen könnte?
Wir führen bereits Listen, welcher User auf welchem TS eingeloggt ist, um daraus evtl. Schlüsse zu ziehen.
Grüsse
Thomas
ich hoffe, ihr könnt mir ein paar Denkanstösse geben, in welche Richtung ich ermitteln soll.
Umgebung: Citrix Xenapp 6.5 Farm mit 9 Terminalservern, alle Win 2k8R2, identischer Patchstand.
Problem: aus irgend einem Grund starten die Terminalserver (jeweils nur einer) willkürlich neu, die User welche
per Receiver darauf verbunden waren fliegen logischerweise raus.
Die Ereignisanzeige gibt m.E. nicht viel brauchbare her.
Die zwei letzten Fehler im Systemlog vor dem Neustart (Daten anonymisiert):
Eine Kerberos-Fehlermeldung wurde auf
Anmeldesitzung empfangen:
Clientzeit:
Serverzeit: 9:36:3.0000 8/16/2017 Z
Fehlercode: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Erweiterter Fehler: 0xc0000035 KLIN(0)
Clientbereich:
Clientname:
Serverbereich: DOM.LOCAL
Servername: MSSQLSvc/server.dom.local:1433
Zielname: MSSQLSvc/server.dom.local:1433@DOM.LOCAL
Fehlertext:
Datei: 9
Zeile: f0a
Die Fehlerdaten stehen in den Berichtdaten.
Es wurde eine schwerwiegende Warnung empfangen: 20.
im Anwendungslog findet sich absolut gar nichts, was damit im Zusammenhang stehen könnte.
Habt ihr Ideeen, wie ich das Problem eingrenzen könnte?
Wir führen bereits Listen, welcher User auf welchem TS eingeloggt ist, um daraus evtl. Schlüsse zu ziehen.
Grüsse
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 346448
Url: https://administrator.de/contentid/346448
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
12 Kommentare
Neuester Kommentar
Dein Snippet lässt mich glauben, dass auf der Büchse ein SQLAgent läuft, der sich versucht mit seinem Server (Zeile 10) zu verbinden und dabei diese
Kerberosmeldung generiert.
Geh mal bitte mit erhöhten Rechten in die Kommandozeile des Servers und hack mal ein:
shutdown /?
Am unteren Ende werden etwaige Gründe für Shutdownevents von der Mühle aufgelistet.
Was steht da so alles?
Kerberosmeldung generiert.
Geh mal bitte mit erhöhten Rechten in die Kommandozeile des Servers und hack mal ein:
shutdown /?
Am unteren Ende werden etwaige Gründe für Shutdownevents von der Mühle aufgelistet.
Was steht da so alles?
Zitat von @beidermachtvongreyscull:
Geh mal bitte mit erhöhten Rechten in die Kommandozeile des Servers und hack mal ein:
shutdown /?
Am unteren Ende werden etwaige Gründe für Shutdownevents von der Mühle aufgelistet.
Geh mal bitte mit erhöhten Rechten in die Kommandozeile des Servers und hack mal ein:
shutdown /?
Am unteren Ende werden etwaige Gründe für Shutdownevents von der Mühle aufgelistet.
Moin,
also ich kenn' diesen Befehl nur als "zeigt die Shutdown Hilfe" an.
Gruss
Bitte schau mal in die Windows Ereignisanzeige.
Log: SYSTEM
EVENTID: 1074
In der Annahme, dass die Mühlen nicht virtualisiert sind, schau auch bitte in die Logs der BoardmanagementController der Server.
Manchmal läuft ein Watchdog mit der, wenn er vom Betriebssystem keinen "Heartbeat" mehr empfängt, das Betriebssystem hart resettet und das Blech durchbootet.
Ergänzung:
Du kannst auch mittels Powershell die Events auslesen:
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap
Mach das Fenster dann aber groß genug.
Log: SYSTEM
EVENTID: 1074
In der Annahme, dass die Mühlen nicht virtualisiert sind, schau auch bitte in die Logs der BoardmanagementController der Server.
Manchmal läuft ein Watchdog mit der, wenn er vom Betriebssystem keinen "Heartbeat" mehr empfängt, das Betriebssystem hart resettet und das Blech durchbootet.
Ergänzung:
Du kannst auch mittels Powershell die Events auslesen:
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap
Mach das Fenster dann aber groß genug.
Schau mal bitte die Vmware.Log der entsprechenden Maschine zum Zeitpunkt ihres Neustarts.
Ich nehme an, dass da ein Kernel Panic drinsteht.
Die 6.5 hat ne Macke mit Terminalservern.
Hier ein Workaround, falls Du mit Updates vorsichtig sein willst.
https://recommender.vmware.com/solution/SOL-12310
Ich hab das bei mir auch machen müssen.
VM runterfahren
Die vmx der entsprechenden TS runtergeladen,
die folgende Zeile eingetragen:
guest_rpc.rpci.usevsocket = "FALSE"
gespeichert, hochgeladen, VM gestartet und Ruhe seit dem.
Ich nehme an, dass da ein Kernel Panic drinsteht.
Die 6.5 hat ne Macke mit Terminalservern.
Hier ein Workaround, falls Du mit Updates vorsichtig sein willst.
https://recommender.vmware.com/solution/SOL-12310
Ich hab das bei mir auch machen müssen.
VM runterfahren
Die vmx der entsprechenden TS runtergeladen,
die folgende Zeile eingetragen:
guest_rpc.rpci.usevsocket = "FALSE"
gespeichert, hochgeladen, VM gestartet und Ruhe seit dem.
Ich bin immer noch der Meinung, der Trigger kommt von außen...
Dein Fehlerbild ist aber ein anderes. Kein Panic...
Du kannst meinen oben beschriebenen Vorschlag aus meiner Sicht dennoch mal umsetzen, meine ich.
Nur weil das Bild anders ist, muss der Auslöser nicht unterschiedlich sein.
Alternativ schau mal hier: https://communities.vmware.com/thread/514949
Der Thread scheint zu Deinem Fehlerbild zu passen.
Dein Fehlerbild ist aber ein anderes. Kein Panic...
Du kannst meinen oben beschriebenen Vorschlag aus meiner Sicht dennoch mal umsetzen, meine ich.
Nur weil das Bild anders ist, muss der Auslöser nicht unterschiedlich sein.
Alternativ schau mal hier: https://communities.vmware.com/thread/514949
Der Thread scheint zu Deinem Fehlerbild zu passen.