Snowman_24

Guten Morgen, kurze Rückmeldung - es lag tatsächlich am Kaspersky Security for Windows Servers. Deinstalliert, bereinigt mit dem KLremover, dann neu installiert und der Fehler ist weg und die Datei "WinRing..." ist auch weg. Danke Euch für Eure Unterstützung. Grüße und schönes Wochenende Marcus

Alles klar, werde ich versuchen - und gebe dann Feedback Stimme ich Dir vollkommen zu @NorbertFe Danke Dir Schönen Abend

Guten Abend, also, Tests erfolgreich - keine Auffälligkeiten in Sachen Viren/Trojanern etc. Ich habe die VM heruntergefahren, beide virtuellen Laufwerke komplett prüfen lassen und keinerlei Auffälligkeiten gefunden. Danach wieder die VM hochgefahren, wieder Msert sowie das Script "eomt" laufen lassen -> nichts. Dann jetzt auch noch das Script Test-ProxyLogon laufen lassen - das hatte ich vergessen zu erwähnen - dieses habe ich auch schon mehrmals laufen lassen - keinerlei Funde. Also stehe ich wieder am Anfang. Klar, es hätte natürlich durch einen Angriff sein können, welcher im März durch den "Exchange Hack" möglich gewesen sein könnte, aber in diesem Fall gehe ich eher nicht davon aus, sonst hätte ich ja bisher irgendwann mal zumindest irgendwelche Anzeichen gefunden. Diese Anzeichen gab es einfach nicht - daher habe ich mich auch "etwas sicherer" gefühlt - und die Sache, naja, sagen wir mal nicht mehr als Prio 1 angesehen. Aber lassen wir das bitte mal dahin gestellt. Gut, Ihr schreibt, den Exchange könnte ich jederzeit auf einem Laptop/PC installieren, klar das ist mir bewusst. Aber: a.) (nochmals) es ist derzeit keine Hardware verfügbar, wo ich diesen aufsetzen kann - kein Laptop/PC, welcher derzeit "frei" ist, welcher auch die nötige CPU/RAM/HDD bzw. SSD hat. & b.) ich gerne das Problem finden möchte, was da passiert und warum es passiert. Bitte versteht mich hier nicht falsch - ich komme aus der "Generation" erst reparieren, wenn's dann trotzdem unmöglich wird, dann eben Neu. Seid mir hier bitte nicht böse und greift mich daher bitte nicht an. Mir ist schon bewusst, dass es einfach schon zu lange so geht. Also zurück zum Thema: Ich habe jetzt auch mal nebenbei alle Aufgaben in der Aufgabenplanung mit einem anderen EX2016 verglichen - identisch. Dann noch einfach mal querbeet Dienste und Details / Anzahl & Menge mit einem anderen EX2016 verglichen - auch soweit identisch. Die einzigen Unterschiede, welche es gibt - auf dem "Problem Server" läuft ja die Kaspersky Security für Microsoft Exchange-Server. Auf dem Server ist kein zusätzlicher SQL-Server für KES installiert, hier wird eine weitere Instanz auf einer anderen VM eines SQL_Servers genutzt. Und es sind unterschiedliche Versionen. Auf dem EX2016, welchen ich zum Vergleich genommen habe, liegt eine eigene SQL-Server-Instanz auf der VM selbst, wo auch der Exchange Server installiert ist. Alles andere ist absolut identisch - Augenscheinlich. Habt Ihr noch eine Idee? Grüße und Danke Marcus

Richtig, aber leider wie bereits erwähnt, ist keine weitere Hardware in dieser Größenordnung verfügbar. Ah, da hatte ich tatsächlich nicht mehr drangedacht, werde ich heute Abend testen und dann Feedback geben. Danke Dir.

Eine weitere VM bräuchte RAM, CPU-Kerne und weiteren Speicherplatz - gerade der Speicherplatz ist hier Ausschlusskriterium. Die Virensuche habe ich, wie oben schon geschildert, bereits mehrmals mit dem installierten Kaspersky Security sowohl im Offline- als auch im Online-Modus (also Netzwerk getrennt) laufen lassen, wie auch den Msert. Die Datei habe ich bereits zu Anfangs erst mit einem weiteren Exchange 2016 verglichen und dann sogar ersetzt. Ja, da will ich mich auch nicht rausreden, das ist mir auch ein Dorn im Auge, aber ich habe es tatsächlich nicht weiter geschafft, da dran zu bleiben - das ist natürlich keine Entschuldigung!

