outbreak198x 10 Geschrieben 3. März 2013 Melden Teilen Geschrieben 3. März 2013 Hallo,Ich habe hier einen SBS 2011 - ca. 60 User darauf und seit 3 Tagen das Problem, dass die lsass.exe immer wieder auf 99-100% CPU Auslastung geht.(ich nehm dann immer ein paar CPUs weg - damit mir ein paar Ressourcen übrig bleiben)Natürlich geht dann im NEtz der Exchange langsam, die Anmeldungen dauern ewig usw.Anfangs dachte ich natürlich es ist ein Wurm - der sich wie auch immer eingeschlichen hat.Somit Scan mit McAfee, MS Security Scan, Sophos, Symantec, Malwarebytes, GMER, hijackthis...Alles scheint in Ordnung.Nun mal soweit das ja auch übers Netz eine Attacke erfolgen kann - jetzt am Wochenende alle Clients aus. Jetzt hat er es 8h ca. geschafft ruhig zu bleiben und danach ging es wieder los... - genau zu dem Zeitpunkt nämlich 03:03:22 ist kein einziger Eventlogeintrag protkolliert worden.Einzig eigenartigs ist, dass ich je Minute ca. 500 Einträge im Security Eventlog bekomme... - aber scheint normal auf SBS 2011Die Hardware in dem Fall ist einmal nebensächlich nehme ich an...Trotzdem Xeon E5620, 24GB RAM, 2x 146GB SAS RAID1 4x 300GB SAS RAID5 + 1x 300GB SAS hot - SpareGut - natürlich bin ich trotzdem jedem einzelnen Eventlog auf die Spur gegangen, und hatte einige Dinge ausgebessert.Netzwerkassistenten laufen lassen - hat ja der SBS gerne. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 3. März 2013 Melden Teilen Geschrieben 3. März 2013 Du darfst gerne hier schreiben, dass Du bereits in den Technet Foren gepostet hast: http://social.technet.microsoft.com/Forums/de-DE/windows_Serverde/thread/c14cda6e-ac09-4db0-b8a9-bf03d125ee3e#c14cda6e-ac09-4db0-b8a9-bf03d125ee3e Den Helfern dort darfst Du auch gerne den Thread von hier posten. Danke. Zitieren Link zu diesem Kommentar
outbreak198x 10 Geschrieben 3. März 2013 Autor Melden Teilen Geschrieben 3. März 2013 (bearbeitet) noch zum hinzufügen vielleicht - der a/d bericht sagt die cpu auslastung vom lsass. ist das kdc - key distribution center Und auch noch in mehreren anderen Borads - alles gleichzeitig... Schauen ja schließlich nicht alle in alle borads bearbeitet 3. März 2013 von outbreak198x Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 3. März 2013 Melden Teilen Geschrieben 3. März 2013 Ist der SBS von außen erreichbar (SMTP, HTTP/s)? Zitieren Link zu diesem Kommentar
outbreak198x 10 Geschrieben 3. März 2013 Autor Melden Teilen Geschrieben 3. März 2013 Jawohl - ist er. SMTP, PPTP, HTTPS und FTP Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 3. März 2013 Melden Teilen Geschrieben 3. März 2013 Einzig eigenartigs ist, dass ich je Minute ca. 500 Einträge im Security Eventlog bekomme... - aber scheint normal auf SBS 2011 Das ist nicht normal. Was für Einträge hast du da? Geht die Last runter wenn du an der Firewall die Ports sperrst die von außen erreichbar sind? Zitieren Link zu diesem Kommentar