Hallo Norbert, natürlich bin ich auf die Idee gekommen, aber mangels Ressourcen - also Hardware - ist das einfach zur Zeit nicht möglich. Hallo, ja über die Datei schon, dass es eine Systemdatei in Windows ist, also wenn Du die WinRing… meinst. Auch finde ich, dass diese gerne durch eine Trojaner ersetzt wurde, aber das ist ja in meinem Fall nicht passiert.

Guten Morgen, wie in der Überschrift schon angedeutet, kämpfe ich mit einem richtigen Problem auf einem Exchange Server. Folgende Konstellation: - Server 2016 std. als VM unter MS Hyper-V 2016 Server - Exchange Server 2016 CU 21 unter einer 2016er Domäne (andere VM ist der DC) - 16 CPU Kerne (Intel Xeon 2x E5-2680) zugewiesen, 64GB RAM, 2x Virtuelles Laufwerk - C: 150GB Nur Betriebssystem 78GB frei/ E: 350GB Nur Exchange-Server 80GB frei - etwa 40 User - Postfachbeschränkung auf 2GB - Backup über Veeam Backup & Replication auf dem Hyper-V auf unterschiedliche Medien - Kaspersky Security 11 für Windows Servers über KSC - Kaspersky Security 9.0 für Microsoft Exchange Servers (SPAM/Virenschutz) - erreichbar über SMTP 25 / SMTPS 2525 und HTTPS 443 aus dem Internet über Firewall - regelmäßige monatliche Installation von Windows Updates über WSUS, sowie Security-Check mittels Msert.exe und eomt.ps Das Problem, welches ich habe, sieht so aus: Einmal am Tag startet irgendwann ein Dienst/Programm, welches die rundll32.exe im Hintergrund startet. Diese lässt die CPU sofort auf 100% Auslastung hochschnellen und belegt den Arbeitsspeicher auf rund 2,4GB. Mittels Process Explorer und dem Ereignisprotokoll "System" konnte ich herausfinden, dass dies zu unterschiedlichen Zeiten, aber meistens Nachts passiert und aber zum gleichen Zeitpunkt im Systemprotokoll folgendes protokolliert wird: "Im System wurde ein Dienst installiert. Dienstname: WinRing0_1_2_0 Dienstdateiname: C:\Windows\System32\WinRing0x64.sys Diensttyp: Kernelmodustreiber Dienststarttyp: Manuell starten Dienstkonto: Die Datei WinRing0x64.sys habe ich bereits überprüft - es ist noch die originale Datei - die wurde nicht von einem Trojaner etc. ersetzt. Process Explorer: Autostart Location: n/a - also wird das durch irgendwas anderes mit gestartet. Das Problem besteht mittlerweile seit etwa Januar, also auch schon unter CU19. Aufgrund der Meldungen, dass so und so viele Exchange-Server bereits "gehackt" wurden, habe ich den Exchange-Server schon mehrmals "offline" gesetzt, also die Netzwerkkarte in der VM geändert und dann nochmals und mehrmals Kaspersky einen Fullcheck laufen lassen, sowie Msert einen Fulltest laufen lassen. Bisher aber Gott sei Dank immer ohne Ergebnisse, also hoffe ich mal, dass das nichts damit zu tun hat. Das hilft mir aber auch nicht mehr weiter, weil ich wirklich täglich, um 06:00 Uhr noch vor dem Frühstück zum PC renne und den Dienst rundll32.exe manuell beende oder auch mal einfach die Zugehörigkeit der CPU von 16 auf nur einen Kern ändere. Zweiteres hilft dann tatsächlich manchmal sogar ein paar Tage. Ich habe schon viele Exchange-Server aufgesetzt und migriert, Updates installiert und lange betreut - also regelmäßig mit Updates versehen und überprüft, seit Exchange Version 2010, aber sowas hatte ich noch nie und ich finde einfach nicht, woran das liegt. Könnt Ihr mir eventuell noch ein paar Tipps geben? Google, etc. konnte mir überhaupt nicht weiterhelfen. Danke schonmal im Voraus und habt einen schönen Tag. Grüße Marcus

Hallo Zahni, vielen lieben Dank für Deine Nachricht. Damit habe ich mich tatsächlich noch nicht wirklich befasst - mit der NUMA-Architektur. Werde ich mir anschauen, oder hast Du da einen Tipp für mich bzw. wo kann ich mich damit vertraut machen. Die RAM ist korrekt bestückt, es handelt sich um identische Module und es sind alle Steckplätze ausgereizt. Grüße Marcus

Hallo Nils, vielen lieben Dank für Deine Nachricht. Okay, werde ich gerne ändern. Was mich wirklich wundert, das System habe ich in der identischen Form bei 7 Kunden am laufen und nur bei dem einen tritt der Fehler sporadisch auf. Grüße Marcus

Schönen Guten Tag, ich kämpfe mich einem sehr dubiosen Problem bei einem Kunden. Die nachfolgende Konstellation habe ich in identischer Form bei 7 Kunden laufen und bei keinem anderen treten Probleme auf. Server: HP Proliant DL380 (2x Intel XEON 16Core-CPUs, 192GB RAM, 5,2TB RAID 10 15k SAS-HDDs) System: Server 2016 als Hyper-V-Host VM's, alle basierend auf Server 2016 Standard: 1. Domain-Controller (und File-Server/WSUS/Kaspersky Security Center) (8 Kerne, 16GB) 2. Exchange Server 2016 (16 Kerne, 32GB) 3. Remotedesktopserver (32 Kerne, 32GB / Office 2016 Standard, Adobe Reader, kleine Anwendungsprogramme, Framework von der Warenwirtschaft) 4. Warenwirtschaft (8 Kerne, 16GB) Als Virenschutz kommt die Kaspersky Endpoint Security zum Einsatz. Bis auf dem Remotedesktopserver, ist auf den Servern lediglich die Kaspersky Security für Windows Server 10 im Einsatz, auf dem RDP-Server Kaspersky Endpoint Security. Windows Updates werden im 4-Wochen-Takt per WSUS eingespielt und hier auch die Server jeweils neu gestartet. Grundsätzlich arbeiten die meisten Mitarbeiter auf den lokalen PCs oder Notebooks mit ihrer Planungssoftware (Zeichnungssoftware). Einige Mitarbeiter, gerade im Bereich Buchhaltung, arbeiten aber auf dem RDP-Server. Nun passiert es immer wieder, dass z.B. im Word, Outlook, Explorer beim klicken irgendwann mal kommt "keine Rückmeldung". Selten kommt es vor, dass der Bildschirm dann schwarz wird und ein trennen und wieder anmelden nichts mehr bringt. Nur das manuelle Abmelden des Benutzerprofiles über die Administrator bringt Abhilfe. Das passiert aber alles nicht immer bei allen Benutzern, lediglich mal bei einem Mitarbeiter. Was auch ab und zu passiert, auf den RDP-Clients (ThinClients oder alte PCs), kommt es vor, dass die RDP-Sitzung schwarz wird und das Fenster erscheint, die Verbindung wurde unterbrochen, Verbindungsversuch 1von xx. Dann verbindet sich die Sitzung wieder automatisch. Wie wenn jemand das Netzwerkkabel zieht, was aber nicht passiert. Die lokale Verbindung zum Exchange und zum File-Server bleibt ja vorhanden, nur die Verbindung zum RDP-Server trennt sich. Ich habe das soweit mal über den Taskmanager und Ressourcenmonitor des RDP-Servers und des HVs beobachtet. Nichts! Keine CPU-Last, der RAM-Speicher ist mehr als ausreichend frei (12% vergeben) und die "Festplattenauslastung" liegt zwischen 4 und 15 %. So und nun kommts, es gibt seit einiger Zeit einen Mitarbeiter vor Ort, welcher mir "zuarbeiten" soll - er bekommt keine Administrationskennwörter vom Server! Der Mitarbeiter war nun einige Zeit nicht im Betrieb und in dieser Zeit gab es keinerlei Probleme mit dem RDP-Server. Nachdem wir nun ein Gespräch führten, noch mehrere Mitarbeiter auf dem RDP-Server arbeiten zu lassen, merkte ich, dass der Mitarbeiter nichts von dem RDP-Server hält. Hier soll demnächst ein Gespräch mit der Geschäftsleitung des Kunden stattfinden. Komischerweise haben dann aber, nachdem ich von dem Kunden gefahren bin, die Probleme wieder auf dem RDP-Server zugenommen. Gleich nach dem Mittag rief ein Mitarbeiter an, der Bildschirm ist wieder schwarz. Ich musste dann das Profil des Mitarbeiters manuell abmelden, damit er wieder arbeiten konnte. Der Mitarbeiter, welcher mir zuarbeiten soll, ist nur halbtags da ist kurz nach mir gefahren. Ich möchte hier niemand etwas unterstellen, doch ist es schon seltsam, dass die Probleme über einen Zeitraum, an dem der Mitarbeiter nicht da war, weg waren und nun wieder da sind. Vielleicht ist es nur ein Zufall. Mein Problem ist einfach, wo soll ich zum suchen anfangen? Danke im Voraus Grüße Marcus

Danke für Deine schnelle Antwort um diese Zeit :) Habe ich schon versucht, aber die Zeit reicht hier wohl nicht aus. Was bedeutet eigentlich die Einstellung "automatisch (verzögert)", sprich wann startet der Dienst dann wirklich?