outbreak198x 10 Geschrieben 3. März 2013 Autor Melden Teilen Geschrieben 3. März 2013 Die Events kommen aber auch wenn er nicht ausgelastet ist... Z.b. im Moment ist er schon mehrere Stunden ruhig - das letzte mal hat vor ca. 21h gemault. Die Ports kann ich gerade nicht schließen da ja nicht ausgelastet. Da wäre z.B. Einer neuen Anmeldung wurden besondere Rechte zugewiesen.Antragsteller: Sicherheits-ID: SYSTEM Kontoname: SERVERII$ Kontodomäne: dingens Anmelde-ID: 0x5072faBerechtigungen: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege Oder jede menge hiervon: Ein Kerberos-Dienstticket wurde angefordert.Kontoinformationen: Kontoname: server.domain.COM Kontodomäne: domain.domain.COM Anmelde-GUID: {b9865803-46f0-98ac-f700-6329d4b8c80b}Dienstinformationen: Dienstname: krbtgt Dienst-ID: domain\krbtgtNetzwerkinformationen: Clientadresse: ::1 Clientport: 0Weitere Informationen: Ticketoptionen: 0x60810010 Ticketverschlüsselungstyp: 0x17 Fehlercode: 0x0 Übertragene Dienste: -Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die Ressource, auf die der Zugriff angefordert wurde.Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden. Das Anmeldeereignis findet auf dem Computer statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert. Zitieren Link zu diesem Kommentar
outbreak198x 10 Geschrieben 4. März 2013 Autor Melden Teilen Geschrieben 4. März 2013 Auch wenn die Firewall deaktiviert wurde ist die CPU trotzdem ausgelastet. Es kam heute Nacht wieder kurz nach 03:00 - genau wie beim letzten Mal. Ich hab alle Backups schon angehalten - da mir sonst nicht eingefallen wäre was noch laufen könnt - außer natürlich Windows eigene Dinge. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. März 2013 Melden Teilen Geschrieben 4. März 2013 (bearbeitet) Moin, hast du schonmal den Netzwerkmonitor laufen lassen? http://www.microsoft.com/en-us/download/details.aspx?id=4865 (x64 Download) Vielleicht zeigen sich da Auffälligkeiten. Sind alle Updates installiert? Eventuell gibt es ein Updates das Probleme macht und sich jede Nacht um 03:00 neu installieren möchte. edit: Mir ist gerade eingefallen, dass es vor ein paar Tagen das Plattformupdate gab: http://support.microsoft.com/kb/2670838/de Eingehende Kommunikation aus dem Internet würde ich bis zur Klärung des Sachverhaltes auf jeden Fall verbieten. bearbeitet 4. März 2013 von Dunkelmann Zitieren Link zu diesem Kommentar
outbreak198x 10 Geschrieben 4. März 2013 Autor Melden Teilen Geschrieben 4. März 2013 Lad ich gerade runter. Und es ist wieder Montag - und siehe da, es dauert keine 22h bis der Fehler kommt, Server neugestartet - 5 Minuten später und der Fehler ist wieder da. lsass.exe zuerst 12,5 dann 25, irgendwann max. 100 wenn ich die CPUs nicht limitieren würde. Screenshot anbei - der Server redet sehr viel mit sich selbst scheinbar... Diese eine IP - von der nahezu der komplette Traffic kommt is ein Terminalserver... wo alle drauf arbeiten (max. 50 User gleichzeitig) Microsoftticket eröffnet... Mal sehen was die dazu sagen. Zitieren Link zu diesem Kommentar
outbreak198x 10 Geschrieben 5. März 2013 Autor Melden Teilen Geschrieben 5. März 2013 Also wenn das deren Ernst ist, dann fahr ich persönlich zum Billyboy... Scope Agreement: The case is considered solved and can be archived, when Lsass.exe stop causing CPU spikes at 100% . Or we establish that the problem is 3rd party software/hardware problem, bug or behavior by design. Please notice that we can work on one problem pro case. If the problem contains multiple sub problems these may need to be resolved in separate cases Zitieren Link zu diesem Kommentar
outbreak198x 10 Geschrieben 7. März 2013 Autor Melden Teilen Geschrieben 7. März 2013 Windows Rücksicherung lief mehrere Stunden, danach alles wieder perfekt :) - Microsoft Support - kostenlos, da sie ja nichts dazu beigetragen haben. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.