Guten Abend, nachdem ich nun absolut nicht mehr weiter weiß, wende ich mich hoffnungsvoll an Euch mit einem ziemlich gemeinen Problem. Folgende Ausgangslage: HP Server mit Windows Server 2012 R2 als Hyper-V-Host, darunter 3 VM's: 1x DC (Server 2012 R2) 1x Exchange 2016 (Server 2012 R2) 1x RDP-Server (Server 2016, vorher 2012 R2) 6x Windows 7 Pro PCs, welche nur noch als "stumme" RDP-Clients dienen. AntiVirensoftware Kaspersky Security Endpoint auf den Servern Version 10 für Windows Server / auf dem RDP-Server Security Endpoint 11 6 Benutzer auf dem RDP-Server Servergespeicherte Benutzerprofile auf dem DC Der Server wurde erst im vergangenen Jahr neu aufgebaut, jedoch anfangs nur mit 2012 R2 installiert. Nachdem ich im März diesen Jahres ein fehlerhaftes Windows Update auf dem RDP-Server 2012 R2 entdeckt habe, habe ich diesen gleich komplett neu aufgesetzt und dann auch gleich auf Server 2016. Folgendes Problem tritt immer mal wieder auf: Eine Benutzerin möchte sich, wie jeden Tag in der früh um 7 Uhr anmelden, der Bildschirm bleibt sehr lange schwarz, danach kommt die Fehlermeldung, dass das Benutzerprofil nicht vollständig geladen werden konnte. Ihr Desktop ist dann total durcheinander (Anordnung der Icons), die Anwendungen in der Taskleiste sind weg (Word, Excel, Outlook...), Outlook Profil ist weg und noch vieles mehr fehlt. Ab- und erneut wieder anmelden hilft nicht weiter. Erst ein kompletter Neustart aller VMs hilft. Danach sind zwar die Symbole nicht wieder sortiert und die Icons in der Taskleiste fehlen weiterhin, Outlook hat aber wieder alle Profile und man kann die Icons wieder in die Taskleiste schieben. Das komische ist, es tritt immer nur bei der selben Mitarbeiterin auf, nie bei jemanden anderes. Das Benutzerprofil habe ich schon mal komplett gelöscht und neu angelegt, wie auch das Mitarbeiterkonto selbst auch. Die Rechte und GPO-Einstellungen sind für alle Mitarbeiterkonten identisch. Im Ereignisprotokoll finde ich, wenn der Fehler auftritt, Benutzerprofildienst konnte.... nicht laden, "Zugriff verweigert". Und das stimmt dann auch, selbst vom Mitarbeiterkonto aus, kann ich nicht auf den Profilordner der Mitarbeiterin zugreifen: Zugriff verweigert. Dieser Fehler tritt leider sehr sporadisch auf und ich kann nicht nachvollziehen, warum und weshalb nur bei dieser einen Mitarbeiterin. Verrückt... Habt Ihr vielleicht eine Idee? Von diesem Fall wachsen mir schon "graue Haare" ;) Ganz lieben Dank im Voraus.

Guten Abend, ich habe eine Frage an Euch und hoffe, dass ich in diesem Forum überhaupt richtig bin mit meiner Anfrage. Ich habe mehrere HP-Prioliant Server im Einsatz, auf welchen der Dienst HP Insight Event Notifier ausgeführt wird. Der Dienst lässt sich jedoch erst starten, wenn eine Verbindung zum Mail-Server möglich ist (in meinem Fall: MS Exchange 2016). Der Exchange-Server ist jedoch eine virtuelle Maschine auf dem HP Server unter MS Hyper-V-2016, welche natürlich erst später läuft, als der Host-Server selbst und von daher startet der Dienst von HP nicht automatisch. Wenn ich nun, wie eine Verzögerung von etwa 5 Minuten nach dem Host-Server-Start einrichten könnte, wäre das kein Problem, nur weiß ich nicht, wie das geht. Habt Ihr da einen Tipp für mich? Lieben Dank im Voraus. Grüße Marcus

Von den Kosten mal ganz abgesehen, aber für den TS brauche ich ja dann zwingend eine Grafikkarte für das Planungsprogramm. Das war eigentlich meine Grundfrage, welche Lösung es da dann gibt :) ?

Okay? Also weg vom Remotedesktop-Server -> zu einzelnen Arbeitsplätzen?